Skip to content
lzh博客

GitHub Action

从 GitHub Actions 工作流中触发 Codex 任务,自动化 PR 审查、补丁应用和 CI/CD 流程。

Codex GitHub Action

Section titled “Codex GitHub Action”

从 GitHub Events 触发 Codex 操作

使用 Codex GitHub Action(openai/codex-action@v1)在 CI/CD 作业中运行 Codex、应用补丁或发布审查结果。该 Action 安装 Codex CLI,在提供 API 密钥时启动 Responses API 代理,并按你指定的权限运行 codex exec

适用场景

Section titled “适用场景”
  • 自动化 PR 或发布时的 Codex 反馈,无需自行管理 CLI
  • 在 CI 流水线中通过 Codex 驱动的质量检查来把关变更
  • 从工作流文件运行可重复的 Codex 任务(代码审查、发布准备、迁移)

前提条件

Section titled “前提条件”
要求说明
API 密钥将 OpenAI 密钥存储为 GitHub Secret(如 OPENAI_API_KEY
运行环境Linux 或 macOS 运行器(Windows 需设置 safety-strategy: unsafe
检出代码调用 Action 前检出代码,以便 Codex 读取仓库内容
提示内容通过 prompt 内联提供或通过 prompt-file 指向仓库中的文件

示例工作流

Section titled “示例工作流”

以下示例审查新的 PR,捕获 Codex 的响应并将其发布到 PR 上:

name: Codex pull request review
on:
  pull_request:
    types: [opened, synchronize, reopened]


jobs:
  codex:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    outputs:
      final_message: ${{ steps.run_codex.outputs.final-message }}
    steps:
      - uses: actions/checkout@v5
        with:
          ref: refs/pull/${{ github.event.pull_request.number }}/merge


      - name: Pre-fetch base and head refs
        run: |
          git fetch --no-tags origin \
            ${{ github.event.pull_request.base.ref }} \
            +refs/pull/${{ github.event.pull_request.number }}/head


      - name: Run Codex
        id: run_codex
        uses: openai/codex-action@v1
        with:
          openai-api-key: ${{ secrets.OPENAI_API_KEY }}
          prompt-file: .github/codex/prompts/review.md
          output-file: codex-output.md
          safety-strategy: drop-sudo
          sandbox: workspace-write


  post_feedback:
    runs-on: ubuntu-latest
    needs: codex
    if: needs.codex.outputs.final_message != ''
    steps:
      - name: Post Codex feedback
        uses: actions/github-script@v7
        with:
          github-token: ${{ github.token }}
          script: |
            await github.rest.issues.createComment({
              owner: context.repo.owner,
              repo: context.repo.repo,
              issue_number: context.payload.pull_request.number,
              body: process.env.CODEX_FINAL_MESSAGE,
            });
        env:
          CODEX_FINAL_MESSAGE: ${{ needs.codex.outputs.final_message }}

配置 codex exec

Section titled “配置 codex exec”
输入说明
prompt / prompt-file内联指令或仓库中的提示文件路径
codex-args额外 CLI 标志,JSON 数组或 shell 字符串
model / effort选择 Codex 智能体配置
sandbox沙箱模式:workspace-writeread-onlydanger-full-access
output-file将 Codex 最终消息保存到磁盘
codex-version固定特定 CLI 版本
codex-home共享 Codex 主目录,跨步骤复用配置

安全管理

Section titled “安全管理”
选项说明
safety-strategy默认 drop-sudo 移除 sudo;Windows 必须设为 unsafe
sandbox选择最窄的选项,同时让任务完成
allow-users / allow-bots限制谁可以触发工作流

安全清单

Section titled “安全清单”
  • ✅ 限制谁可以启动工作流
  • ✅ 清理来自 PR、commit 消息或 issue 的提示输入,防止提示注入
  • ✅ 保持 safety-strategydrop-sudo 保护 API 密钥
  • ✅ 将 Codex 作为作业的最后一步运行
  • ✅ 发现密钥泄露时立即轮换
-
0:000:00
Blog Docs Books About
概览

开始入门

概览 快速开始 使用场景 迁移到 Codex 价格方案

使用 Codex

配置

Config Basics Advanced Config Config Reference Sample Config Permissions 权限 Speed 加速 Rules 规则 Hooks 钩子 AGENTS.md MCP 协议 Subagents 子智能体

管理

Authentication Agent approvals & security Remote connections Windows

自动化

Non-interactive Mode Codex SDK App Server MCP Server GitHub Action

学习

最佳实践 视频教程 构建 AI 团队

发布

更新日志 功能成熟度 开源