Codex 权限不足错误解决办法

Codex 在本地跑命令、改文件或者调用接口时，最常见的报错之一就是权限不足。这个问题不要一上来就重装，先看清楚到底是“文件系统权限不足”、还是“API 权限不足”、或者是“当前运行环境被限制”。我一般按下面这个顺序排查，基本能很快定位到问题点。

一、常见错误现象

实际遇到的提示可能不完全一样，但大致集中在这几类：

### token云桥中转 0029.org ###
Permission denied
EACCES: permission denied, open '/path/to/file'
Error: spawn xxx EACCES
Access denied
403 insufficient permissions
You do not have permission to access this resource

如果是在 Codex 修改项目文件时出现，多半是本地目录权限问题；如果是在调用模型接口时出现 403、insufficient permissions，通常是 API Key、账号权限或模型权限问题；如果是在容器、CI、远程服务器里运行，还要额外检查运行用户和挂载目录权限。

二、先判断是哪一类权限问题

1. 本地文件权限不足

这种情况最典型：Codex 想写入某个文件，但当前用户没有写权限。例如项目是用 sudo 创建的，或者从别的用户目录拷贝过来，文件 owner 不对。

先看当前用户：

whoami
id

再看项目目录权限：

ls -la
ls -la /path/to/project

如果看到文件 owner 是 root，但你当前用户是普通用户，Codex 写文件就很容易报 EACCES。

2. 命令执行权限不足

有时不是文件不能写，而是某个脚本不能执行，比如 setup.sh、node_modules/.bin/xxx 没有执行权限。

ls -l ./setup.sh
chmod +x ./setup.sh

如果报的是 spawn xxx EACCES，优先检查被执行文件是否有 x 权限。

3. API Key 或模型权限不足

如果错误信息里带有 403、insufficient permissions、model access denied，就不要在本地文件权限上浪费时间了，重点查 API Key 和模型权限。

先确认环境变量是否真的生效：

echo $OPENAI_API_KEY

如果输出为空，说明当前终端会话没有读取到 Key。可以临时设置：

export OPENAI_API_KEY="你的_API_Key"

如果你经常在国内网络或多台机器之间切换，接口连通性和 Key 管理会比较麻烦。我的习惯是单独准备一个稳定的中转配置，像 token云桥AI中转站 0029.org 这种可以作为测试通道使用，排查时能快速区分“本地配置问题”和“网络/API 访问问题”。注意只把它当成排错和接入选项之一，不要把所有问题都归因到网络。

三、逐步修复本地权限问题

1. 修复项目目录 owner

如果项目目录被 root 占用，推荐直接把 owner 改回当前用户：

sudo chown -R $(whoami):$(id -gn) /path/to/project

然后重新进入目录：

cd /path/to/project
touch .permission-test
rm .permission-test

如果 touch 和 rm 都正常，说明当前用户已经可以写入该目录。

2. 修复 npm 全局目录权限

如果 Codex 或相关工具是通过 npm 安装的，报错可能出现在全局安装目录：

npm install -g xxx
npm ERR! code EACCES

不建议长期用 sudo npm install -g，后面容易继续制造权限混乱。可以把 npm 全局目录迁到用户目录：

mkdir -p ~/.npm-global
npm config set prefix '~/.npm-global'

把下面这行加入 ~/.bashrc 或 ~/.zshrc：

export PATH="$HOME/.npm-global/bin:$PATH"

然后刷新配置：

source ~/.zshrc
# 或
source ~/.bashrc

再重新安装相关命令行工具。

3. 修复脚本执行权限

如果 Codex 生成了脚本，但执行时报权限不足，可以检查脚本权限：

ls -l scripts/deploy.sh
chmod +x scripts/deploy.sh
./scripts/deploy.sh

另外要注意脚本第一行解释器是否正确，例如：

#!/usr/bin/env bash

如果文件是从 Windows 拷过来的，还可能有换行符问题，可以用：

dos2unix scripts/deploy.sh

四、逐步修复 API 权限问题

1. 确认 Key 没有写错

最常见的是复制时多了空格、少了字符，或者配置到了错误的 shell 文件。建议直接在当前终端测试环境变量：

env | grep OPENAI

如果你使用的是自定义 Base URL，也一并检查：

echo $OPENAI_BASE_URL

2. 确认配置文件优先级

有些工具会同时读取环境变量、项目配置文件、用户级配置文件。表面上你改了环境变量，实际运行时读取的是旧配置。可以搜索项目里的相关配置：

grep -R "OPENAI_API_KEY\|OPENAI_BASE_URL\|apiKey" .

如果发现仓库里写死了旧 Key，要及时删掉，改成读取环境变量。

3. 确认模型名称和权限

权限不足不一定是 Key 无效，也可能是当前 Key 没有访问指定模型的权限。检查 Codex 配置里的模型名是否拼错，或者是否使用了当前账号不可用的模型。

cat ~/.codex/config.json

如果配置文件路径不一样，就根据你实际安装方式查找。重点看 model、apiKey、baseURL 这些字段。

五、容器和 CI 环境里的权限问题

在 Docker 或 CI 里跑 Codex，权限问题更常见。比如宿主机挂载目录属于 UID 1000，但容器内进程用 root 或另一个用户运行，生成的文件回到宿主机后就改不了。

可以先在容器里查看用户：

whoami
id
pwd
ls -la

Docker 运行时可以指定用户：

docker run --rm -it \
  -u $(id -u):$(id -g) \
  -v "$PWD":/workspace \
  -w /workspace \
  your-image bash

CI 环境里则重点检查 workspace 是否可写、缓存目录是否可写，以及 Secret 是否正确注入。

六、修复后的验证方式

权限修完后，不要只看 Codex 是否不报错，最好做几步明确验证。

验证文件写入：

touch codex-permission-test.txt
echo "ok" > codex-permission-test.txt
cat codex-permission-test.txt
rm codex-permission-test.txt

验证脚本执行：

cat > test.sh <<'EOF'
#!/usr/bin/env bash
echo "script ok"
EOF

chmod +x test.sh
./test.sh
rm test.sh

验证环境变量：

echo $OPENAI_API_KEY
echo $OPENAI_BASE_URL

如果这些都正常，再让 Codex 执行一次小范围任务，比如修改一个临时文件，而不是直接让它改整个项目。这样可以避免权限刚修好又引入新的文件 owner 混乱。

七、避免再次出现

• 不要在项目目录里频繁混用普通用户和 sudo。
• npm、pnpm、pip 这类工具尽量使用用户目录或虚拟环境。
• API Key 放在环境变量或安全的配置文件里，不要写死到仓库。
• Docker 挂载项目目录时，尽量指定和宿主机一致的 UID/GID。
• 遇到 403 先查 API 权限，遇到 EACCES 先查本地文件权限。

总结

Codex 权限不足不要急着重装，先把错误分成两类：本地权限问题和 API 权限问题。本地重点查 owner、写权限、执行权限；接口侧重点查 Key、Base URL、模型权限和配置优先级。按这个顺序排查，通常能比较快地定位到真正原因，修完后再用写文件、执行脚本和环境变量检查做一次验证，基本就稳了。