Codex CLI国内实战指南：协议适配型大模型命令行工具详解

1. Codex CLI不是OpenAI官方产品，但它是国内开发者绕过访问限制的务实选择

Codex CLI这个名字，很容易让人误以为是OpenAI官方推出的命令行工具——毕竟“Codex”是OpenAI在2021年公开发布的代码生成模型名称，而CLI（Command-Line Interface）又是开发者最熟悉的交互形态。但事实恰恰相反：当前市面上所有标称“2026Codex国内通用”的安装包、教程、镜像站，均与OpenAI无任何技术或法律关联。它本质上是一个由国内开源社区二次封装的MCP（Model Communication Protocol）协议客户端，核心目标非常明确：在不依赖境外网络环境的前提下，让本地终端能稳定调用各类大模型API服务，尤其是兼容OpenAI Chat Completion标准格式的国产模型服务端。

我第一次接触这个工具是在2024年Q3，当时团队要为内部运维平台快速集成一个“自然语言转Shell命令”的能力。原计划直接调用OpenAI API，但测试发现：即使配置了企业级代理链路，请求延迟仍常突破8秒，且错误率高达37%（主要是connection reset by peer和timeout）。更麻烦的是，每次CI/CD流水线触发时，都要人工确认代理状态——这显然无法满足SRE对自动化可靠性的底线要求。后来在某次技术沙龙上，一位来自深圳AI Infra团队的工程师提到：“别折腾代理了，试试Codex CLI，它把路由、重试、上下文缓存全给你包圆了，关键是——它根本不需要你连外网。”

这句话点醒了我。回去立刻拉下GitHub上star数最高的fork分支（commit hash:a3f8d1b），用make build编译出二进制文件，在Ubuntu 20.04物理机上执行./codex --version，输出codex v0.9.4-mcp-20241022。没有报错，没有证书警告，没有DNS解析失败——那一刻我就知道，这不是又一个“伪离线”玩具，而是真正面向国内生产环境设计的协议适配层。

它的价值锚点非常清晰：解决“协议兼容性”而非“模型能力”问题。就像USB-C接口本身不发电，但它让不同厂商的充电器、显示器、硬盘都能插进同一台MacBook。Codex CLI做的就是这件事——它不训练模型，不优化推理，只确保你的curl -X POST https://your-internal-llm-gateway/v1/chat/completions请求，能被后端服务像对待原生OpenAI请求一样解析和响应。所以当你看到“Codex接入DeepSeek”“Codex接入Claude Code”这类表述时，真实含义是：通过Codex CLI这个统一入口，把请求自动转换成目标模型服务能理解的字段结构（比如把messages数组里的role: 'system'映射为DeepSeek需要的system_prompt参数），再转发过去。

这也是为什么所有热词里反复出现填写兼容 openai response 格式的服务端点地址——因为Codex CLI的全部魔法，都建立在一个前提上：你必须先有一个能返回标准OpenAI JSON Schema的LLM服务端。它可以是部署在内网的Qwen2-7B-Chat API服务，可以是飞书自建的Claude Code网关，甚至是你用Ollama跑在本地的Phi-3-mini，只要它响应体长这样：

{ "id": "chatcmpl-9e3b...", "object": "chat.completion", "created": 1731234567, "model": "qwen2-7b-chat", "choices": [{ "index": 0, "message": { "role": "assistant", "content": "ls -la | grep '\.log$'" }, "finish_reason": "stop" }], "usage": {"prompt_tokens": 42, "completion_tokens": 15, "total_tokens": 57} }

那么Codex CLI就能无缝对接。它不关心模型是谁家的，只认这个JSON结构。这种设计哲学，正是它能在2024–2025年国内AI工程圈快速普及的根本原因：把模型选型的自由权，还给业务开发者；把网络基础设施的复杂性，封进一个二进制里。

提示：网上流传的“Codex离线安装包”大多包含两个关键组件——CLI主程序（静态链接Go二进制）和预置的MCP Server（轻量Node.js服务，用于处理本地路由、历史会话管理、敏感词过滤等）。所谓“离线”，指的是CLI本体无需联网即可运行，但实际调用模型时仍需访问你配置的服务端地址。不存在真正意义上的“纯离线大模型CLI”，那属于Ollama或LM Studio的范畴。

2. 安装不是下载一个exe就完事，真正的门槛在于MCP Server的启动与路由配置

很多人卡在第一步：明明双击了codex-setup-win.exe，也看到了“安装成功”弹窗，但执行codex chat却报错Error: failed to connect to MCP server at http://127.0.0.1:8080。这背后暴露了一个关键误解——Codex CLI不是一个单体应用，而是一个Client-Server架构的协作系统。CLI只是命令行外壳，真正处理请求分发、上下文维护、流式响应组装的是后台运行的MCP Server进程。没有它，CLI就像没有引擎的汽车，按多少次喇叭都没用。

我见过最典型的失败案例，是一位做量化交易的用户。他在Windows上用PowerShell执行.\codex.exe install，安装日志显示MCP Server installed successfully，但他没注意到最后一行小字：⚠️ MCP Server is NOT started automatically. Run 'codex server start' manually.他直接跳到codex chat，结果报错。花了3小时查防火墙、杀毒软件、端口占用，最后才发现——Server根本没启动。

正确的安装流程，必须拆解为三个原子步骤，缺一不可：

2.1 环境准备：确认基础依赖与端口可用性

Codex CLI对系统要求极低（Linux/macOS/Windows全支持），但有两个硬性前提：

• Python 3.9+（仅用于MCP Server启动脚本）：注意，这是Server启动依赖，不是CLI本体依赖。CLI是Go写的静态二进制，不依赖Python。但Server的启动脚本server/start.py是Python写的，用于读取配置、检查端口、拉起Node.js进程。如果你的机器没装Python，codex server start会直接报command not found。
• 8080端口空闲（默认）：这是MCP Server的监听端口。很多国内用户装了Docker Desktop、VMware、甚至某些国产云桌面软件，都会悄悄占掉8080。执行netstat -ano | findstr :8080（Windows）或lsof -i :8080（macOS/Linux）确认。如果被占，可在~/.codex/config.yaml中修改server.port: 8081，但务必同步更新CLI的--server-url参数。

注意：Ubuntu 20.04用户需额外验证systemd服务管理权限。部分最小化安装的Ubuntu 20.04默认禁用systemd-resolved，会导致MCP Server启动时DNS解析失败。解决方案是执行sudo systemctl enable systemd-resolved && sudo systemctl start systemd-resolved，否则你会看到getaddrinfo EAI_AGAIN your-llm-gateway.internal这类错误。

2.2 安装CLI本体：区分“绿色版”与“完整版”的适用场景

目前主流分发渠道提供两种安装包：

• 绿色便携版（推荐新手）：单个codex二进制文件（Linux/macOS）或codex.exe（Windows），大小约12MB。解压即用，适合临时测试、CI/CD环境、或对系统侵入性敏感的场景（如金融客户提供的受限开发机）。缺点是每次升级需手动替换文件。
• 完整安装版（推荐长期使用）：包含CLI二进制、MCP Server源码、预置配置模板、Shell/Zsh自动补全脚本。Windows版会写注册表添加PATH，macOS版会创建/usr/local/bin/codex软链，Linux版提供deb/rpm包。优势是codex update可一键升级，且codex server install能将Server注册为系统服务（Ubuntu用systemd，macOS用launchd）。

我建议新手从绿色版起步。以Ubuntu 20.04为例，实操步骤如下：

# 1. 下载（注意：官网域名常变，优先从GitHub Release页获取） wget https://github.com/codex-cli/releases/download/v0.9.4/codex_0.9.4_linux_amd64.tar.gz tar -xzf codex_0.9.4_linux_amd64.tar.gz chmod +x codex # 2. 检查是否能运行（此时Server未启动，仅验证CLI本体） ./codex --help | head -10 # 应正常输出帮助信息 # 3. 创建配置目录（重要！否则后续操作会失败） mkdir -p ~/.codex

2.3 启动MCP Server：三步验证法确保服务就绪

这才是安装环节的真正核心。我总结了一套“三步验证法”，每步失败都有明确归因：

第一步：手动启动Server并观察日志

# 进入Codex安装目录（绿色版需cd到codex所在目录） ./codex server start --verbose

预期输出应包含三行关键日志：

INFO[0000] MCP Server starting on http://127.0.0.1:8080 INFO[0000] Loading config from /home/user/.codex/config.yaml INFO[0000] Server started successfully

如果卡在第一行，大概率是8080端口被占；如果报config.yaml not found，说明你没创建~/.codex目录；如果报failed to load model config，说明配置文件语法错误。

第二步：用curl直连Server健康检查

curl -s http://127.0.0.1:8080/health | jq .

应返回：

{"status":"ok","timestamp":1731234567,"uptime_seconds":12}

这证明Server进程存活且HTTP服务正常。如果返回curl: (7) Failed to connect...，说明Server没起来或端口不对。

第三步：CLI调用Server自身API

./codex server status

应输出类似：

MCP Server Status: Status: Running PID: 12345 Port: 8080 Uptime: 42s Config: /home/user/.codex/config.yaml

这步验证CLI与Server的通信通道已打通。只有三步全部通过，才算真正完成“安装”。

实操心得：我在某次为客户部署时发现，Server启动后codex server status显示Running，但codex chat仍报连接超时。排查发现是客户安全策略禁止了localhost回环地址的HTTP请求，强制要求用127.0.0.1。解决方案是在~/.codex/config.yaml中显式设置server.host: "127.0.0.1"，并重启Server。这个细节90%的教程都不会提，但却是企业内网环境的高频坑。

3. 配置不是填个API Key就完事，服务端点路由才是决定成败的关键开关

当codex server status显示一切正常，你以为就可以codex chat畅聊了？错。此时最大的陷阱，是盲目相信“填了API Key就能用”。Codex CLI的设计哲学决定了：它根本不处理API Key的鉴权逻辑，所有Key验证、配额控制、模型路由，都交给后端MCP Server或你配置的服务端来完成。CLI唯一要做的，是把你的请求，精准、可靠地送到正确的服务端点。而这个“送”的过程，就是配置的核心——服务端点路由（Endpoint Routing）。

我们来看一个真实案例。某电商公司想用Codex CLI驱动客服工单自动分类系统。他们采购了两套服务：

• 内网A集群：部署Qwen2-72B-Chat，地址http://qwen-gateway.internal:8000/v1/chat/completions，用于高精度长文本分析；
• 内网B集群：部署Phi-3-mini，地址http://phi-gateway.internal:8000/v1/chat/completions，用于低延迟短文本意图识别。

他们最初的配置是这样的（错误示范）：

# ~/.codex/config.yaml models: - name: qwen-pro endpoint: "http://qwen-gateway.internal:8000/v1/chat/completions" api_key: "sk-xxx-qwen" - name: phi-fast endpoint: "http://phi-gateway.internal:8000/v1/chat/completions" api_key: "sk-xxx-phi"

然后执行：

codex chat --model qwen-pro "请分析以下工单：用户投诉物流超时3天..."

结果报错：HTTP 401 Unauthorized。奇怪，Key明明是对的。抓包发现，请求头里根本没有Authorization: Bearer sk-xxx-qwen。为什么？

因为Codex CLI的api_key字段，只在调用OpenAI官方API时生效（即endpoint以https://api.openai.com开头）。对于自建服务端，CLI默认不添加任何认证头——它假设鉴权由服务端自行处理（比如通过IP白名单、JWT Token、或Header透传）。而该公司的Qwen网关，恰恰要求在Header里带X-API-Key: sk-xxx-qwen。

这就引出了Codex CLI配置的黄金法则：服务端点路由 = Endpoint URL + Request Headers + Model Mapping Logic。一个完整的、可工作的配置，必须包含这三个维度。

3.1 Endpoint URL：必须精确匹配服务端的OpenAI兼容层路径

很多用户栽在URL末尾的斜杠上。例如：

• 正确：http://your-llm-gateway/v1/chat/completions
• 错误：http://your-llm-gateway/v1/chat/completions/（多了一个斜杠）

为什么？因为Codex CLI内部用的是Go的net/http库，其http.Client对URL标准化处理严格。多一个斜杠，会导致最终请求路径变成/v1/chat/completions//，而Nginx或FastAPI服务端通常会返回404。我建议用curl -I预检：

curl -I http://qwen-gateway.internal:8000/v1/chat/completions # 应返回 HTTP/1.1 200 OK 或 HTTP/1.1 405 Method Not Allowed（说明路径存在） # 如果返回 HTTP/1.1 404 Not Found，立刻检查URL拼写

3.2 Request Headers：用headers字段注入服务端所需的认证与元数据

回到上面的电商案例，正确配置应为：

models: - name: qwen-pro endpoint: "http://qwen-gateway.internal:8000/v1/chat/completions" headers: X-API-Key: "sk-xxx-qwen" X-Request-ID: "{{uuid}}" # 自动注入UUID，便于链路追踪 X-Source: "codex-cli-prod" - name: phi-fast endpoint: "http://phi-gateway.internal:8000/v1/chat/completions" headers: Authorization: "Bearer sk-xxx-phi" # 此处用标准Bearer X-Timeout: "5" # 透传超时秒数给后端

注意{{uuid}}这个语法——这是Codex CLI内置的模板变量，每次请求都会生成新UUID。类似变量还有{{timestamp}}、{{model}}、{{user}}（取自系统用户名）。这比硬编码Key安全得多，也方便审计。

3.3 Model Mapping Logic：用model_map实现请求体字段的智能转换

这才是Codex CLI最强大的能力，也是它区别于普通curl封装的本质。假设你的Qwen网关不接受OpenAI标准的messages数组，而是要求：

{ "system_prompt": "你是一名资深客服专家...", "user_input": "用户投诉物流超时3天...", "max_tokens": 512 }

而OpenAI标准是：

{ "model": "qwen2-72b-chat", "messages": [ {"role": "system", "content": "你是一名资深客服专家..."}, {"role": "user", "content": "用户投诉物流超时3天..."} ], "max_tokens": 512 }

Codex CLI通过model_map规则，自动完成转换：

models: - name: qwen-pro endpoint: "http://qwen-gateway.internal:8000/v1/chat/completions" headers: X-API-Key: "sk-xxx-qwen" model_map: # 将OpenAI messages数组，映射为Qwen的system_prompt + user_input system_prompt: "{{messages.[0].content}}" user_input: "{{messages.[1].content}}" # 将OpenAI的model字段，映射为Qwen的model_name model_name: "{{model}}" # 保留max_tokens等通用字段 max_tokens: "{{max_tokens}}" temperature: "{{temperature}}"

这个model_map语法基于Go template，支持嵌套索引（messages.[0].content）、条件判断（{{if .stream}}true{{else}}false{{end}}）、默认值（{{.top_p | default 0.9}}）。它让Codex CLI成为一个可编程的协议翻译器，而不是简单的HTTP转发器。

踩坑实录：某次我帮一家银行集成Codex CLI到其私有Claude Code网关。网关要求messages数组里不能有role: 'system'，必须把system内容合并到第一个user消息前，用\n\n分隔。我最初用model_map尝试user_input: "{{.messages.[0].content}}\n\n{{.messages.[1].content}}"，结果报错template: error parsing model_map: unexpected "." in operand。查文档才发现，Codex CLI的template引擎不支持.作为对象访问符，必须用index函数：user_input: "{{index .messages 0 \"content\"}}\n\n{{index .messages 1 \"content\"}}"。这个细节在GitHub Issues里被提了17次，但官方文档至今没写清楚。

4. 使用不是简单敲命令，上下文管理与流式响应处理才是生产力瓶颈

当codex chat --model qwen-pro "你好"能稳定返回"你好！我是通义千问，很高兴为您服务。"，恭喜你，CLI的Hello World跑通了。但真正的挑战才刚开始——如何让Codex CLI成为你日常开发中的“生产力杠杆”，而不是一个偶尔调用的玩具？答案藏在两个被90%教程忽略的维度：上下文管理（Context Management）和流式响应处理（Streaming Handling）。

先说上下文。OpenAI API的messages数组设计，天然支持多轮对话。但Codex CLI的chat子命令，默认是“无状态”的——每次执行都是全新会话，历史消息不会自动携带。这意味着：

codex chat --model qwen-pro "北京天气怎么样？" # 返回："北京今天晴，气温15-22℃..." codex chat --model qwen-pro "那上海呢？" # 返回："上海今天多云，气温18-25℃..." —— 但它不知道你在问“上海”，还是在问“北京的上海路”

这显然不符合真实工作流。你需要的是“会话记忆”。Codex CLI提供了三种方案，适用不同场景：

4.1 方案一：--context-file（推荐给脚本自动化）

创建一个JSON文件weather-context.json：

[ {"role": "user", "content": "北京天气怎么样？"}, {"role": "assistant", "content": "北京今天晴，气温15-22℃..."}, {"role": "user", "content": "那上海呢？"} ]

然后执行：

codex chat --model qwen-pro --context-file weather-context.json

CLI会自动把文件内容作为messages数组发送。这个方案的优势是：完全可控、可版本化、可复现。你可以用Git管理weather-context.json，CI/CD流水线每次跑测试时，都加载相同的上下文快照，确保结果一致性。我给客户做的自动化测试框架，就是用这个方案——每个测试用例对应一个.context.json文件，make test时批量执行codex chat --context-file，比写Python脚本调用requests库简洁十倍。

4.2 方案二：--session（推荐给终端交互式开发）

这是最接近“真实聊天”的体验。执行：

codex chat --model qwen-pro --session my-weather-session

首次运行，它会创建一个会话ID，并在~/.codex/sessions/下生成my-weather-session.json。之后每次用相同--session参数，CLI会自动读取并追加历史消息。退出时按Ctrl+D，会话自动保存。下次再进，就是连续对话。

但要注意一个隐藏机制：Codex CLI默认只保存最近20轮消息（可配置）。为什么？因为messages数组过长，会显著增加Token消耗和响应延迟。我在测试中发现，当上下文超过50轮时，Qwen2-72B的首token延迟从300ms飙升到2.1s。所以--session不是“无限记忆”，而是“智能截断”——它会保留最近的system prompt、最近3轮user/assistant对，以及所有role: 'system'消息，丢弃中间的历史。这个策略平衡了记忆与性能。

4.3 方案三：--context（推荐给单行快速调试）

对于简单场景，直接用命令行参数传入：

codex chat --model qwen-pro \ --context '["user","北京天气怎么样？"]' \ --context '["assistant","北京今天晴，气温15-22℃..."]' \ --context '["user","那上海呢？"]'

--context参数接受JSON字符串，格式为[role, content]。它比--context-file更轻量，适合在Shell alias里封装。我自己的.zshrc里有：

alias codex-weather='codex chat --model qwen-pro --context "[\"user\",\"北京天气怎么样？\"]" --context "[\"assistant\",\"北京今天晴...\"]"'

敲codex-weather，立刻接续上次对话。

关键技巧：--session和--context-file都支持--no-save参数。比如你正在调试一个会话逻辑，不想污染正式会话文件，就加--no-save，所有历史只在本次运行内存中存在，退出即销毁。这个功能救了我无数次——避免了因误操作导致的会话文件污染。

再说流式响应。codex chat默认是流式输出（streaming），即模型一边生成，CLI一边打印。这带来两个现实问题：

• 中文乱码：Windows Terminal默认编码是GBK，而API返回UTF-8，导致中文显示为``。解决方案是启动Terminal时加chcp 65001（切换UTF-8），或在~/.codex/config.yaml中设置output.encoding: "utf-8"。
• 光标闪烁干扰：流式输出时，CLI会在行尾加...表示“还在生成”，但有些终端（如VS Code内置Terminal）对ANSI转义序列支持不佳，导致光标疯狂跳动。关闭方法：codex chat --no-ellipsis。

但更大的生产力瓶颈在于：如何把流式响应，变成可编程的数据流？比如你想把Codex CLI的输出，实时喂给另一个Python脚本做情感分析。codex chat的stdout是混合了ANSI颜色码和纯文本的流，直接| python analyze.py会失败。

Codex CLI为此提供了--raw模式：

codex chat --model qwen-pro --raw "分析以下文本的情感倾向：今天股市大涨" | python -c " import sys, json for line in sys.stdin: try: data = json.loads(line.strip()) if 'delta' in data and 'content' in data['delta']: print(data['delta']['content'], end='', flush=True) except: pass "

--raw模式下，CLI输出的是标准的OpenAI SSE（Server-Sent Events）格式，每行一个JSON对象：

{"id":"chatcmpl-...","object":"chat.completion.chunk","created":1731234567,"model":"qwen2-7b-chat","choices":[{"index":0,"delta":{"role":"assistant","content":""},"finish_reason":null}]} {"id":"chatcmpl-...","object":"chat.completion.chunk","created":1731234567,"model":"qwen2-7b-chat","choices":[{"index":0,"delta":{"content":"正"},"finish_reason":null}]} {"id":"chatcmpl-...","object":"chat.completion.chunk","created":1731234567,"model":"qwen2-7b-chat","choices":[{"index":0,"delta":{"content":"向"},"finish_reason":null}]}

这才是真正的“可编程接口”。你可以用任何语言解析它，做实时情感分析、关键词提取、甚至语音合成（TTS）。我给某家教育公司做的“AI口语陪练”，核心就是codex chat --raw+ Python的pyttsx3库，学生说完一句话，CLI实时生成反馈，TTS立刻朗读，延迟控制在800ms内。

终极提示：codex chat的所有参数，都可以用环境变量替代。比如CODEX_MODEL=qwen-pro、CODEX_CONTEXT_FILE=weather-context.json。这让你可以在Docker容器里，用docker run -e CODEX_MODEL=qwen-pro codex-cli codex chat "你好"，彻底解耦配置与代码。这才是DevOps友好的正确姿势。

5. 故障排查不是靠猜，而是用CLI内置的诊断工具链逐层定位

当codex chat突然返回Error: request timeout，或者codex server status显示Running但curl http://127.0.0.1:8080/health超时，绝大多数人会陷入“重启大法”：重启CLI、重启Server、重启电脑……这不仅浪费时间，更掩盖了真实根因。Codex CLI其实内置了一套完整的诊断工具链，覆盖从网络层到应用层的全栈排查。我把它总结为“四层诊断法”，每层都有对应的CLI命令，按顺序执行，95%的问题都能在5分钟内定位。

5.1 第一层：CLI本体健康检查（codex doctor）

这是最轻量的检查，验证CLI二进制自身是否损坏、配置目录权限是否正常、基础依赖是否缺失：

codex doctor

它会输出一个结构化报告：

CLI Health Check: ✅ Binary integrity: OK (sha256: a1b2c3...) ✅ Config directory: OK (/home/user/.codex) ✅ Config file: OK (/home/user/.codex/config.yaml) ⚠️ Python version: WARNING (found 3.8.10, need >=3.9) ❌ MCP Server binary: FAILED (not found in /home/user/.codex/server/)

看到❌项，就立刻聚焦修复。比如上面的例子，MCP Server binary缺失，说明你只下载了CLI二进制，没下载Server组件。解决方案是codex server install。

注意：codex doctor的输出是彩色的（✅⚠️❌），但在某些CI/CD环境（如Jenkins）里，ANSI颜色码会被当成乱码。此时加--no-color参数：codex doctor --no-color，输出纯文本，方便grep解析。

5.2 第二层：MCP Server进程与端口检查（codex server diagnose）

当codex doctor通过，但codex server status异常，就进入第二层。codex server diagnose会执行三步深度检测：

codex server diagnose

• 进程检测：用ps或tasklist确认Server进程是否存在，PID是否匹配status输出；
• 端口检测：用netstat或lsof确认8080（或你配置的端口）是否被Server进程监听；
• HTTP检测：用内置HTTP client，向http://127.0.0.1:8080/health发起GET请求，验证HTTP服务是否响应。

输出示例：

Server Diagnostics: Process: ✅ Running (PID 12345) Port: ✅ Listening on 127.0.0.1:8080 HTTP: ❌ Timeout after 5s (curl -s http://127.0.0.1:8080/health)

如果HTTP检测失败，但进程和端口都OK，基本可以断定是Server内部逻辑错误（比如配置文件里写了不存在的模型名，导致启动时panic）。此时看Server日志：tail -f ~/.codex/logs/server.log。

5.3 第三层：服务端点连通性测试（codex endpoint test）

当Server健康，但codex chat报错Failed to connect to your-llm-gateway，就进入第三层。codex endpoint test会模拟CLI的真实请求流程，但剥离所有业务逻辑，只做最简HTTP探测：

codex endpoint test --model qwen-pro

它会：

• 读取config.yaml中qwen-pro的endpoint和headers；
• 构造一个最小化请求体：{"model":"qwen-pro","messages":[{"role":"user","content":"ping"}]}；
• 发送POST请求，记录HTTP状态码、响应时间、响应体长度；
• 输出详细报告。

输出示例：

Endpoint Test for qwen-pro: URL: http://qwen-gateway.internal:8000/v1/chat/completions Method: POST Status: 401 Unauthorized Time: 124ms Response: {"error":{"message":"Invalid API key","type":"invalid_request_error"}}

看到401，立刻去检查config.yaml里的headers.X-API-Key是否正确；看到Connection refused，立刻去目标服务器上执行curl -I http://localhost:8000/v1/chat/completions，确认网关自身是否存活。

5.4 第四层：请求全流程跟踪（codex trace）

这是终极武器，当以上三层都通过，但codex chat仍返回意外结果（比如返回空内容、格式错乱、响应不完整），就需要codex trace。它会开启全链路日志，记录从CLI输入、到Server接收、到转发服务端、再到响应返回的每一个字节：

codex trace chat --model qwen-pro "你好"

输出是标准JSON Lines格式，每行一个事件：

{"time":"2024-11-10T10:20:30.123Z","level":"DEBUG","event":"cli_input","data":{"model":"qwen-pro","prompt":"你好"}} {"time":"2024-11-10T10:20:30.124Z","level":"DEBUG","event":"server_received","data":{"url":"/chat","body":"{\"model\":\"qwen-pro\",...}"}} {"time":"2024-11-10T10:20:30.456Z","level":"DEBUG","event":"upstream_sent","data":{"url":"http://qwen-gateway.internal:8000/v1/chat/completions","headers":{"X-API-Key":"sk-xxx"}}} {"time":"2024-11-10T10:20:31.789Z","level":"DEBUG","event":"upstream_received","data":{"status":200,"body":"{\"id\":\"...\",\"choices\":[{\"delta\":{\"content\":\"你好\"}}]}"}}

通过对比upstream_sent和upstream_received的body，你能100%确认：是CLI构造的请求有问题，还是服务端返回的响应有问题。我曾用这个功能，发现某次问题根源是服务端返回的JSON里，content字段值为null（而不是空字符串），而Codex CLI的流式解析器遇到null会静默跳过——这属于服务端Bug，不是CLI问题。

最后一个经验：所有诊断命令都支持--verbose和--debug。--verbose输出更多上下文（比如显示完整的HTTP headers），--debug则开启最高级别日志（包括内存分配、GC事件）。在生产环境排查疑难杂症时，codex trace --debug是你的瑞士军刀。但切记：--debug日志量极大，只在必要时开启，用完立刻关掉，否则~/.codex/logs/会迅速占满磁盘。

6. 进阶实战：用Codex CLI构建微信AI Agent，零代码接入企业微信机器人

当codex chat能稳定调用内网模型，下一步自然是如何把它嵌入真实业务场景。最典型的需求，就是“微信AI Agent”——让员工在企业微信里@机器人，输入自然语言，机器人自动调用Codex CLI，查询数据库、生成报告、甚至执行运维命令。网上很多教程讲“用Python写Flask服务+调用OpenAI API”，但忽略了国内企业微信的特殊性：**它要求机器人Webhook地址必须