1 Codex CLI 為何是「一條鏈路、多個出口」,而不是單一 ChatGPT 網頁
OpenAI Codex CLI把助理能力塞進終端機:您先用套件管理器取得 @openai/codex,再用瀏覽器完成帳戶授權,之後每次互動都會對 OpenAI API 送出請求,並可能維持較長的工作階段。若您啟用沙箱或容器隔離,背景還會向 Docker Hub 或相容 registry 拉沙箱鏡像。這與「只開 chatgpt.com 聊天」最大的差別,在於流量型態分裂:npm 走的是 registry 與 tarball CDN;瀏覽器 OAuth 走的是身分與同意畫面相關網域;CLI 執行期則偏向 API 子網域與長連線;Docker 引擎拉映像檔時又是另一組 SNI,且常不經過您為 shell 設定的 http_proxy。
站內已有ChatGPT/OpenAI 泛化分流與MCP 工具鏈與 npm/GitHub專文;本文刻意把視角縮到 Codex CLI 這條「安裝 → 登入 → API → 可選沙箱」的終端路徑,避免讀者只抄一份 DOMAIN-SUFFIX 清單卻不知道哪一段逾時該查日誌。對 Mihomo/Meta 系核心而言,關鍵仍是:把同一情境會同時出現的主機後綴收成可版本化的 Rule Provider,並讓它們在 rules 中早於過寬的 DIRECT/MATCH 命中。
建議把成功標準寫成:在 Rule 模式下,npm 安裝、瀏覽器授權、Codex 執行期 API與(若有)映像檔拉取四段流量,於連線日誌中各自命中您預期的策略組;且與企業 VPN、本機 Docker 的路由邊界一致、可重現。
2 安裝階段:npm install -g @openai/codex 與 npm registry
全域安裝幾乎一定會碰到 registry.npmjs.org 與其後的 tarball 主機;實際 URL 會隨套件版本與 CDN 而變,因此不要只寫單一 FQDN,而是以 DOMAIN-SUFFIX,npmjs.org 這類後綴規則打底,再用連線紀錄補上漏掉的子網域。若組織內有自建 npm registry 鏡像,請把鏡像主機後綴改成 DIRECT 或內網策略組,並確認從鏡像重導回官方 tarball 時仍被規則覆蓋,否則會出現「metadata 成功、下載一半失敗」的碎片化症狀。
許多開發者習慣用 npx 試跑;此時除 registry 外,還可能多一段暫存解壓與子程序啟動。若 Clash 分流在 Rule 模式下異常、Global 卻正常,請先懷疑規則順序與行程是否吃到代理,不要急著換節點。需要把訂閱與本地片段安全合併時,可先參考訂閱轉換教學,避免 rules 根本沒載入卻誤判為上游故障。
與純 MCP 專文的差異在哪裡
MCP 專文強調「拉伺服器套件與 GitHub tarball」;Codex CLI 的安裝段與之重疊,但主線更短:核心是 @openai/codex 與其相依版本解析。您可以把 npm 規則與 MCP 共用同一策略組名稱(例如 PROXY_DEV),再用註解或檔名區分用途,降低團隊溝通成本。
3 登入與鑑權:瀏覽器 OAuth 與 OpenAI 相關網域
首次登入通常會跳出系統預設瀏覽器,經過同意畫面後把權杖交回 CLI。此時除 OpenAI API 端點外,還可能涉及 openai.com 樹下的文件、靜態資源與身分流程子網域(實際主機名請以您當下連線紀錄為準)。實務上建議以 DOMAIN-SUFFIX,openai.com 作為粗粒度錨點,再針對日誌中反覆出現的 CDN 或驗證子域補強;同時保留一份對照ChatGPT/OpenAI 泛化規則,避免兩邊策略互相打架。
若組織使用裝置管理或 SSL 檢查,瀏覽器段可能「看起來正常」但 CLI 段因憑證鏈或時間不同步而失敗;這類問題與代理品質無關,請先排除 MITM 與系統時間。另請注意:把 api.openai.com 與網頁端點拆到不同策略組雖可行,但會增加除錯難度;多數個人使用者寧可讓它們同一出口、同一節點品質輪廓,再靠日誌確認命中。
4 執行期:OpenAI API、長連線,以及可選 MCP 工具鏈
CLI 進入工作狀態後,主要流量會落在推論與工具呼叫相關的 API 主機上(常見後綴仍以 openai.com 樹為主;實際路徑請以官方文件與您客戶端日誌為準)。這類連線往往比單次 REST 更長命,對節點的 TCP 穩定度與逾時設定更敏感;若您使用自動選節點,可搭配URL-Test 與 Fallback 策略組降低「對話中途換出口」的機率。
當您為 Codex 啟用 MCP 或外掛工具時,鏈路會立刻回到「npm/GitHub 拉伺服器」模式:此時應直接複用MCP 與 npm/GitHub 分流的規則集,而不是在 Codex 專用檔裡再複製一份互相漂移的清單。關鍵是規則載入順序:工具鏈相關 RULE-SET 應早於過寬的國內直連條目,否則 registry.npmjs.org 會被誤判為可走 DIRECT 而實際被防火牆重設。
http_proxy/https_proxy,讓少數不遵循系統代理的工具維持一致出口;埠號請改成您本機 Clash 混合埠。
5 沙箱鏡像:Docker Hub 與本機 Docker 引擎
若功能以容器隔離執行,Docker 會向 registry 索取映像層。以公開 Docker Hub 為例,實務上常見的後綴包含 docker.io、registry-1.docker.io、auth.docker.io,以及依地區可能出現的 CDN 主機(請以 docker pull 當下的 SNI 為準)。這一段與 npm/OpenAI 最大的工程差異是:Docker 背景服務通常不吃 shell 的 Proxy 環境變數,而是走作業系統路由表;若只為終端機設了系統代理卻沒開 TUN/透明代理,很容易出現「CLI 能上網、pull 映像卻逾時」的錯覺。
若官方改以 ghcr.io 或其他 registry 分發沙箱映像,請把該後綴加入同一策略組,並在 Rule Provider 裡用註解標記來源,方便日後稽核。對需要鏡像加速的團隊,亦可評估企業內部 registry,並將內網後綴設為 DIRECT,但務必確認 CI 與筆電使用同一命名規則,避免「本機可跑、流水線拉不到」的環境差。
6 DOMAIN-SUFFIX 與 Rule Provider:可複製的 Mihomo 片段
下列 YAML 僅示範結構:請將 PROXY 換成您設定檔內實際策略組,將 url 換成您自行維護、可稽核的規則集位址。建議把「Codex 主線」與「MCP 開發者拉套件」拆成兩個 rule-providers,再在 rules 裡依序引用,便於團隊在 Git 內 review。
# Example only — replace PROXY, paths, and URLs with your own
rule-providers:
codex-openai-npm-docker:
type: http
behavior: classical
url: "https://example.com/rules/codex-openai-npm-docker.yaml"
path: ./ruleset/codex-openai-npm-docker.yaml
interval: 86400
rules:
- RULE-SET,codex-openai-npm-docker,PROXY
- DOMAIN-SUFFIX,npmjs.org,PROXY
- DOMAIN-SUFFIX,openai.com,PROXY
- DOMAIN-SUFFIX,docker.io,PROXY
- DOMAIN-SUFFIX,docker.com,PROXY
classical 檔案內可再細拆:例如把 registry-1.docker.io、auth.docker.io 與 npm tarball 常見子域逐條列出。當官方調整 CDN 時,您只需更新遠端規則檔或本地 patch,而不必在訂閱商的大包里搜尋漏網之魚。需要社群規則作底稿時,可參考ACL4SSR 與 Rule Provider,但仍建議保留「Codex 專用補丁段」。
7 企業 VPN 與本機 Docker 並存:誰繞過了 Clash?
企業 VPN 常改寫預設閘道或強制全隧道,導致本機 Clash 的 TUN/系統代理看起來「被架空」。此時應先釐清公司政策允許的分割通道範圍,並把內網與套件鏡像走 DIRECT,其餘開發者流量仍回到 Clash;可對照Windows 企業 VPN 與 Clash 分割通道一文的路由邏輯,避免雙重 NAT 或重疊 DNS。
Docker 引擎向 registry 建立的連線屬於背景服務:即使您在終端機裡看得到代理環境變數,docker pull 也可能完全不使用它。務實作法包括:啟用可覆蓋全系統 TCP 的 TUN、在 Docker Desktop/daemon 設定中配置 registry 代理、或改用企業內部映像倉庫。請記住目標是讓映像層與 CLI 層的出口語意一致,而不是強求所有程式都走同一個 HTTP 代理埠。
直連鏡像與一律代理的取捨
若企業內網已提供 npm 與 Docker 的加速鏡像,將對應後綴設為 DIRECT 往往比強制 PROXY 更省延遲;但若鏡像不完整,仍可能在重導向後落回官方域名,此時請確保官方後綴仍在代理策略內。若您同時使用 WSL2 跑 Linux 版 CLI,可延伸閱讀WSL2 與鏡像/代理對齊,釐清 Windows 與子系統的 DNS 邊界。
8 DNS、FakeIP 與 TUN:讓規則命中與解析結果同一個故事
只寫 DOMAIN-SUFFIX 卻忽略 DNS,常出現「瀏覽器登入成功、CLI 卻解析到錯誤位址」的假性故障。建議把 DNS 當成分流系統的一部分,並閱讀DNS 防洩漏與 FakeIP。若您希望減少對各程式代理支援度的依賴,可評估 TUN;細節可對照Clash Verge Rev TUN 模式指南,確認防火牆與 UWP 例外已一併處理。
9 常見問題排查
npm ERR! code ETIMEDOUT:先確認 tarball 子網域是否落在規則集內,再檢查該 shell 是否繼承代理環境變數。- 瀏覽器登入成功、CLI 仍 401:多與權杖儲存路徑、時鐘偏差或企業裝置政策有關,請先對照官方錯誤碼說明。
- 只有
docker pull失敗:優先檢查 Docker 引擎路由與 registry 代理設定,而不是調整 OpenAI 規則。 - Rule 模式壞、Global 正常:回到規則順序與 Rule Provider 更新,避免過早
DIRECT。 - 需要可信 Clash 用戶端安裝包:請使用本站下載頁取得與教學一致的版本。
10 總結
2026 年討論終端 AI,OpenAI Codex CLI 把 npm registry、帳戶鑑權、OpenAI API 與可選的沙箱鏡像綁在同一條開發者路徑上;任何一段走錯出口,症狀都會像「安裝壞掉」或「模型連不上」般難以直覺定位。以 Clash 分流與 Mihomo 實作時,請用 DOMAIN-SUFFIX 與 Rule Provider 把四段流量收成可版本化規則,並與企業 VPN、Docker 引擎的路由邊界一併寫進團隊備忘。相較一遇到問題就切 Global,把規則與日誌對齊通常更能節省時間。
若您尚未安裝或升級用戶端,建議從本站下載頁開始,與站內教學維持相同版本基準。相較其他同類工具,Clash 系列在規則可維護性與策略組彈性上,對需要同時調校終端工具鏈與跨境連線的開發者通常更順手。
