OpenAI Codex 的 threat model 会直接影响后续扫描看到什么、先看什么，以及代码审查重点放在哪里；如果扫描结果偏了，优先改 project overview。到 Codex Security scans 打开仓库后点 Edit 即可更新，修改会作用于未来扫描，必要时可把当前内容复制到 Codex 里先讨论再回填。

OpenAI Codex 威胁模型优化 #

什么是 threat model #

threat model 是对代码库工作方式的简短安全摘要。在 Codex Security 里，它以 project overview 的形式编辑，系统会把它作为后续扫描的上下文，用来决定扫描内容、问题优先级和 review 方向。

Codex Security 会先根据代码自动生成第一版。如果你觉得发现结果不对，优先改的就是这个内容。

一个有用的 threat model 应该说明：

• 入口点和不受信任的输入
• 信任边界和认证假设
• 敏感数据流向或高权限操作
• 团队希望优先 review 的区域

例如：

Public API for account changes. Accepts JSON requests and file uploads. Uses an internal auth service for identity checks and writes billing changes through an internal service. Focus review on auth checks, upload parsing, and service-to-service trust boundaries.

这样能让 Codex Security 在后续扫描时有更好的起点，也更容易把问题排到正确的优先级。

如何改进和重新查看 threat model #

如果想改善结果，先改 threat model。当天然发现缺少你关心的区域，或者问题出现在意料之外的位置时，这一步最有效。threat model 的修改会影响未来的扫描上下文。

有些用户会先把当前 threat model 复制到 Codex，围绕自己希望重点 review 的区域和它对话，改好后再粘回 web UI。

在哪里编辑 #

要查看或更新 threat model，进入 Codex Security scans，打开对应 repository，然后点击 Edit。

相关文档 #

• Codex Security setup 说明 repository setup 和 findings review。
• Codex Security 提供产品概览。
• FAQ 收录常见问题。

常见问题 #

OpenAI Codex 的 threat model 要写什么 #

重点写入口点、不受信任输入、信任边界、认证假设、敏感数据路径和高权限操作。还要说明团队最想优先 review 的区域，这会帮助后续扫描更准确。

Codex Security 扫描结果不对时先改哪里 #

先改 project overview，也就是 threat model。它是后续扫描的上下文，内容偏了，发现位置和优先级也会跟着偏。

OpenAI Codex 的 threat model 在哪里编辑 #

进入 Codex Security scans，打开仓库，然后点 Edit。修改后会影响未来扫描。