- Auto-review là chế độ mới trong Codex CLI 0.124.0 (23/04/2026): một reviewer agent riêng đánh giá các bước rủi ro cao trong ngữ cảnh trước khi chạy, giúp Codex tự động hoàn thành test, build và automation dài mà không cần con người duyệt từng prompt.
TL;DR
Ngày 23/04/2026, OpenAI ship Auto-review trong Codex CLI 0.124.0 — một chế độ duyệt mới thay thế tên pre-release "Guardian review". Thay vì bật mọi prompt xin quyền cho người dùng, Codex route các yêu cầu đó qua một reviewer agent riêng. Reviewer đọc ngữ cảnh của bước, phân loại rủi ro theo 4 mức, tự chặn các hành vi nguy hiểm và chỉ escalate lên người thật khi nó không chắc. Kết quả: agent chạy được các task dài (test, build, refactor nhiều giờ, thread automations) mà không bị stall ở approval prompt, nhưng vẫn fail-closed khi có dấu hiệu rủi ro.
Auto-review là gì
Trong mô hình cũ, mỗi lần Codex muốn thoát sandbox — ghi file ngoài workspace, gọi network, chạy lệnh có side-effect — nó phải dừng lại chờ người dùng bấm Approve. Ổn với task ngắn, nhưng kill hoàn toàn mọi ý định "để Codex tự chạy qua đêm".
Auto-review chèn một agent thứ hai vào giữa. Cấu hình chỉ có 2 dòng:
approval_policy = "on-request"
approvals_reviewer = "auto_review"Khi bật, eligible approval requests được đẩy sang reviewer agent trước. App hiển thị một review item với trạng thái (approved, denied, stopped, timed out) và mức rủi ro, để bạn thấy quyết định nào do reviewer chốt và quyết định nào vẫn cần bạn xem.
Vì sao đáng chú ý
Đây không phải thêm một toggle "yolo" nữa. Điểm khác biệt là reviewer agent đọc đúng ngữ cảnh của step: lệnh gì, trong conversation nào, sau những action nào. Nó bắt được các pattern mà rule-based approval cũ bỏ sót — ví dụ một lệnh curl bình thường nhưng đi kèm chuỗi action trước đó có mùi credential probing.
OpenAI liệt kê 4 loại hành vi reviewer chủ động soi:
- Data exfiltration (gửi file/secret ra ngoài).
- Credential probing (dò token, key, cookie).
- Persistent security weakening (tắt bảo vệ, sửa config hệ thống).
- Destructive operations (xoá dữ liệu, force-push, drop DB).
Và quan trọng: fail closed. Timeout, parse lỗi, reviewer lỗi → mặc định deny, không phải allow.
Technical facts
Reviewer phân loại mỗi request theo 4 tier rủi ro:
| Risk tier | Hành động |
|---|---|
| Critical | Tự động deny, không escalate |
| High | Yêu cầu user authorization đủ mạnh & không trùng deny rule |
| Medium | Cho chạy nếu policy cho phép |
| Low | Cho chạy nếu policy cho phép |
Một số chi tiết triển khai đáng lưu ý:
- Default reviewer policy là open-source trong Codex repo — bạn đọc được, fork được.
- Enterprise deploy override qua managed requirements; admin có thể khoá danh sách
allowed_approvals_reviewers. - Reviewer tốn thêm model call → tăng Codex usage metering, nhìn thấy trong billing.
- Actions vẫn trong sandbox (workspace-only, không network) thì bỏ qua reviewer — không phải bước nào cũng phải đi qua tier 2.
So sánh với các chế độ cũ
| Mode | File edits | Network | Human approval |
|---|---|---|---|
| Read-only + on-request | Bị chặn | Bị chặn | Mọi escalation |
Auto (--full-auto) | Chỉ workspace | Bị chặn | Khi thoát sandbox |
| Auto-review | Chỉ workspace | Chặn trừ khi reviewer pass | Chỉ khi reviewer không chắc |
Full access (--yolo) | Tự do | Mở | Không có |
Auto-review không nới quyền kỹ thuật so với --full-auto — cùng scope — nhưng thêm một lớp đánh giá trung gian. Hợp với team muốn "human-in-the-loop governance mà không phải bấm Approve 200 lần mỗi sáng".
Ai nên bật
- Long-running agent sessions: refactor cả module, chạy test suite dài, migration database qua đêm.
- Thread automations (ship ở CLI 0.122.0 ngày 20/04/2026): schedule cùng một thread thức dậy theo cron, tiếp tục loop mà không cần ai ngồi canh.
- CI-style workflows trong Codex CLI: hooks giờ đã stable, config inline trong
config.toml, support MCP tools + long-running bash — ghép với auto-review là có pipeline tự hành. - Team regulated: cần audit trail "ai/agent nào approve bước nào" nhưng không có nhân sự review 24/7.
Limitations & pricing
- Reviewer tốn thêm token — nếu task của bạn bắn hàng trăm approval/giờ, hoá đơn sẽ nhìn thấy ngay.
- Fail-closed cắt được rủi ro nhưng có thể stall task dài khi reviewer timeout liên tục; cần tune policy hoặc tăng reviewer timeout.
- Default policy là điểm khởi đầu — môi trường nhạy cảm nên override + khoá whitelist reviewer để tránh user tự trỏ sang reviewer yếu hơn.
- OpenAI nhắc lại quan điểm: Codex (kể cả auto-review) là additional reviewer, không thay thế human review cho production.
- Availability: Codex CLI 0.124.0 trở lên. Giá Codex không đổi; auto-review chỉ tăng usage qua model call của reviewer.
What's next
Trong cùng release window, OpenAI đã ship permission-mode drift fix, command-specific permission profiles, và thread automations — ba mảnh ghép để Codex vận hành như một worker dài hạn thay vì một copilot ngồi cạnh. Hướng tiếp theo dễ thấy là: thêm preset policy cho reviewer theo domain (backend, infra, DS), đẩy auto-review từ CLI sang IDE + cloud Codex, và ghép reviewer agent với hooks để thay thế các script pre-commit thủ công.
Nếu bạn đang tính để Codex tự chạy qua đêm, bây giờ là lúc đọc default reviewer policy, fork một bản riêng, và thử một thread automation nhỏ trước khi giao task dài.
Nguồn: Codex Changelog, Agent approvals & security, @OpenAIDevs.
