> [!fixme] > 対応する。 > [!left-bubble] ![[chappy.webp]] > • 一番安全で運用しやすいのは、Codex起動時だけ GH_TOKEN を read-only トークンにする方法です。 > gh は GH_TOKEN（または GITHUB_TOKEN）があると、保存済み認証よりそちらを優先します。 > > 1) read-only の Fine-grained PAT を用意（GitHub側） > 2) Codexを起動するシェルでだけ設定 > > ```bash > export GH_TOKEN='ghp_xxx_read_only' > codex > ``` > > これで: > > - Codex内の gh は read-only トークンを使用 > - 普段のあなたの gh auth login 環境はそのまま維持 > > 毎回手入力が面倒なら、ラッパー化します。 > > ```bash > # 例: ~/bin/codex-ro > #!/usr/bin/env bash > export GH_TOKEN="$(security find-generic-password -a "$USER" -s codex-gh-token -w)" > exec codex "$@" > ``` > > これを使って codex-ro で起動すれば、Codex専用トークンに固定できます。 > 必要なら、このラッパーの作成手順をあなたの環境向けに最短でまとめます。