正文
“给 Codex 换肤”涉及本机 CDP 调试端口,所以安装前值得理解安全边界。简单结论是:项目不修改官方安装包,主要风险来自“本机调试端口允许同一用户的其他程序访问”,以及你是否运行了未经检查的第三方脚本。
它改了什么
Dream Skin 会启动官方 Codex Desktop,让它监听绑定到 127.0.0.1 的调试端口,然后注入 CSS 和少量装饰 DOM。它不替换 .app、app.asar、WindowsApps、二进制文件或代码签名。
它不会提升模型能力,也不应修改 API Key、Base URL、模型供应商、任务内容或插件数据。如果所谓换肤包要求提供 API Key,应立即停止。
回环地址不是绝对安全
绑定回环地址可以阻止局域网设备直接连接,但 CDP 通常没有同一用户级别的额外身份认证。电脑上的另一个恶意或不可信程序,可能尝试连接端口并控制渲染器。因此换肤运行期间只使用可信本机软件,不要运行来源不明的自动化工具。
测试完成后使用 Restore。Restore 会停止记录中的注入器、移除页面主题层并重新普通启动 Codex,关闭调试会话。
从官方仓库获取
只从 [Fei-Away/Codex-Dream-Skin](https://github.com/Fei-Away/Codex-Dream-Skin) 或正式 Release 下载。不要运行网盘里的重打包 ZIP,也不要把未知来源的 curl | sh 或远程 PowerShell 一行命令直接粘贴到终端。
先看脚本
至少检查 install、start、verify 和 restore 脚本。正常脚本会围绕 Codex 包身份、端口和状态文件工作,不应要求上传图片、读取浏览器密码或发送配置到外部服务器。
备份并保存任务
安装前保存任务。脚本会保存外观配置备份,但重启客户端仍可能让未发送输入丢失。config.toml 应保持严格 UTF-8,遇到编码错误不要用记事本随意另存。
图片和隐私
自定义背景在本机 Canvas 中分析亮度、焦点和主色,不依赖外部 AI/API。主题目录和日志仍可能暴露用户名、路径或图片文件名。公开分享主题前检查是否含有私人照片、客户 Logo、未公开项目或地理信息。
预览截图可能出现项目名称、历史任务和输入内容;发布前要裁切或打码。带 UI 的截图只能做预览,不能重新作为背景导入。
第三方工具越界信号
以下要求与正常换肤无关,应视为红旗:
- 要求关闭杀毒软件或 Windows 安全功能。
- 要求取得 WindowsApps 所有权。
- 要求上传 auth.json、API Key 或整个 .codex 目录。
- 要求把 CDP 端口暴露到 0.0.0.0。
- 没有 Restore,却要求手动覆盖官方文件。
适用人群
适合愿意从开源仓库获取代码、能保存任务并按 Verify/Restore 操作的用户。不适合必须遵守严格终端管控、无法运行本机调试端口,或无法审查第三方脚本的企业环境。企业用户应先让安全团队评估。
常见问题
这篇教程适合直接照做吗?
可以作为操作参考,但执行命令前应先确认来源、平台路径、当前 Codex 版本和恢复方式。
如果换肤后界面异常,先做什么?
先停止当前自定义会话并运行 Restore,不要继续叠加新主题或手工删除配置。