Codex Account Switcher

核心功能

Codex Account Switcher 是一款面向多账户 OpenAI Codex 用户的身份管理工具，核心解决「多个账号（个人/家庭/工作）频繁切换」的痛点。主要功能包括：

• 账户快照保存：通过 add 命令启动浏览器登录流程，捕获并保存当前登录令牌
• 即时切换：use 命令秒级切换至指定账户，无需重新登录
• 智能自动选择：auto 命令基于配额预算评分算法，自动选择最优账户
• OpenClaw 同步：可选将保存的账户令牌同步至 OpenClaw Agent 的认证配置

显著优点

智能配额管理是该 skill 的差异化亮点。其预算评分算法综合考虑 7 天滚动窗口和 5 小时短窗口配额，通过「实际使用率-理论预算率」计算得分，配合 5 小时窗口的阶梯式惩罚机制（75%+10 分、90%+50 分、100%+200 分），有效避免因短窗口配额耗尽导致的服务中断。

安全设计良好：仅使用 Python 标准库（零第三方依赖），实现 safe_save_token() 防错配机制，敏感路径在元数据中显式声明，OpenClaw 同步采用「显式 opt-in」模式（--sync 或 sync 命令），配合 --dry-run 预览功能。

审计可追溯：每次账户切换记录至 ~/.codex/account-activity.jsonl，支持后续配额使用归因分析。

潜在局限

• 平台依赖：需预装官方 codex CLI 工具，仅支持 OpenAI Codex 生态
• 手动初始配置：首次使用需逐个账户执行浏览器登录流程
• 配额探测开销：auto 模式需临时切换每个账户执行探测命令，账户较多时存在时间成本
• 文件权限风险：敏感令牌文件需用户自行确保 chmod 600 权限设置

适合人群

• 拥有多个 OpenAI Codex 账户（个人+工作+家庭共享）的开发者
• 需要最大化 API 配额利用率、避免单账户限速的团队
• 使用 OpenClaw 多 Agent 架构、需要统一身份源的技术用户
• 注重本地隐私、不愿将令牌托管至云端服务的安全敏感用户

常规风险

| 风险类别 | 说明 | 缓释措施 |

|---------|------|---------|

| 令牌泄露 | 本地 JSON 文件存储敏感 OAuth 令牌 | 建议设置文件权限 600，定期检查 |

| 错配覆盖 | 账户切换时可能意外覆盖错误配置 | 内置 `safe_save_token()` 身份验证机制 |

| Subprocess 注入 | 调用 `codex` CLI 命令存在注入风险 | 自定义 env 环境变量，禁用浏览器自动打开 |

| 配额误判 | 基于缓存/session 数据计算，可能与实际有延迟 | 设计有回退机制，优先使用最新 session 数据 |

安全认证评级 S 级（92 分），来源可信度 T2（可信个人开发者开源项目），整体属于高可信、功能专注的实用型工具。

核心用法

Codex Account Switcher（代码库账户切换器）是一款专为OpenAI Codex用户设计的多账户管理工具。它允许用户在同一台机器上保存、切换、比较和选择性地同步多个Codex账户的身份验证令牌。其核心功能包括：通过交互式向导添加新账户（add命令），列出所有已保存的账户信息（list命令），以及即时切换到指定账户（use命令）。

最强大的功能是其“自动切换”模式（auto命令）。该模式会自动探测每个已保存账户的当前API配额限制（包括7天总量窗口和5小时内窗口），然后根据预算评分算法计算出最佳账户，并立即切换。这确保用户始终在使用拥有最多可用配额、最不容易遇到速率限制的账户。此外，它还提供了显式的令牌同步功能（sync命令或--sync参数），用户可以主动将选定的账户令牌推送到OpenClaw代理的本地认证存储中，实现账户信息在本地代理间的共享。

显著优点

1. 智能化配额管理：独特的预算评分系统是最大亮点。它不只简单地选择剩余额度最高的账户，而是根据一周中已经过去的时间，计算每个账户的“预算”（即理想使用进度）。通过比较实际用量与预算的偏差，结合即将受限的5小时窗口惩罚分，确保选出的账户在拉长时间线和防止即时阻塞之间取得最佳平衡。
2. 安全与显式控制：默认情况下，所有操作仅影响Codex自身的本地快照数据。任何向OpenClaw代理传播令牌的行为都是显式的，需要用户主动使用sync命令或添加--sync标志，并且支持--dry-run预览，这在功能性和安全性之间取得了很好的平衡。
3. 轻量无依赖：整个工具完全使用Python 3标准库编写，无任何外部依赖。这意味着安装和部署极为简单，不存在由第三方依赖链引入的安全漏洞或恶意包风险。
4. 清晰的操作反馈：auto和list命令提供了格式化良好的终端输出，可以清晰地展示每个账户的配额使用百分比、剩余时间、评分等关键信息，让用户对当前各账户状态一目了然。

潜在缺点或局限性

1. 路径遍历风险：安全审计发现，在use和auto等命令中，用户通过命令行传入的“账户名”参数未经过充分的路径清洗，直接拼接到文件路径中。攻击者理论上可以通过构造包含../等字符的恶意账户名来读取或写入超出预期目录的文件。虽然因为会被自动追加.json后缀，导致危害有限，但这是一个需要修复的中等严重性安全漏洞。
2. 令牌明文存储：与官方的Codex CLI行为一致，所有账户的访问令牌和刷新令牌都以明文JSON格式存储在用户的本地文件系统中。工具虽然建议用户设置严格的文件权限（例如chmod 600），但并未在代码中强制执行，依赖用户自觉。
3. 异常中断状态不一致：在进行自动配额探测（auto命令）时，脚本会临时修改auth.json文件。如果探测过程因意外而中断（如进程被强制结束），auth.json可能会保留最后一个被测试账户的认证状态，而非最佳状态，这是一个小的鲁棒性问题。
4. 许可证缺失：项目目前未声明任何开源许可证。根据GitHub的默认条款，这意味着保留所有权利，用户在未获得明确许可的情况下，其使用、修改和分发的权利是不明确的，存在法律合规风险。

适合的目标群体

这款工具非常适合有以下需求的开发者或专业用户：

• 拥有多个OpenAI Codex账户的使用者（例如个人账户、家庭账户、工作账户），需要频繁在它们之间切换。
• 重度依赖Codex进行开发，且经常会遇到API速率限制或配额耗尽，需要自动化工具来最大化利用所有账户的总额度的用户。
• OpenClaw桌面代理套件的用户，希望将本地保存的Codex账户令牌共享给其他本地代理使用。
• 对工具简洁性有要求，偏好轻量级、零外部依赖解决方案的技术用户。

使用可能存在的常规风险

• 本地安全风险：作为一款管理认证令牌的工具，其最大的风险在于本地文件系统的安全性。如果攻击者获得了对用户机器文件系统的读取权限，那么所有以明文存储的令牌都将暴露。因此，确保操作系统账户和文件权限设置正确至关重要。
• 账户被锁风险：虽然自动切换算法旨在避免触发速率限制，但任何自动化探测行为本身也会消耗极少量配额（每次探测执行一次codex exec命令）。在极端情况下，如果大量账户都接近限额，频繁的探测切换本身可能会加速触发限制。
• 依赖项风险：该工具的“0外部依赖”是优点，但也意味着它完全由单一社区维护者开发。与拥有大公司或大型社区背景的技能相比，其更新、维护和漏洞修复的可持续性较弱（Bus-Factor风险）。用户需要自行承担未来可能停止更新的风险。