终端 AI Agent 指令大全
从 Claude Code、AGY、Cursor Agent 到 Codex,我到底该怎么用?
最近我把几类主流终端 Agent 工具都过了一遍:Anthropic 的 Claude Code、Google 的 AGY(Antigravity CLI)、Cursor 的 Cursor CLI / Agent,以及 OpenAI 的 Codex CLI。这些工具看起来都像「在终端里和 AI 聊天」,但真正上手后会发现,它们在权限模型、交互方式、自动化能力、危险模式、CI 适配上差别非常大。
- Claude Code 官方把它定义为一个能读代码库、改文件、跑命令并接入开发工具的 agentic coding tool
- Codex CLI 既支持交互模式,也支持
codex exec这类偏自动化的无交互执行 - Cursor CLI 主打把 Agent 能力带进终端、脚本和 GitHub Actions
- AGY 则强调把推理、执行和编排能力直接带到本地 shell
这篇我不只列命令,而是按真实开发者使用视角来整理:你会看到每个工具该怎么启动、常见命令怎么写、哪些参数是「高危一键放权」、哪些适合本地开发、哪些更适合 CI,以及我会在每一部分加一点「人话解释」。
目录
- 一、先说结论:这四类 CLI 到底有什么区别?
- 二、Claude Code:权限模式最丰富
- 三、AGY:Google Antigravity CLI
- 四、Cursor Agent:IDE Agent 的终端版
- 五、Codex CLI:命令体系最完整
- 六、危险模式横向对比
- 七、高频命令速查表
- 八、实际该怎么选
- 九、最后的开发者建议
一、先说结论:这四类 CLI 到底有什么区别?
如果你只是想先抓重点,那我会这样概括:
| 工具 | 核心特点 | 最危险的开关 |
|---|---|---|
| Claude Code | 权限模式设计最细:default、acceptEdits、plan、auto、dontAsk、bypassPermissions | --dangerously-skip-permissions(等价于 bypassPermissions) |
| Codex CLI | 自动化能力和命令体系最完整:exec、resume、sandbox 等子命令齐全 | --dangerously-bypass-approvals-and-sandbox(别名 --yolo) |
| Cursor CLI | 把 IDE Agent 搬进终端,@ 文件、! shell、/model 会话内操作 | 无统一 dangerously 开关,强调 beta + approval + sandboxing |
| AGY | Google agent harness 风格,推理 + 执行 + 编排 | --dangerously-skip-permissions |
Anthropic 官方明确提醒:完全绕过权限虽然省事,但几乎不提供保护。OpenAI 对
--yolo的说明更狠:绕过审批和沙箱,只能在隔离 runner 里使用。
二、Claude Code:权限模式最丰富,也最容易玩成「完全放权」
1)Claude Code 是什么
Anthropic 官方对 Claude Code 的定义很直接:它是一个能理解整个代码库、编辑文件、运行命令、并与开发工具集成的 AI coding assistant,可在终端、IDE、桌面端和浏览器中使用。
这意味着它不是单纯的聊天机器人,而是一个会动手的 agent。你让它看项目、改代码、跑测试,它是真的会去做。
2)最基础的启动方式
日常启动很简单:
claude第一次启动时,官方说明 Claude Code 会尝试打开浏览器进行登录;如果浏览器没自动弹出,可以把登录 URL 复制出来再去浏览器完成认证。Claude Code 支持个人 Claude.ai 账号、Teams / Enterprise、Claude Console,以及云平台方式登录。
常见基础命令:
# 启动
claude
# 查看帮助
claude --help
# 查看版本
claude --version
# 直接给一个任务
claude "解释这个仓库的目录结构"3)最核心的:权限模式
Claude Code 的真正灵魂不是 prompt,而是 permission mode。官方设置文档列出的有效值包括:
| 模式 | 含义 |
|---|---|
default | 默认模式,改动前会询问 |
acceptEdits | 自动接受文件编辑 |
plan | 先看方案,不直接改 |
auto | 自动模式 |
dontAsk | 自动拒绝需要确认的动作 |
bypassPermissions | 跳过权限提示(危险) |
常见启动方式:
# 默认模式
claude
# 计划模式:先看方案,不直接改
claude --permission-mode plan
# 自动接受编辑
claude --permission-mode acceptEdits
# 自动拒绝需要确认的动作
claude --permission-mode dontAsk
# 危险模式:跳过权限提示
claude --permission-mode bypassPermissions最重要的一条:
claude --dangerously-skip-permissionsAnthropic 的 CLI 参考文档明确写了:--dangerously-skip-permissions 等价于 --permission-mode bypassPermissions。
也就是说,下面两条命令本质上是一个意思:
claude --permission-mode bypassPermissions
claude --dangerously-skip-permissions4)bypassPermissions 到底跳过了什么?
很多人第一次看到「dangerously skip permissions」会以为是「完全 root 化」,但官方文档给出的描述更精确:这是跳过权限提示,但并不代表所有限制都消失。
Anthropic 在 hooks 和 subagents 文档里明确提到:
bypassPermissions需要在启动时被允许,而且不会被持久化为默认模式- 像显式 ask 规则、删除根目录或 home 目录之类高危动作,依然可能触发保护
换句话说,它不是「无限制 root 权限」,但对日常项目来说已经足够危险了。
Anthropic 自己在 auto mode 的工程文章里也写得很坦白:完全绕过权限是零维护,但几乎没有保护。他们甚至列举过一些 agentic misbehavior 的内部例子,比如误删远程 git 分支、上传认证 token、错误地尝试生产数据库迁移。
省掉确认弹窗,不等于省掉风险。
5)安全边界到底在哪
Anthropic 的安全文档给出的默认边界是:
- 默认是严格只读
- 可以自动放行一部分只读命令,比如
ls、cat、git status - 写权限默认限制在启动目录及其子目录
- Bash 命令尤其是会改系统的命令,需要显式授权
- 可以使用 sandbox bash 来减少提示同时保留隔离
这也是为什么我个人对 Claude Code 的理解是:它不是不能自动干活,而是它默认会不断问你:「你确定让我这么干吗?」
6)会话内常见操作
官方交互模式文档提到,Shift+Tab 可以循环切换权限模式,包括 default、acceptEdits、plan,以及你启用过的 auto / bypassPermissions。
它相当于你在不同自动化程度之间切档位。
另外,CLI 文档还列了 --debug、--effort 这些参数:
claude --debug "api,mcp"
claude --effort high7)我会怎么用 Claude Code
如果我是本地写业务代码,通常会这样分三挡:
# 第一挡:先规划
claude --permission-mode plan
# 第二挡:允许改文件,但不要无脑跑命令
claude --permission-mode acceptEdits
# 第三挡:临时容器 / 测试仓库里才用
claude --dangerously-skip-permissions为什么我不建议你直接默认开 bypassPermissions?因为 Anthropic 官方连 dev container 场景都提醒了:即便在容器里,--dangerously-skip-permissions 仍然不能阻止恶意仓库窃取容器内可访问的内容,包括 ~/.claude 下的凭据。
三、AGY:Google Antigravity CLI 的「危险模式」同样一眼就能看懂
1)AGY 是什么
官方总览把 Antigravity CLI 描述为:把共享 agent harness 的推理、执行、编排能力直接带到你的本地 shell。
如果你以前用过 Gemini CLI 一类工具,你会觉得它是「更 agent 化」的那一派。
2)安装与启动
# macOS / Linux
curl -fsSL https://antigravity.google/cli/install.sh | bash
# Windows PowerShell
irm https://antigravity.google/cli/install.ps1 | iex首次运行时,AGY 会尝试使用操作系统的安全密钥链来做静默认证;如果找不到会话,就会引导你登录。
agy
agy --version
agy help3)AGY 的危险模式
# 正常启动
agy
# 开沙箱
agy --sandbox
# 危险模式
agy --dangerously-skip-permissions官方「Using AGY CLI」文档说,一些设置可以在启动时通过 CLI flag 覆盖,比如 --sandbox 和 --dangerously-skip-permissions。也就是说,它和 Claude Code 一样,也有一种「别问我,直接干」的模式。
4)风险要特别注意什么
这里有个非常值得注意的点。公开 issue 里有人报告过:在某些版本里,--dangerously-skip-permissions 和 --sandbox 同时使用时,沙箱可能不像用户预期那样生效。这个问题来自公开 issue,而不是官方正式文档,所以我只能把它当成需要你额外核验的风险信号,不能当成稳定行为说明。
所以如果你打算在 AGY 上跑比较激进的自动化,我的建议非常明确:
- 先用当前版本本地
agy help/ 设置页核对参数 - 不要把「有 sandbox 参数」自动理解成「绝对隔离成功」
- 生产仓库和带密钥目录不要直接裸跑
--dangerously-skip-permissions
5)我会怎么理解 AGY 的使用姿势
AGY 更像是一个偏研究型 / 偏 agent harness 风格的开发 CLI。如果你想让它快速执行探索、文件改动、工具调用,那它会很顺手;但如果你在意的是权限细粒度、工业化安全边界、长期自动化稳定性,那你一定要自己在当前版本里把参数和实际行为测一遍。
更详细的 AGY 安装与上手,可参考本站另一篇:Antigravity CLI 试用教程。
四、Cursor Agent:把 IDE 里的 Agent 搬进终端
1)Cursor CLI 的定位
Cursor 官方站点对 CLI 的定位很明确:它可以在终端、GitHub Actions、自动化脚本里跑 Agent,并且能接入你原有的工作流。官方页面还直接展示了 agent 终端界面,以及 / commands · @ files · ! shell 这些入口。
官方博客在发布 CLI 时给过一个很典型的例子:
agent chat "find one bug and fix it"同时也提醒:这个 CLI 当时仍在 beta,能读、改、删文件,也能执行你批准的 shell 命令,应该只在可信环境中使用。
2)安装与基础命令
curl https://cursor.com/install -fsS | bash安装后,最常见的用法是:
# 进入交互 Agent
agent
# 直接带 prompt
agent chat "find one bug and fix it"
# 帮助 / 版本
agent --help
agent --version3)会话里最有用的三个入口
Cursor 官网 CLI 页面直接展示了这三个会话入口:
| 入口 | 用途 | 示例 |
|---|---|---|
/ commands | 会话内命令 | /model Auto |
@ files | 引用文件上下文 | @src/index.ts |
! shell | 执行 shell 命令 | !npm test |
Cursor CLI 的操作心智很像「IDE agent 的终端化版本」——它不是单纯靠你一次性把上下文写进 prompt,而是鼓励你在会话里逐步补文件、跑命令、换模型。
4)模型切换
官方展示页里还直接给了 /model 示例,包括:
/model Auto
/model Composer 2.5
/model Opus 4.8
/model GPT-5.5 High Fast
/model Gemini 3.1 Pro
/model Grok 4.3这个体验和 Claude Code / Codex 很不一样:
- Claude 和 Codex 更像「CLI 程序本身带参数」
- Cursor 更像「Agent 会话里带一个命令层」
5)Cursor 适合什么场景
我会把 Cursor Agent 放在这几个场景里:
- 你本来就用 Cursor IDE
- 你想把 IDE Agent 体验延伸到 terminal
- 你想在 shell 里临时交代一个修 bug / 改文档 / 跑测试任务
- 你还希望未来把同样的 agent 工作流挂进 CI 或 cloud agent
尤其是它对开发者最友好的一点,是会话里动作很直观:@ 文件、! 命令、/model,不用记一堆 flag。
五、Codex CLI:命令体系最完整,也最适合做自动化
1)Codex CLI 的定位
OpenAI 官方文档把 Codex CLI 设计得很「工具化」。它既支持交互 TUI,也支持 codex exec 这种脚本式执行;还有 codex resume 恢复会话、codex sandbox 跑受控命令、codex update 更新 CLI。
如果要我一句话评价:Codex CLI 是目前最像「工业化终端 agent 框架」的那类产品。
2)安装与启动
curl -fsSL https://chatgpt.com/codex/install.sh | sh# 交互模式
codex
# 直接给一个初始任务
codex "Explain this codebase to me"
# 查看帮助
codex --help3)最常用的子命令
codex exec
官方文档对 codex exec 的定义很清晰:用于脚本化或 CI 风格的执行,应该在不需要人类交互的情况下完成任务;它也有短写 codex e。
codex exec "run tests and fix failures"
codex e "update the changelog for this diff"这条命令对自动化非常重要,因为它本来就是给「脚本 / CI / 批处理」准备的。
codex resume
codex resume
codex resume --last
codex resume --allcodex resume 可以继续之前的交互会话;--last 恢复当前工作目录最近会话,--all 可以把范围扩展到任意目录。
codex sandbox
codex sandbox -- ...官方说明 codex sandbox 是用和 Codex 内部一致的策略,在 macOS / Linux / Windows 沙箱里执行命令。它不仅能「在 agent 里跑沙箱」,还允许你「把沙箱当工具单独用」。
4)安全模型:--sandbox + --ask-for-approval
Codex 的权限设计非常清楚,核心就是两个维度:
第一层:沙箱
--sandbox 用于指定运行边界。官方建议本地无人值守场景优先用 workspace-write,而不是直接上 danger-full-access。
第二层:审批策略
--ask-for-approval 支持:
| 值 | 含义 |
|---|---|
untrusted | 对不可信来源更严格 |
on-request | 需要时请求批准 |
never | 不请求批准 |
很常见的写法:
# 相对安全的本地自动化(OpenAI 官方推荐组合)
codex --sandbox workspace-write --ask-for-approval on-request
# 完全不问,但还限制在 workspace
codex --sandbox workspace-write --ask-for-approval never5)最危险模式
codex --dangerously-bypass-approvals-and-sandbox
codex --yolo官方 reference 明确写了:--yolo 是 --dangerously-bypass-approvals-and-sandbox 的别名,绕过审批提示和沙箱,只能在隔离 runner 中使用。
这和 Claude 的 --dangerously-skip-permissions 在精神上是同类东西,只是 Codex 的表述更狠:不仅跳过 approval,还直接关掉 sandbox。
官方还专门在安全文档里提醒过:即使在 devcontainer 里,如果你跑的是 --sandbox danger-full-access 或 --dangerously-bypass-approvals-and-sandbox,恶意项目依然可能把容器内能访问到的东西全部导出,包括 Codex 凭据。
6)其它高频参数
# 切到某个目录作为 workspace
codex --cd /path/to/project
# 给额外目录写权限
codex --add-dir /path/to/another-dir
# 指定模型
codex --model gpt-5.4
# 交互模式可附带图片
codex --image screenshot.png "根据截图修 UI"--add-dir 这个参数尤其值得记住。OpenAI 文档建议:如果你只是想多给几个目录写权限,优先用 --add-dir,而不是直接把 sandbox 提升到 danger-full-access。
另外,文档还提到 --full-auto 现在是一个已弃用的兼容 flag,更推荐显式用 --sandbox workspace-write。
六、把危险模式放在一起看,一眼就能明白
很多人第一次接触这些终端 agent,会把它们的「YOLO 开关」搞混。记住下面这张表就差不多了:
| 工具 | 危险命令 | 等价写法 | 危险级别 |
|---|---|---|---|
| Claude Code | claude --permission-mode bypassPermissions | claude --dangerously-skip-permissions | 跳过权限提示 |
| AGY | agy --dangerously-skip-permissions | — | 跳过权限提示 |
| Codex | codex --dangerously-bypass-approvals-and-sandbox | codex --yolo | 最高:绕过审批 + 关闭沙箱 |
| Cursor | 无统一 dangerously 开关 | — | beta + approval + sandboxing |
Cursor 官方目前更强调的是「执行你批准的 shell 命令」,以及权限 / sandbox 文档和 shell mode 文档,而不是像 Claude / Codex 那样用一个醒目的 dangerously-* flag 来营销「全自动危险模式」。
七、我自己整理出来的高频命令清单
下面这一段可以直接当你的个人速查表。
Claude Code
claude # 启动
claude "解释这个项目" # 带 prompt 启动
claude --permission-mode plan # 计划模式
claude --permission-mode acceptEdits # 自动接受编辑
claude --permission-mode bypassPermissions # 危险模式
claude --dangerously-skip-permissions # 危险模式(等价)
claude --debug "api,mcp" # 调试
claude --effort high # 指定 effortAGY
agy # 启动
agy --version # 查看版本
agy help # 帮助
agy --sandbox # 沙箱
agy --dangerously-skip-permissions # 危险模式Cursor Agent
curl https://cursor.com/install -fsS | bash # 安装
agent # 进入 agent
agent chat "find one bug and fix it" # 直接带任务
agent --help
agent --version
# 会话内常用
/model Auto
/model GPT-5.5 High Fast
@src/index.ts
!npm testCodex
curl -fsSL https://chatgpt.com/codex/install.sh | sh # 安装
codex # 交互模式
codex "Explain this codebase to me" # 带 prompt
codex exec "run tests and fix failures" # 无交互执行
codex e "update the changelog" # 短写
codex resume # 恢复会话
codex resume --last
codex resume --all
codex --cd /path/to/project # 工作目录
codex --add-dir /path/to/another-dir # 多目录写权限
codex --sandbox workspace-write --ask-for-approval on-request # 相对安全
codex --sandbox workspace-write --ask-for-approval never # 不问但仍限 workspace
codex --dangerously-bypass-approvals-and-sandbox # 极危险
codex --yolo # 极危险(别名)八、如果你是程序员,实际该怎么选
| 你的目标 | 推荐工具 | 理由 |
|---|---|---|
| 本地重构 / 修 bug,很在意权限细节 | Claude Code | plan、acceptEdits、bypassPermissions 各干各的,模式层次清楚 |
| 脚本化自动化、CI、无交互执行 | Codex CLI | exec、resume、sandbox、ask-for-approval、add-dir 更完整 |
| 本来就在 Cursor 生态里 | Cursor Agent CLI | @ 文件、! shell、/model 交互最直观,和 IDE 一致 |
| 想试 Google agent harness 风格 | AGY | 值得玩,但对危险模式要更谨慎,行为边界需自己实测 |
九、最后的开发者建议:别把「能自动跑」误会成「适合生产跑」
这几类 CLI 的共同趋势很明显:它们都在往更长任务、更少打断、更强自主执行发展。
- Anthropic 在讲 Claude Code auto mode 时直接把「减少提示」当成核心目标
- Cursor 也在讲 sandboxing 如何让 agent 少停 40%
- OpenAI 则明确提供了
exec、workspace-write、never、yolo这些不同自动化强度的组合
但开发者真正要记住的是另一件事:
自动化强,不代表安全边界强。
我自己的实践标准很简单:
| 场景 | 建议 |
|---|---|
| 客户项目、生产仓库、带私钥 / 云凭据目录 | 不用危险模式 |
| 临时 demo、容器、隔离 VM、一次性测试仓库 | 再考虑 bypassPermissions / --dangerously-skip-permissions / --yolo |
| 真要上危险模式 | 先 git commit 做快照,再开跑(工程实践建议,非官方要求) |
总结
四大终端 AI Agent 看似都是「终端里和 AI 聊天」,实则权限哲学完全不同:
- Claude Code — 权限档位最细,
Shift+Tab切模式,适合在意安全边界的日常开发 - Codex CLI — 子命令最全,
codex exec天生为 CI 设计,但--yolo危险级别也最高 - Cursor Agent — 会话内
@/!//model最直觉,IDE 用户零学习成本 - AGY — agent harness 风格,探索性强,危险模式需额外核验
记住一句话就够了:省掉确认弹窗,不等于省掉风险。 把这篇速查表收藏好,下次在终端开 agent 之前,先想清楚你要的是「规划」还是「全自动」,以及你的仓库值不值得冒那个险。
参考来源:Anthropic Claude Code 官方文档、OpenAI Codex CLI 文档、Cursor CLI 官方页面、Google Antigravity CLI 文档。