Codex 要你填手机号或输入验证码时,先别连续点“重新发送”。更安全的第一步是确认提示出现在什么位置:ChatGPT/OpenAI 账号登录、API 平台创建首个 API Key、MFA、多设备登录、手机端设备码、CLI 自动化,还是新机器上的本地凭据失效。位置不同,处理人不同,下一步也不同。
截至 2026 年 5 月 21 日,OpenAI 帮助文档说明,普通 ChatGPT 使用和新建 OpenAI 账号不再要求手机号验证,但在 API Platform 创建第一个 API Key 时仍可能要求手机号验证。OpenAI 的登录验证和 MFA 文档也说明,新设备、异常位置、敏感账号更新和已启用的多因素认证,都可能让账号再次出现验证提示。所以“Codex 验证手机号”更像是一个入口混在一起的症状,而不是 Codex 自己有一套独立短信系统。
先用这张表把分支定下来:
| 提示出现的位置 | 可能归属 | 第一安全动作 | 如何验证 | 停止规则 |
|---|---|---|---|---|
| Codex 应用、IDE 或 CLI 跳出的浏览器登录 | OpenAI 账号登录安全检查或 MFA | 完成官方登录流程;如果提供其他已启用方式,优先使用 | 能登录,Codex 不再反复要求同一验证 | 不要连续重发;记录提示文本、设备、网络和时间 |
| API Platform 创建第一个 API Key | API 首个密钥手机号验证 | 用长期归自己控制的号码完成官方流程 | API Key 创建成功,或出现明确号码上限提示 | 不要为主账号使用临时接码 |
| SMS/WhatsApp 验证码一直不到 | 发送、方式或节流分支 | 暂停重发,确认分支,检查号码格式,尝试已启用的其他方式 | 收到代码,或同一失败稳定复现 | 不要把多个验证码请求叠在一起 |
| 号码已经使用或达到次数限制 | 账号归属和号码复用 | 使用另一个长期可控号码,或找回绑定过该号码的旧账号 | 号码状态或账号归属变清楚 | 不要在共享号码、租号、临时号之间反复切换 |
| 手机 QR 或 device code 配对 | 设备登录加账号 MFA | 在可信会话里完成 QR 或设备码流程 | 设备保持连接,Codex 能使用对应主机 | 等旧 code 过期后再重开流程 |
| CLI 自动化、CI 或脚本 | API Key 认证路径 | 只有在接受 API 计费和权限差异时使用 CODEX_API_KEY | codex login status 或一个小任务通过 | 不要把 API Key 当成修复 ChatGPT 登录验证的万能办法 |
| 新机器、重装、清空本地数据 | 缓存凭据失效 | 走官方登录,让 Codex 安全写入凭据 | 提示消失,当前会话可用 | 不要复制、粘贴或发给别人 ~/.codex/auth.json、OTP 或 token |
只要某个分支已经给了证据,就不要同时改网络、浏览器、号码、账号、登录方式和设备。一次只改一个变量。所有安全动作都失败时,再准备支持材料:提示出现的位置、去掉隐私后的原文、使用的方法、开始时间、最近变更、已经试过什么。不要把验证码、完整手机号、API Key、访问 token、账单信息或 auth.json 贴出去。
先判断提示出在哪里
中文社区讨论里经常把“Codex 手机号验证”“OpenAI 接码”“auth.json 迁移”“跳过手机号”混在一起讲。真正操作前,要把这几件事拆开。Codex 可能只是把你带进 OpenAI 账号登录,也可能是在你创建首个 API Key 时撞到 API Platform 的手机号验证,还可能是 MFA、设备码、缓存凭据或 CLI 自动化路径。
第一问是页面在哪里。地址栏或应用界面比文章标题更可靠。如果你在 platform.openai.com 创建第一个 API Key 时看到手机号要求,就按 API 首个密钥分支处理。如果你运行 codex login 后浏览器弹出确认,就先按账号登录或 MFA 分支处理。如果你是在手机上扫码、输入一次性 device code,手机更像是“设备”,不是手机号验证本身。
第二问是最近发生了什么。换了电脑、清了 Cookie、换了网络、从国内网络切到代理、重装 Codex、切换 OpenAI 组织、启用或关闭 MFA、生成新 API Key,都可能触发不同检查。一次只做一个调整,之后看提示是否变化。这样后续给支持发材料时,账号故事也更清楚。
第三问是你到底要交互使用还是自动化。如果你要在 ChatGPT、IDE 或桌面应用里人工使用 Codex,优先修账号登录分支。如果你只是让 CI、脚本或内部 agent 跑 CLI,API Key 认证可能更合适。两个路径都正规,但它们不是同一个问题。
如果发生在创建第一个 API Key
OpenAI 帮助中心关于新 API Key 手机号要求的页面,是这个分支的边界。按 2026 年 5 月 21 日核对,普通 ChatGPT 使用和新建账号不再需要手机号验证,但创建第一个 API Key 时仍可能要求手机号验证。这说明:如果提示发生在 API Platform 首个密钥创建阶段,它不是 Codex 自己“发短信失败”,而是 OpenAI API 账号设置的一步。
这里最重要的不是找一个能收到短信的号码,而是使用一个长期属于账号所有者、未来也能收到恢复消息的号码。团队共享号码、临时接码、租号平台、别人手机上的一次性号码,都可能让今天的验证通过,却让后续账号恢复变得更难解释。主账号尤其不要用临时号码碰运气。
OpenAI 还说明,同一个手机号最多可用于三次首个 API Key 相关的手机号验证。如果页面明确提示号码已使用或达到限制,继续点重发没有意义。此时要么使用另一个长期可控号码,要么找回以前绑定过该号码的账号。这个分支的失败不是“短信没到”,而是“号码状态不允许继续”。
手机号验证完成后,也不要直接得出“所有 Codex 入口都好了”的结论。API Key 路径有自己的计费、额度、组织和模型可用性。完成手机号验证只说明 API Platform 的一个设置步骤往前走了,不代表 ChatGPT 内的交互式 Codex、移动端 Codex 或某个组织里的 Codex 功能已经可用。
ChatGPT 能用但 Codex 还要求验证
很多人困惑的是:ChatGPT 网页能打开,为什么 Codex 登录还要验证码?原因通常是“当前网页会话有效”和“这个 Codex 登录流程已被信任”不是同一个信号。
OpenAI 登录验证文档说明,新设备、未识别设备、异常位置、敏感账号更新或安全检查都可能触发额外验证。你刚换电脑、换系统、清理浏览器、切换网络、从一个国家或地区的出口切到另一个出口、重装 Codex,都会让账号安全层重新判断这个登录请求。
如果账号启用了 MFA,还要看页面提供了哪些方式。OpenAI MFA 文档列出的方式可能包括认证器应用、推送通知、短信或 WhatsApp、passkey 等,但是否出现取决于账号、设备、国家或地区、套餐和当前路径。页面如果给了已启用的其他方式,优先使用你真正控制的方式,而不是一直强迫短信。
这里要记录“原话”,不要只写“要验证”。“输入我们发送的验证码”“批准手机通知”“尝试其他方式”“电话号码已使用”“device code expired”属于不同支持事实。截图可以保留,但要先遮掉完整手机号、验证码、token、邮箱隐私和任何账单信息。
验证码一直没到
验证码没到时,最容易犯的错是连续重发。连续重发会让你同时拥有多个可能有效或已经过期的 code,也可能触发节流,让你很难判断到底是哪一步生效了。
先暂停。确认这是 API 首个密钥、账号登录、MFA、设备码还是 CLI 自动化。不同分支的“验证码”含义并不一样。API 首个密钥里的手机号验证和 ChatGPT 登录里的 MFA 检查,归属就不同。设备码流程里的 code 也不是短信验证码。
如果页面提供了其他已启用方式,比如认证器、push、passkey、邮箱、WhatsApp 或备份码,优先使用你已经设置且能控制的方式。不要假设每个账号都有同样选项,也不要根据别人的截图硬套。
如果只有 SMS 或 WhatsApp,基础项只检查一次:国家区号、号码格式、设备是否有信号、是否能收 WhatsApp、手机时间是否正常、网络是否稳定。然后等一段时间,不要把重发叠起来。仍然失败时,整理证据比继续点击更有价值:提示位置、提示原文、时间和时区、设备、浏览器或 CLI 版本、网络类型、最近变更、已经试过的动作。
不要把 OTP、完整手机号、API Key、access token、auth.json 或带 Cookie 的 HAR 文件发到公开帖子、微信群、论坛、Issue 或普通客服截图里。真正需要上传日志时,也要先问官方支持是否有安全通道。
号码已经使用或达到上限
“号码已经使用”“达到次数限制”不是验证码发送问题,而是账号归属问题。OpenAI 对首个 API Key 手机号验证的复用限制足以改变你的操作:这个分支里继续请求验证码不会让号码重新可用。
先判断这个号码是否属于你控制的另一个 OpenAI 账号。如果是,找回或使用那个账号可能比把同一个号码塞进新账号更干净。如果号码属于前同事、供应商、临时接码平台或团队共享手机,继续堆账号只会让后续支持沟通更复杂。
如果确实需要另一个号码,选择长期可控的号码。所谓长期可控,不只是今天能收到 code,还包括未来账号被风控、换设备、丢失 MFA、需要账单或组织恢复时,你能解释并证明号码归属。
还要把号码验证和 Codex 权限分开。电话号码只是一个账号或 API 设置事实,不决定你的组织、套餐、地区、功能开关和具体 Codex 入口。验证通过后,还要回到真正要使用的入口上确认访问是否正常。
中文环境里还有一个常见误区:看到“国内号码不行”“需要 WhatsApp”“接码平台可用”这类说法后,马上把问题理解成地区或运营商问题。除非官方页面明确给出这样的错误,否则不要把地区结论写进账号历史。更稳妥的表述是:当前页面没有完成验证,失败发生在某个具体分支,号码归属、方式可用性或账号安全检查仍未确认。这样无论后续是更换长期号码、恢复旧账号还是联系支持,都不会把未经验证的猜测变成事实。
如果这是团队账号,还要先确认账号所有者是谁。团队成员用个人手机号创建 API Key、后来离职或换号,是最容易留下长期隐患的情况之一。处理这类账号时,优先让账号管理员、账单负责人和实际手机号持有人对齐,不要让新的成员继续用临时号码把历史变得更复杂。
只需要 CLI 或自动化时
Codex CLI 支持不止一种认证路径。OpenAI 开发者文档列出 codex login 可通过 ChatGPT 账号、API Key 或 access token 登录;非交互场景推荐使用 CODEX_API_KEY,因为它更适合 CI、脚本和 agent runner 这类环境,也更方便用密钥管理系统轮换。
所以 API Key 是一个真实可用的分支,但只适合正确任务。如果你是在 CI、内部工具、自动化脚本或服务器上跑 Codex CLI,API Key 可能更稳。创建 key 后放入 secret manager,最小化权限,定期轮换,用一个小任务验证即可。
它不是 ChatGPT 登录验证的万能解法。交互式 Codex、ChatGPT 内的功能、移动端体验、组织权限、套餐和可用地区,仍可能由 ChatGPT 账号路径决定。如果你真正需要的是 ChatGPT 里的 Codex 体验,绕到 API Key 只能解决一部分 CLI 工作,不会修复账号登录分支。
access token 更敏感。只有官方文档或你的环境明确要求时才使用,并且不要贴进聊天、Issue、截图或共享文档。只要怀疑泄露,就撤销或轮换相关凭据。
缓存凭据和新机器
Codex 可能缓存登录信息。OpenAI Codex 认证文档说明,本地登录可能保存在 ~/.codex/auth.json 或操作系统凭据存储中,CLI 和 IDE 扩展也可能共享这些凭据。
这解释了为什么一台机器能用,另一台机器反复要求验证。老机器可能只是还保留有效会话,新机器必须重新走浏览器登录、MFA 或设备码流程。先用 codex login status 看 CLI 是否看到凭据,再判断是不是手机号本身的问题。
不要把 ~/.codex/auth.json 当成普通配置文件复制给别人或贴到支持群。这个文件可能包含 access token,应当按密码处理。如果必须换机器,优先走官方登录和系统凭据存储。如果文件已经暴露,撤销或轮换相关凭据。
移动或远程访问也是另一个分支。OpenAI 远程连接文档描述的手机端设置通常通过主机上的 QR code 和手机端 ChatGPT 完成,中间可能还会有 MFA、SSO 或 passkey。这是可信设备设置,不等于手机号验证服务坏了。
会让问题变复杂的捷径
临时号码看起来最快,但对主账号是很差的恢复交易。今天也许能收到一次 code,未来换设备、账号异常、账单争议或组织恢复时,你可能完全拿不回那个号码。
不断新建账号也不是好办法。多个邮箱、多个号码、多个地区、多个网络出口混在一起,会把一个验证问题变成账号信任问题。支持人员看到的账号历史也更难解释。
一次改太多变量同样危险。你同时换网络、换浏览器、换号码、换账号、换设备、换登录方式,页面即使变化了,也不知道是哪一步影响了结果。更坏的是,安全层可能因为这些变化更加谨慎。
还有一类风险是泄露。OTP、API Key、access token、完整手机号、完整账单资料、带 Cookie 的 HAR、auth.json、组织 ID 和敏感日志,都不要直接丢到公开渠道。支持要求材料时,先确认通道,再做最小必要披露。
给支持时应该准备什么
需要升级时,不要只写“Codex 手机号验证失败”。更有用的是把分支讲清楚。
准备这些信息:
- 提示出现的位置:ChatGPT 登录、Codex 应用、CLI、IDE、API Platform、手机 QR、device code,还是创建 API Key
- 去掉个人信息后的提示原文
- 页面显示的验证方式:SMS、WhatsApp、push、邮箱、passkey、认证器、device code、API Key
- 时间、时区、设备、浏览器或应用版本、CLI 版本、网络类型
- 最近变更:新设备、清 Cookie、换地区、换组织、新 API Key、重装、MFA 变更
- 已经尝试的动作,一行一个
- 当前被阻塞的任务,以及是否紧急
不要附带验证码、完整手机号、完整账单、API Key、access token、auth.json 或未清理的日志。手机号如果必须提供,通常只保留国家区号和末两位用于说明即可,具体按官方支持要求走。
如果你是在公司网络、代理或多地区出口下遇到问题,也不要把完整网络配置直接发给公开渠道。可以先说明“公司网络”“家庭网络”“移动网络”“代理出口变化”这类低敏信息;只有官方支持明确要求并提供安全通道时,再补充更具体的网络诊断。这样既能让支持判断是否和新位置或异常登录有关,也不会把内部网络、账号或支付资料暴露出去。
最后,把“我现在必须完成什么工作”写清楚。是登录 ChatGPT 内的 Codex、让 CLI 跑一次任务,还是创建第一个 API Key。支持看到目标后,更容易把你转到正确的账号、API 或安全验证分支。
常见问题
ChatGPT 能用,为什么 Codex 还要验证?
因为 Codex 可能启动的是一个新的账号登录、设备、MFA、API Key 或本地凭据流程。已有的 ChatGPT 网页会话不代表每个 Codex 入口都已经被信任。
OpenAI 现在还要求手机号验证吗?
按 2026 年 5 月 21 日核对,普通 ChatGPT 使用和新账号创建不再要求手机号验证,但 API Platform 创建第一个 API Key 时仍可能要求。提示出现的位置是关键。
验证码一直不到怎么办?
先暂停重发,确认分支,使用页面提供的其他已启用方式,检查号码格式一次,然后等待并整理证据。连续重发通常比清晰证据更糟。
可以用临时接码平台吗?
主账号不建议。临时号码会削弱未来恢复、账号归属证明和支持沟通。测试账号也要理解风险,不要把它当成稳定解决方案。
API Key 能绕过手机号验证吗?
只对合适任务有用。CLI 自动化、CI 或脚本可以走 API Key,但这不修复 ChatGPT 登录或交互式 Codex 的账号验证问题。
可以把 auth.json 从能用的电脑复制过来吗?
不要随便复制。~/.codex/auth.json 可能包含 access token,应按密码处理。优先走官方登录。如果已经暴露,撤销或轮换相关凭据。
手机号验证通过后 Codex 一定能用吗?
不一定。手机号验证只是账号或 API 设置中的一个步骤。Codex 访问还可能取决于套餐、组织、地区、功能可用性和你使用的具体认证路径。
什么情况下该找支持?
号码达到上限、MFA 方法锁死、验证码长期不到、账号安全检查无法解释、不同入口给出矛盾状态时,就该停止试错并提交干净的支持材料。