超算HPC环境下 codex app-server 完整解析（国超集群场景）

一、HPC里 codex app-server --listen unix:// 真实用途

在**国家超算HPC集群（曙光/海光/昇腾异构）**环境下，不是外网挖矿程序，是私有化部署的代码智能体/大模型代码执行服务，属于科研配套开发工具：

1. 核心定位
   面向课题组科研人员，提供本地AI代码生成、算子调试、HPC脚本自动生成、并行代码（MPI/OpenMP）优化、CUDA/DCU算子编写的后端服务；
   --listen unix://：采用Unix域套接字，仅本计算节点内进程互通，不占用IB高速网/以太网端口，符合超算集群内网安全规范，客户端（终端IDE、科研自研调度脚本、Jupyter）只能在同一节点连接服务。
2. 多进程多用户（acvfmokn5/ac8kn4a37）来源
   HPC采用用户隔离调度，不同课题组用户在各自Slurm分配的计算核上独立拉起实例：
   • 每个用户1个codex实例绑定若干CPU核，AI解析并行代码、编译测试、运行示例脚本时会瞬时打满单核（你截图里100%满载核心就是代码编译/AI推理算力消耗）；
   • Tasks:1390、3448线程是超算节点常态：HPC科研任务普遍多线程并行，线程数偏高符合算力节点特征。
3. 内存占用说明
   整机252GB内存，已用156G、Swap仅2.87G：超算节点预留大内存用于代码大模型加载、编译缓存，Swap极低说明无内存颠簸，资源使用健康。

---

二、HPC集群能不能合规部署？✅国超HPC完全支持标准化部署

部署必须遵循超算中心用户规范：禁止在登录节点常驻后台，全部通过Slurm作业调度提交至计算节点运行，不私自在登录节点开机自启。

1、标准合规部署方案（Slurm调度，超算官方通用规范）

① Slurm作业脚本（codex_run.slurm）

#!/bin/bash
#SBATCH -N 1
#SBATCH -n 1
#SBATCH -c 8       # 分配CPU核心数，按需限定，避免占满整机
#SBATCH --mem=32G  # 资源配额，超算管控资源溢出
#SBATCH -p xxx队列 # 替换成课题组可用分区

# 切换用户工作目录，限定AI沙箱目录，禁止访问系统根目录
WORK_SOCK=${SLURM_JOB_TMPDIR}/codex.sock
codex app-server --listen unix://${WORK_SOCK} --sandbox-path ${HOME}/code_workspace

提交运行：sbatch codex_run.slurm，任务自动落到空闲计算节点，用完资源随Slurm任务释放。

② 登录节点临时使用（仅限调试，禁止常驻）

仅科研调试短时启动，退出终端即销毁进程：

codex app-server --listen unix://${HOME}/tmp/codex.sock --sandbox ${HOME}/research

--sandbox 参数：强制AI只能读写用户家目录下指定文件夹，杜绝跨用户/跨系统目录越权访问，适配HPC多用户权限隔离规则。

2、严禁部署方式（超算运维会查杀）

1. 裸启动 codex app-server --listen ws://0.0.0.0:xxxx 暴露公网/集群互通网口，违反超算安全准入；
2. 在登录节点nohup常驻后台、批量fork大量进程占满整机资源；
3. 不带沙箱参数裸跑unix://，AI可越权读取其他课题组数据、系统配置。

---

三、针对你当前节点现状优化建议（HPC运维视角）

1、CPU满载治理

1. 核查满载4个100%CPU核心对应的Slurm任务ID：

ps -ef | grep codex
# 用PID反向查归属作业
sacct -p | grep 用户名

• 若为正常科研：在启动参数添加--cpu-limit 4，限制单实例最大占用核数；
• 若为用户私自无限拉起多实例：联系课题组管理员规范用Slurm提交。

2. 批量管控进程：非工作时段清理无人使用的闲置codex

# 只杀空闲超过2h的codex，不销毁正在运行的科研任务
pkill -f "codex app-server" --older-than=2h

2、可疑PID405八进制shell命令排查（HPC多用户重点）

acvfmokn5下的printf八进制字符串，大概率是用户本地IDE客户端初始化通讯载荷（合法），非挖矿恶意代码：

1. 查看用户家目录.bash_history、Jupyter日志、IDE启动记录；
2. 超算环境下用户无法越权提权（HPC有PAM、权限隔离、系统加固），不用恐慌恶意入侵。

3、资源管控（超算运维常用）

在用户模块配置默认启动参数，强制沙箱+资源限制：

alias codex="codex --sandbox ${HOME}/work --cpu-max 6 --mem-max 30G app-server"

---

四、补充：国超HPC部署额外注意点

1. 异构适配：海光DCU/昇腾算力卡节点部署，codex可对接国产AI加速卡，启动追加--device dcu0绑定加速卡；
2. IB高速网络：如需跨节点多机协同，不能用unix套接字，改用受管控的ws+令牌鉴权，报备超算运维开通内网端口；
3. 计费规则：通过Slurm提交占用CPU/内存会计入课题组机时费用，私自在计算节点常驻会被运维冻结账号。