7月15日、The Decoderが「OpenAI's Codex now encrypts instructions between AI agents, leaving developers blind to internal delegation」と題した記事を公開した。OpenAIのコーディングツールCodexがエージェント間の指示内容を暗号化するようになり、開発者が内部の委譲プロセスを追跡できなくなった問題について詳しく報告されている。
エージェント間の通信が突然「見えなくなった」
6月初旬から、OpenAIのコーディングツールCodexは、メインエージェントがサブエージェントに渡す指示内容を暗号化するようになった。それ以降、セッション履歴には読み取れない文字列が表示されるだけで、開発者はどのタスクがどのサブエージェントに委譲されたかを確認できなくなっている。
近年、コーディングツールはタスクを分解して複数のサブエージェントに並行処理させる「エージェント型システム」へと急速に進化している。こうした構成では、内部プロセスの透明性がデバッグや品質保証の観点から特に重要になる。その可視性が、今回の変更で突然失われた。
GitHubのバグレポートでは、「暗号化された内容と並行して、ローカルに読み取り可能なコピーを保存するオプションを提供してほしい」と直接OpenAIに要求している。
影響範囲:モデルバリアントによって対応が異なる
当初、GPT-5.5では暗号化を無効にするためのトグルが用意されていたにもかかわらず、一時期そのトグルが機能しない状態が続いた。現在はGPT-5.5が読み取り可能なパスに戻されたとみられる。
一方、GPT-5.6にはCodex内部で使われる複数のサブモデルが存在する。そのうち大型バリアントの「Sol」と「Terra」に対しては強制暗号化が適用されており、最小バリアントの「Luna」のみ、現時点でも平文での通信を維持している。これらはいずれもCodexが内部的に使用するモデルであり、公開APIとして独立して提供されているものではない点に留意が必要だ。
さらに、暗号化の実装自体が不安定だという報告も複数出ている。メインエージェントからサブエージェントへの暗号化されたハンドオフが復号に失敗して動作しないケースが確認されており、同一モデルを使用している場合でも発生するという。
なぜ暗号化するのか?OpenAIは沈黙
OpenAIはこの変更の理由を公式に説明していない。変更が行われたという事実のみが確認されている状態だ。
Hacker Newsのコミュニティでは、「OpenAIは競合他社が自社のプロンプトやエージェント間通信を学習データとして使うことを防ごうとしているのではないか」という見方が広がっている。これは根拠のない憶測とも言い切れない。Zhipu AIのGLM-5.2は、GPT-5.5やClaude Opus 4.8からの蒸留(distillation)——強力なモデルの出力を使って弱いモデルを強化する手法——が疑われており、実際に調査レポートも出ている。エージェント間の通信は、モデル強化に使える質の高い学習データになり得る。
一方で、より単純な説明も成立する。OpenAIはすでにAPIにおいて中間推論状態をサーバー側で保持する設計を採用しており、フォローアップリクエストへの引き渡しを平文ではなく暗号化された形で行う仕組みを持つ。今回の変更がこれと同じ技術的文脈によるものである可能性もある。
蒸留対策なのか、データプライバシー上の理由なのか、あるいはその両方なのか——現時点でOpenAIからの公式な説明は出ていない。
開発者への実質的な影響
今回の変更が開発者にもたらす問題は主に二つある。
- 内部プロセスの追跡困難:エージェントが何をサブエージェントに指示しているかが見えないため、予期しない動作の原因追跡が難しくなる
- 信頼性の低下:暗号化されたハンドオフ自体が復号失敗で動作しないケースが報告されており、機能的な後退でもある
透明性と競争上の利益のどちらを優先するかという判断であるとも読み取れ、その場合は開発者コミュニティが一定のコストを負う形になる。いずれにせよ、OpenAIが公式な説明を示していない現状では、変更の意図も今後の方針も不明なままだ。
詳細はOpenAI's Codex now encrypts instructions between AI agents, leaving developers blind to internal delegationを参照していただきたい。