Sicherheit

OpenAI Codex verschlüsselt Nachrichten zwischen KI-Agenten

2 Min. Lesezeit
Terminal-Bildschirm mit verschlüsseltem Datenstrom zwischen zwei KI-Agenten-Symbolen vor dem OpenAI-Logo im Hintergrund. Generiertes Bild mit GPT Image 2
Terminal-Bildschirm mit verschlüsseltem Datenstrom zwischen zwei KI-Agenten-Symbolen vor dem OpenAI-Logo im Hintergrund.

TL;DR Too Long; Didn’t read

OpenAI verschlüsselt seit dem 5. Juni 2026 in der Kommandozeilen-Anwendung Codex alle Nachrichten zwischen KI-Agenten und macht sie für Entwickler unlesbar. Betroffen sind die Funktionen spawn_agent, send_message und followup_task der Multi-Agent-Version 2. Eine offene GitHub-Meldung fordert ein separates Klartext-Protokoll für Audits – eine Antwort von OpenAI fehlt bislang.

Das Wichtigste in Kürze

  • Die Änderung betrifft die drei Werkzeuge spawn_agent, send_message und followup_task der Codex-Multi-Agent-Version 2.
  • Verschlüsselt werden nur lokale Protokolle; der Empfänger-Dienst von OpenAI entschlüsselt Inhalte weiterhin intern.
  • Entwickler Ignat Remizov meldete das Problem am 13. Juni 2026 über einen offiziellen GitHub-Issue.
  • Analyst Pareekh Jain warnt, die fehlende Einsicht erschwere Audits, Fehlersuche und regulatorische Nachweise.
  • Die ältere Multi-Agent-Version 1 bleibt von der Verschlüsselung unberührt.
  • OpenAI hat sich bislang weder im GitHub-Issue noch öffentlich zu der Kritik geäußert.

OpenAI hat die Kommandozeilen-Anwendung Codex so verändert, dass Nachrichten zwischen KI-Agenten künftig verschlüsselt übertragen werden und lokal nicht mehr lesbar sind. Die bereits im Juni zusammengeführte Änderung betrifft die Multi-Agent-Version 2 mit den Werkzeugen spawn_agent, send_message und followup_task. Entwickler können dadurch nicht mehr nachvollziehen, welche Aufgaben ein Agent an einen anderen delegiert hat.

Update verschlüsselt drei zentrale Werkzeuge der Codex-CLI

Grundlage der Änderung ist ein Pull Request im offiziellen Codex-Repository, den ein OpenAI-Entwickler am 5. Juni 2026 zusammenführte. Vor der Änderung liefen Aufgabentexte zwischen Agenten als Klartext durch Werkzeugargumente und Verlaufsprotokolle. Seither verschlüsselt der Responses-Dienst von OpenAI das Nachrichtenargument, Codex leitet nur noch den Chiffretext weiter, und Responses entschlüsselt ihn intern für das empfangende Modell. Betroffen sind die drei Werkzeuge spawn_agent, send_message und followup_task der Multi-Agent-Version 2; die ältere Version 1 bleibt unverändert. Lokale Nachrichtenobjekte zeigen seither ein leeres Klartextfeld, während der eigentliche Inhalt nur noch verschlüsselt gespeichert wird. Entwicklerinnen und Entwickler, die Codex über eigene Oberflächen oder Skripte einsetzen, verlieren damit den direkten Zugriff auf die Aufgabenbeschreibungen, die ein Agent an einen untergeordneten Agenten schickt.

Entwickler vermissen Prüfbarkeit für delegierte Aufgaben

Der Softwareentwickler Ignat Remizov, laut eigenen Angaben technischer Leiter beim Unternehmen Zolvat, meldete das Problem am 13. Juni 2026 in einem GitHub-Issue als Regression. Sein Anliegen richtet sich nicht gegen die Verschlüsselung selbst, sondern gegen den Verlust der lokalen Nachvollziehbarkeit: Nutzer könnten nach der Änderung nicht mehr feststellen, welche Aufgabe einem neu erzeugten Unter-Agenten zugewiesen wurde oder welche Nachricht an ihn ging. Remizov schlägt vor, das verschlüsselte Nachrichtenfeld für die Modell-Übertragung beizubehalten, zusätzlich aber ein separates, unverschlüsseltes Prüffeld für die lesbare Aufgabenbeschreibung in den Verlaufsdaten zu speichern. Für Teams, die Codex in regulierten Branchen einsetzen, bedeutet das: Interne Nachweise über automatisiert delegierte Arbeitsschritte lassen sich derzeit nicht mehr lückenlos aus lokalen Protokollen rekonstruieren. Über einen Monat nach der Meldung ist der Issue weiterhin offen; eine Stellungnahme von OpenAI-Mitarbeitenden fehlt in dem Diskussionsstrang bislang.

Fachmedien und Entwicklerforen kritisieren fehlende Transparenz

Mitte Juli griffen mehrere Fachmedien das offene GitHub-Issue auf und ordneten es als Governance-Problem ein. Der Branchenanalyst Pareekh Jain von Pareekh Consulting warnte gegenüber InfoWorld, ohne Einblick in Delegation und Ausführung von Agenten-Aufgaben werde es schwieriger, Entscheidungen zu prüfen, Vorfälle zu untersuchen und Compliance-Anforderungen nachzuweisen. Parallel dazu entwickelte sich auf der Diskussionsplattform Hacker News eine Debatte über die Änderung. Mehrere Kommentatoren kritisierten, dass sie Codex überwiegend über eigene Integrationen statt über die offizielle Oberfläche nutzten und die Verschlüsselung die Fehlersuche in eigenen Werkzeugen erschwere. Andere Diskussionsteilnehmer vermuteten wettbewerbliche Motive hinter der Änderung. Bis zur Veröffentlichung dieses Beitrags hat OpenAI weder im GitHub-Issue noch in einer offiziellen Mitteilung auf die Kritik reagiert.

Entscheidend wird, ob OpenAI Remizovs Vorschlag eines getrennten Prüffelds aufgreift oder die Verschlüsselung unverändert lässt. Für Unternehmen, die Codex in regulierten Branchen wie Finanzdienstleistungen oder Gesundheitswesen für automatisierte Entwicklungsschritte einsetzen, entscheidet sich daran, ob sich delegierte Arbeitsschritte künftig noch lückenlos dokumentieren lassen. Ein konkreter Termin für eine Reaktion des Unternehmens ist bislang nicht bekannt.

Häufige Fragen

Welche Codex-Versionen sind von der Verschlüsselung betroffen?

Betroffen sind Codex-CLI-Builds, die die Multi-Agent-Version 2 nutzen. Die ältere Multi-Agent-Version 1 überträgt Nachrichten weiterhin wie bisher.

Können Entwickler die Verschlüsselung abschalten?

Eine offizielle Option zum Deaktivieren ist derzeit nicht dokumentiert. Der offene GitHub-Issue schlägt stattdessen ein zusätzliches, unverschlüsseltes Prüffeld vor.

Warum verschlüsselt OpenAI die Nachrichten überhaupt?

OpenAI hat die Beweggründe öffentlich nicht erläutert. Die Pull-Request-Beschreibung dokumentiert nur die technische Umsetzung, nicht deren Zweck.

Betrifft die Änderung auch die Inhalte, die an das Modell selbst gesendet werden?

Nein. Verschlüsselt werden nur die lokal gespeicherten Nachrichtenobjekte zwischen den Agenten-Werkzeugen. Der empfangende Dienst entschlüsselt die Inhalte weiterhin intern zur Verarbeitung.

Gibt es einen Zeitplan für eine Reaktion von OpenAI?

Ein Zeitplan ist nicht bekannt. Der GitHub-Issue vom 13. Juni 2026 ist mehr als einen Monat später weiterhin ohne Antwort von OpenAI-Mitarbeitenden offen.


← Zurück zum Blog