OpenAI hat die Kommandozeilen-Anwendung Codex so verändert, dass Nachrichten zwischen KI-Agenten künftig verschlüsselt übertragen werden und lokal nicht mehr lesbar sind. Die bereits im Juni zusammengeführte Änderung betrifft die Multi-Agent-Version 2 mit den Werkzeugen spawn_agent, send_message und followup_task. Entwickler können dadurch nicht mehr nachvollziehen, welche Aufgaben ein Agent an einen anderen delegiert hat.
Update verschlüsselt drei zentrale Werkzeuge der Codex-CLI
Grundlage der Änderung ist ein Pull Request im offiziellen Codex-Repository, den ein OpenAI-Entwickler am 5. Juni 2026 zusammenführte. Vor der Änderung liefen Aufgabentexte zwischen Agenten als Klartext durch Werkzeugargumente und Verlaufsprotokolle. Seither verschlüsselt der Responses-Dienst von OpenAI das Nachrichtenargument, Codex leitet nur noch den Chiffretext weiter, und Responses entschlüsselt ihn intern für das empfangende Modell. Betroffen sind die drei Werkzeuge spawn_agent, send_message und followup_task der Multi-Agent-Version 2; die ältere Version 1 bleibt unverändert. Lokale Nachrichtenobjekte zeigen seither ein leeres Klartextfeld, während der eigentliche Inhalt nur noch verschlüsselt gespeichert wird. Entwicklerinnen und Entwickler, die Codex über eigene Oberflächen oder Skripte einsetzen, verlieren damit den direkten Zugriff auf die Aufgabenbeschreibungen, die ein Agent an einen untergeordneten Agenten schickt.
Entwickler vermissen Prüfbarkeit für delegierte Aufgaben
Der Softwareentwickler Ignat Remizov, laut eigenen Angaben technischer Leiter beim Unternehmen Zolvat, meldete das Problem am 13. Juni 2026 in einem GitHub-Issue als Regression. Sein Anliegen richtet sich nicht gegen die Verschlüsselung selbst, sondern gegen den Verlust der lokalen Nachvollziehbarkeit: Nutzer könnten nach der Änderung nicht mehr feststellen, welche Aufgabe einem neu erzeugten Unter-Agenten zugewiesen wurde oder welche Nachricht an ihn ging. Remizov schlägt vor, das verschlüsselte Nachrichtenfeld für die Modell-Übertragung beizubehalten, zusätzlich aber ein separates, unverschlüsseltes Prüffeld für die lesbare Aufgabenbeschreibung in den Verlaufsdaten zu speichern. Für Teams, die Codex in regulierten Branchen einsetzen, bedeutet das: Interne Nachweise über automatisiert delegierte Arbeitsschritte lassen sich derzeit nicht mehr lückenlos aus lokalen Protokollen rekonstruieren. Über einen Monat nach der Meldung ist der Issue weiterhin offen; eine Stellungnahme von OpenAI-Mitarbeitenden fehlt in dem Diskussionsstrang bislang.
Fachmedien und Entwicklerforen kritisieren fehlende Transparenz
Mitte Juli griffen mehrere Fachmedien das offene GitHub-Issue auf und ordneten es als Governance-Problem ein. Der Branchenanalyst Pareekh Jain von Pareekh Consulting warnte gegenüber InfoWorld, ohne Einblick in Delegation und Ausführung von Agenten-Aufgaben werde es schwieriger, Entscheidungen zu prüfen, Vorfälle zu untersuchen und Compliance-Anforderungen nachzuweisen. Parallel dazu entwickelte sich auf der Diskussionsplattform Hacker News eine Debatte über die Änderung. Mehrere Kommentatoren kritisierten, dass sie Codex überwiegend über eigene Integrationen statt über die offizielle Oberfläche nutzten und die Verschlüsselung die Fehlersuche in eigenen Werkzeugen erschwere. Andere Diskussionsteilnehmer vermuteten wettbewerbliche Motive hinter der Änderung. Bis zur Veröffentlichung dieses Beitrags hat OpenAI weder im GitHub-Issue noch in einer offiziellen Mitteilung auf die Kritik reagiert.
Entscheidend wird, ob OpenAI Remizovs Vorschlag eines getrennten Prüffelds aufgreift oder die Verschlüsselung unverändert lässt. Für Unternehmen, die Codex in regulierten Branchen wie Finanzdienstleistungen oder Gesundheitswesen für automatisierte Entwicklungsschritte einsetzen, entscheidet sich daran, ob sich delegierte Arbeitsschritte künftig noch lückenlos dokumentieren lassen. Ein konkreter Termin für eine Reaktion des Unternehmens ist bislang nicht bekannt.


