Codex 0.143.0:AIエージェントを社内ネットワークで動かす準備

Codex 0.143.0:AIエージェントを社内ネットワークで動かす準備

OpenAIのCodex CLI 0.143.0で、派手ではないけれど中小企業の運用には効く更新が入りました。

主な変更は3つです。リモートプラグインが標準で有効になり、macOS/Windowsのシステムプロキシ経由で認証とResponses API通信を通せるようになり、MCPツールは対応環境でツール検索を標準利用する方向になりました。加えて、動作中のdaemonから手動ペアリングコードを出す codex remote-control pair も追加されています。

私はこの更新を「AIが賢くなった話」より、「会社のネットワークと権限の中でAIエージェントを使う準備が進んだ話」と見ています。AIエージェントを本番業務に入れるとき、詰まるのはモデル性能だけではありません。社内プロキシ、認証、どのツールを使わせるか、遠隔操作を誰が承認するか。そこが曖昧なままだと、便利な自動化ほど怖くなります。

何が起きたか

公式リリースによると、Codex CLI 0.143.0ではリモートプラグインがデフォルトで有効になりました。カタログ表示も強化され、npm marketplace由来の情報や、ローカル版とリモート版のバージョン差が見えるようになっています。

もう一つ大きいのが、macOS/Windowsのシステムプロキシ対応です。PACやWPADを含む社内プロキシ設定を通じて、認証とResponses APIの通信をルーティングできます。これは地味ですが、社内ネットワークを分けている会社ではかなり実務的です。

MCPまわりでは、対応している場合にツール検索が標準になります。ChatGPT側でホストされるMCPサーバーについても、セッション認証を明示的に使えるようになったと説明されています。ツールが増えたとき、AIに「全部見せる」のではなく、必要なものを探して使わせる方向です。

なぜ中小企業に効くか

小さな会社でAIエージェントを使うと、最初はだいたい個人の作業効率化から始まります。議事録、メール下書き、コード修正、ECの商品説明、社内メモ整理。この段階では、ChatGPTやClaudeを個人アカウントで触るだけでも十分に見えます。

問題は、業務に入れた瞬間です。

誰の権限でGoogle Driveを見るのか。WordPressを更新していいのか。顧客データを外部APIに送っていいのか。Slackやメールを読ませるなら、どの範囲までか。ここを決めないまま「AIが自動でやります」と言うと、現場は止まります。止まるのは悪いことではありません。止まれる設計がないまま動くほうが危ない。

Codex 0.143.0の更新は、その止め方と通し方に関係しています。社内プロキシを通る。プラグインの出所とバージョンが見える。MCPツールを検索で扱う。遠隔操作のペアリングを明示的に行う。全部、AIに仕事を委譲するための手綱です。

実務での使い方

最初にやるべきことは、AIエージェントに任せる仕事を3段階に分けることです。

  • 読み取りだけでよい仕事
  • 下書きまで任せる仕事
  • 公開、送信、更新まで任せる仕事

たとえばWordPress運用なら、公開記事の在庫確認と重複チェックは読み取り。記事案の作成は下書き。公開や既存記事の更新は書き込みです。この3つを同じ権限で扱うと、事故が起きます。

CodexのリモートプラグインやMCPツールを使う場合も同じです。まずは読み取り専用のツールから始める。次に、下書き生成や検証だけを許可する。公開や削除に近い操作は、人間の承認を挟む。面倒に見えますが、この階段を作ると社内展開が速くなります。怖くないからです。

monobloでも、AIエージェント運用は同じ考え方で組んでいます。新規記事は重複確認、一次情報確認、漏れ語句チェック、公開後のHTTP検証を通してから出す。詳しくは、前回の GitHub Copilot appの記事 や、過去の Codex 0.137.0の記事 でも触れています。

リスクと限界

今回の更新だけで、社内AI運用が安全になるわけではありません。

プロキシを通せることと、情報を出してよいことは別です。プラグインが見えることと、そのプラグインを使ってよいことも別です。MCPツール検索が便利になっても、ツール側の権限設計が雑なら意味がありません。

特に中小企業では、管理者が一人でGoogle Workspace、WordPress、会計、EC、広告アカウントをまとめて持っていることがあります。そのアカウントをAIに渡すと、便利さと危険が一緒に増えます。AI用の低権限アカウント、読み取り専用キー、公開前承認。この3つは最低ラインです。

最初の一手

Codexを社内で使っている会社は、まずプラグインとMCPツールの棚卸しをしてください。

見る項目は少なくていいです。ツール名、接続先、読み取りか書き込みか、誰のアカウントで動くか、ログが残るか。この5項目だけで、危ない接続はかなり見えます。

AIエージェントは、放っておくと便利な道具をどんどん増やします。だから入口で止めるのではなく、正本の保存先、承認の場所、権限の段階を先に決める。ここまで作ってから、初めて「AIに任せる」が会社の仕組みになります。

出典・実装メモ

  • OpenAI Developers: Codex changelog(Codex CLI 0.143.0)
  • GitHub Releases: openai/codex rust-v0.143.0
  • OpenAI Developers: Codex Remote connections

この記事では、公式リリースに書かれた機能名と変更点だけを事実として扱いました。中小企業での運用効果は、Sync8のAI業務基盤設計とmonobloでの自動公開運用からの解釈です。

シェアはこちらから
  • URLをコピーしました!