OpenAI hat sein Coding-Werkzeug Codex so umgebaut, dass die Aufträge an untergeordnete KI-Agenten nur noch verschlüsselt im lokalen Protokoll landen. Lesen kann sie danach allein OpenAI. Für Unternehmen, die ihre Agenten prüfbar halten müssen, verschwindet damit die entscheidende Spur.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Seit Codex die Prompts seiner Sub-Agenten verschlüsselt, steht im eigenen Protokoll an der entscheidenden Stelle nur noch ein Chiffrat. Ausgelöst hat das ein Patch, der im Juni still in den Code gewandert ist und erst aufgefallen ist, als Entwickler nachvollziehen wollten, welchen Auftrag ein gestarteter Kindagent bekommen hatte.

Das Wichtigste in Kürze

  • Codex legt die Aufträge an Sub-Agenten seit Version 0.137.0 nur verschlüsselt ab, das Klartextfeld bleibt leer.
  • Betroffen sind spawn_agent, send_message und followup_task.
  • Lesen kann die Nachrichten nur OpenAI, lokal bleibt keine Spur.
  • Der EU AI Act verlangt Protokolle, die mindestens sechs Monate aufbewahrt werden.

Was genau verschwindet aus dem Protokoll?

Zensiertes Papier mit orangefarbenem GEPRÜFT-Stempel und ein Stempelgerät daneben
Codex verschlüsselt Inter-Agent-Nachrichten: Das Klartextfeld bleibt leer, Inhalte nur in encrypted_content. Patch vom 5. Juni 2026 verursachte Regression

Codex schreibt die Nachricht zwischen Haupt- und Sub-Agent nur noch in das Feld InterAgentCommunication.encrypted_content, während das danebenliegende Klartextfeld content leer bleibt.

Stille Regression: Gemeldet ist der Effekt im Codex-Repository als Rückschritt[1]. Der auslösende Patch hat am 5. Juni 2026 die Nachrichten-Payloads der Multi-Agent-Schicht verschlüsselt und betrifft seither jede Version oberhalb von 0.137.0.

Kein Rechenschutz: Auf OpenAIs Servern arbeitet das Modell weiter auf dem Klartext, verschlüsselt ist allein die Spur, die beim Nutzer landet.

Warum ist das kein Einzelfall?

Das Muster ist bei OpenAI eingeübt: Die Rohgedanken der Reasoning-Modelle gibt der Anbieter grundsätzlich nicht heraus. Neu ist nur, dass es diesmal nicht das Denken trifft, sondern den Arbeitsauftrag.

Bekannte Bauform: In der Responses-API bekommen Kunden mit Zero Data Retention ihre Denkspuren als encrypted_content zurück. Die Dokumentation von OpenAI hält fest, dass diese Elemente undurchsichtig bleiben und die Schnittstelle ihren Text nicht zurückgibt[2].

Andere Reichweite: Bisher ist verborgen geblieben, wie ein Modell denkt. Jetzt bleibt verborgen, was ein Agent dem nächsten aufträgt. Der Unterschied wiegt schwer, weil ein Auftrag eine Handlung auslöst: Ein Sub-Agent schreibt Dateien und ruft Werkzeuge auf, die Budget verbrauchen. Aus gutem Grund sperren manche Teams ihre Coding-Agenten inzwischen in eine Wegwerf-VM.

Angriffsfläche: An genau diesen Aufträgen hängen die Prompt-Injection-Angriffe, die KI-Agenten heimlich umprogrammieren, und ein manipulierter Auftrag fällt nur auf, wenn er sich lesen lässt. Wie viel ein Werkzeug nach Hause funkt, zeigen auch die Analysen zu xAIs Grok Build CLI und zum Token-Vorlauf von Claude Code.

Codex: Was seit der Verschlüsselung im Protokoll fehlt

Die Aufträge zwischen Haupt- und Sub-Agent liegen nur noch als Chiffrat vor. Vier Zahlen zeigen, was das für die Nachvollziehbarkeit bedeutet.

0.137
Ab Version 0.137.0

Jede neuere Codex-Version schreibt die Agenten-Nachricht verschlüsselt ins Protokoll.

3
Betroffene Operationen

spawn_agent, send_message und followup_task.

1
Leeres Klartextfeld

Das Feld content bleibt leer, gefüllt wird nur encrypted_content.

6
Monate Aufbewahrung

Mindestfrist für Protokolle von Hochrisiko-Systemen nach Artikel 26 Absatz 6 des EU AI Act.

Vorher und nachher im lokalen Protokoll

Bis Version 0.137.0
  • Auftrag an den Sub-Agenten im Klartext lesbar
  • Fehlersuche im Nachhinein möglich
  • Prüfbar, ob ein Kindagent sinnvoll gearbeitet hat
Seit dem Juni-Patch
  • Nur noch ein Chiffrat im Protokoll
  • Entschlüsselung ausschließlich bei OpenAI
  • Budgetverbrauch eines Kindagenten nicht mehr belegbar
  • Manipulierter Auftrag bleibt unsichtbar

Der Kern: Verschlüsselt wird nicht die Rechenarbeit, sondern allein die Spur beim Nutzer. Auf den Servern von OpenAI arbeitet das Modell weiterhin auf dem Klartext.

Ein Agent, dessen Aufträge im eigenen Protokoll unlesbar sind, ist kein Werkzeug mehr, sondern ein Zulieferer ohne Lieferschein. Prüfbarkeit ist die Bedingung dafür, dass KI in regulierte Prozesse überhaupt hineindarf.

— Markus Seyfferth, Chefredakteur Dr. Web

Was bedeutet das für Unternehmen im DACH-Raum?

Der EU AI Act verlangt bei Hochrisiko-Systemen automatisch aufgezeichnete Protokolle, und Betreiber müssen sie mindestens sechs Monate aufbewahren. Ein Protokoll, dessen Kernfeld verschlüsselt ist, erfüllt diese Pflicht nicht.

Rechtsrahmen: Artikel 12 der KI-Verordnung schreibt vor, dass Hochrisiko-Systeme die automatische Aufzeichnung von Ereignissen über ihre gesamte Lebensdauer technisch ermöglichen[3]. Artikel 26 Absatz 6 verpflichtet den Betreiber, diese Protokolle mindestens sechs Monate vorzuhalten[4].

Praktische Folge: Für ein reines Coding-Werkzeug greift diese Pflicht selten. Sobald ein Agenten-Stack aber in der Personalauswahl oder in kritischer Infrastruktur mitarbeitet, wird aus dem leeren Klartextfeld ein Compliance-Problem, das sich nachträglich nicht reparieren lässt. Ähnlich unbequem liest sich der Befund, dass jeder vierzehnte MCP-Server durch die Sicherheitsprüfung fällt.

  • Prüfen Sie, ob Ihre Agenten-Werkzeuge den Auftrag an Sub-Agenten im Klartext protokollieren.
  • Schreiben Sie die Protokollierbarkeit in die Beschaffungskriterien, nicht erst ins Audit.
  • Dokumentieren Sie die Lücke, solange sie besteht: Ein bekanntes Risiko lässt sich verteidigen, ein unbemerktes nicht.

Ein Anbieter darf seine Orchestrierung als Geschäftsgeheimnis behandeln, der Preis dafür fällt aber beim Kunden an. Wählen Sie Ihre Agenten-Werkzeuge deshalb auch danach aus, was sie Ihnen zu lesen geben. Zur Modelllandschaft hilft unser LLM-Ratgeber, zur Agenten-Infrastruktur unsere Einordnung zu MCP-Servern.

Quellen

[1] GitHub, openai/codex: „Regression: encrypted MultiAgentV2 messages remove readable task audit trail“

[2] OpenAI: „Reasoning models“ (Entwicklerdokumentation)

[3] Verordnung (EU) 2024/1689: Artikel 12, Aufzeichnungspflichten

[4] Verordnung (EU) 2024/1689: Artikel 26 Absatz 6, Pflichten der Betreiber

Mehr Newshunger?

4,5 11 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?