Codexフックがエージェント運用基盤を現実にする
OpenAIは2026年5月14日、CodexをChatGPTモバイルアプリに組み込みました。発表の中でより重要だったのは、その少し下に書かれていた内容です。Remote SSHとフックが一般提供になり、BusinessプランとEnterpriseプランにはプログラムから使えるアクセストークンが追加されました。1
これで仕事の性質が変わります。Codexは、1つのターミナルの中で待機するコーディング支援ツールには見えなくなりました。マシン、承認、スレッド、差分、テスト、スクリーンショット、プラグイン、認証情報、ローカルツールをまたいで作業を追いかける運用レイヤーになりつつあります。2
Codexフックが、エージェント運用基盤を現実にします。 エージェントがスマートフォンから動かせるようになり、リモート開発環境へ接続し、ライフサイクルフックを実行できるようになると、チームにはモデルの周囲を支える制御システムが必要になります。証拠、承認、Git管理、ソース規律、そして美意識です。
要約
Codexは、エージェントチームがこれまで内製してきた作業形態を公式に支えられるところまで来ました。長時間の作業、リモート実行、モバイルからの指示、承認、フック、範囲を絞った認証情報、監査シグナルです。123 プロンプトは今も重要ですが、それ以上に運用レイヤーが重要になります。
実務上の問いは、「Codexにどうプロンプトを書くか」ではありません。「結果を信頼する前に、Codexは何を証明しなければならないか」です。チームはフックと設定を使って、レビュー基準、セキュリティ境界、公開文章の基準、リリース規律を仕組みとして埋め込むべきです。内部の仕組みは内部に留め、公開するのはパターン、受け入れ条件、検証済みの結果だけで十分です。
重要なポイント
エンジニアリングチーム向け: - Codexフックは飾りではなく、プロセス基盤として扱いましょう。 - 気の利いた自動化を足す前に、証拠、承認、Git管理、リリースチェックから始めるべきです。
エージェントツールの開発者向け: - Codexの実際の接点、つまりモバイル制御、Remote SSH、サンドボックスモード、承認ポリシー、プロジェクト指示、フック、テレメトリ、バージョン管理を前提に設計しましょう。 - 古いスラッシュコマンドの形ではなく、達成すべき仕事を移植してください。
公開記事を書く人向け: - 現在のCodexの挙動は、OpenAIの公式ドキュメントで確認しましょう。 - 内部の実践は著者の分析として説明し、非公開のプロンプト、フック本体、ファイルパス、ソース一覧、認証情報、採点の内部仕様は公開文面に出さないでください。
5月14日に何が変わったのか
OpenAIの5月14日の発表で、Codexは継続的な作業基盤に近づきました。ChatGPTモバイルアプリ内のCodexは、Codexが動いているマシンに接続し、その環境のライブ状態を読み込み、ユーザーがスマートフォンから出力を確認し、コマンドを承認し、モデルを変更し、作業を開始し、差分、ターミナル出力、テスト結果、承認、スクリーンショットを追えるようにします。1
同じ発表では、Remote SSHが一般提供になったことも示されています。Codexはリモート環境に接続し、SSH設定からホストを検出し、プロジェクトを作成し、リモートマシン上でスレッドを実行できます。1 開発者ドキュメントでは、リモート接続がより具体的に説明されています。リモートアクセスでは、接続先ホストのプロジェクト、スレッド、ファイル、認証情報、権限、プラグイン、Computer Use、ブラウザ設定、ローカルツールを使います。2
OpenAIはフックも一般提供に移しました。発表では、プロンプト内の秘密情報のスキャン、バリデーターの実行、会話の記録、メモリ作成、リポジトリやディレクトリごとのCodex挙動のカスタマイズといった用途が挙げられています。1 フックのドキュメントでは、Codexのループにスクリプトを注入するための拡張フレームワークとして定義されており、設定リファレンスでは、hooks.jsonまたはインライン設定から読み込まれるライフサイクルフック用にfeatures.hooksが公開されています。76
これらの詳細が重要なのは、エージェント作業が単なるチャットのやり取りから、統制された運用へ変わるからです。
フックがモバイルより重要な理由
モバイルアクセスは、人間が介入できる場所を変えます。フックは、システムが強制できる内容を変えます。
スマートフォンがあれば、席を離れていても担当者は質問に答えられます。一方でフックは、危険な操作の前、ファイル編集の後、完了前、あるいはリリースチェック中にエージェントを止められます。スマートフォンが解決するのは遅延です。フックが解決するのは基準です。
Codexにはすでに、サンドボックスと承認に関する公式の制御接点があります。OpenAIの安全性ドキュメントでは、Codexはエージェントが技術的に何をできるかを定めるサンドボックスモードと、Codexが実行前に停止して確認を求める条件を定める承認ポリシーを組み合わせると説明されています。3 同じドキュメントでは、ネットワークアクセスはデフォルトで無効であり、ローカルの標準的なworkspace-writeモードでも、ユーザーが有効にしない限りネットワークアクセスは無効のままだとされています。3
フックは、こうした制御の隣に置かれます。現在のフックイベントには、SessionStart、PreToolUse、PermissionRequest、PostToolUse、UserPromptSubmit、Stopがあります。PreToolUseは、対応するBash呼び出し、apply_patchによるファイル編集、MCPツール呼び出しを横取りできます。ただしOpenAIのドキュメントは、すべてのシェル経路、WebSearch、その他の非シェルかつ非MCPのツール呼び出しを横取りするわけではないと警告しています。7 つまりフックは、サンドボックスの代替ではなく、レビューと誘導のためのレイヤーです。
フックを使うと、ローカル基準を実行可能にできます。
| 基準 | フックによる強制の形 |
|---|---|
| 秘密情報を漏らさない | 危険な操作の前にプロンプトとツール入力をスキャンする |
| 完了を偽らない | 証拠が不足しているときは完了を止める |
| 古い内容を公開しない | ソース確認とレンダリング済みルート確認を必須にする |
| 汚れた状態を残さない | パスを限定したGit状態の確認とコミット意図を必須にする |
| 品質を弱めない | リリース前に焦点を絞ったレビュー基準を実行する |
モデルはルールを忘れることがあります。フックは、そのルールが必要になる瞬間に、もう一度ルールを実行できます。
エージェント運用基盤とは運用レイヤーである
エージェント運用基盤とは、モデルの周囲にある運用レイヤーです。権限、メモリ、ツール、フック、ソース確認、リリース基準、レビューパケット、ロールバック規律を含みます。この言葉は内輪っぽく、少し凝って聞こえるかもしれません。しかし役割は単純です。意図を、説明責任のある仕事に変えるレイヤーです。
Codexは、そのレイヤーを明示できるだけの公式接点をすでに公開しています。リモート接続はホスト環境を引き継ぎます。サンドボックスモードと承認ポリシーは、行動の境界を定めます。設定ファイルは、モデル、プロジェクト、権限、MCPサーバー、スキル、フック、テレメトリ、機能を定義します。6 OpenTelemetryでは、ユーザープロンプト、承認判断、ツール実行結果、MCPの利用、ネットワークプロキシ判断などのイベントを記録できます。34
この接点の集合によって、役割分担がしやすくなります。
| プロバイダー側の接点 | チーム側が持つ基準 |
|---|---|
| リモート接続 | どのホストとアカウントに作業を持たせるか |
| サンドボックスと承認 | どの操作に摩擦をかけるか |
| フック | どの基準を判断点で実行するか |
| テレメトリ | どのイベントを監査証拠にするか |
| Gitワークフロー | どの変更を保存点にするか |
| プロジェクト指示 | エージェントを導く持続的な規範は何か |
プロバイダーは実行環境を改善し続けるべきです。それでも、判断を所有するのはチームです。
チームは最初に何を組み込むべきか
まずは4つの関門から始めましょう。すぐに効きます。
証拠ゲート
Codexの最初のローンチ記事は、検証可能な証拠を重視していました。ターミナルログ、テスト出力、タスク完了までの追跡可能な手順です。5 この期待値を、交渉不能なものにしましょう。意味のある完了報告では、変更したファイル、実行したコマンド、観察した挙動、失敗したチェック、残っている不明点を示す必要があります。
公開作業であれば、証拠にはソースリンクと主張とソースの対応が含まれます。Webリリースであれば、レンダリング済みルート、メタデータ、スキーマ、ディスカバリーファイル、デプロイ状態、キャッシュの鮮度、本番で確認できる変更マーカーが含まれます。翻訳であれば、ロケールの網羅、品質基準、保存行またはキャッシュファイル、必要な場合のネイティブレビュー状態が含まれます。
承認ゲート
すべての操作に同じ承認姿勢を使ってはいけません。OpenAIの承認ドキュメントは、安全な読み取り専用ブラウジング、ワークスペース編集、承認が必要なネットワークアクセス、信頼できないコマンド、自動レビュー方式、危険なフルアクセスを区別しています。3 強いローカルポリシーも同じ形にすべきです。低リスクの読み取りは静かに通し、副作用のある作業はレビューにかけ、破壊的または外部に見える作業には明示的な証拠を求めます。
Git管理ゲート
エージェント作業には、ロールバックの取っ手が必要です。Codex自身のセキュリティドキュメントでも、Codexはバージョン管理と一緒に使うのが最もよいとされています。委任前に状態をきれいに保ち、こまめにコミットし、対象を絞った検証を実行し、差分をレビューし、コミットメッセージに判断を記録する、という助言です。3
この助言はプロセスにするべきです。まとまりがあり、検証済みの保存点ごとにコミットします。ステージングは正確なパスだけにします。コミットは、独立して戻せる関心ごとに分けます。リリースフローで公開権限がすでに与えられていない限り、pushの前には確認を取ります。エージェントがたまたま見たからといって、無関係な未コミット変更をまとめてコミットしてはいけません。
美意識ゲート
AIコーディングによって、実装は安くなります。実装が安くなるほど、美意識の価値は上がります。
美意識とは、装飾の好みではありません。作業がプロダクト全体を良くしているかどうかです。技術的には可能でも、結果を弱める道ならエージェントが拒否できることです。公開文章では、内部の仕組み、根拠のない主張、埋め草を避けることです。ローカルのパッチとして正しくても、ユーザーに見える経路が壊れたままなら失敗です。
美意識の関門では、次を問うべきです。
| 問い | 目的 |
|---|---|
| 本当のユーザーは誰か | ローカル成果物だけを崇めるのを防ぐ |
| 結果を何が証明しているか | 証拠と自信を切り分ける |
| 何を取り除き、何を拒否したか | 一貫性を守る |
| 何がまだ未検証か | 偽の完了を避ける |
| なぜこの作業は存在するに値するのか | 量が判断を置き換えないようにする |
Mozillaも同じパターンを示している
Mozillaが5月7日に公開した、Claude Mythos PreviewでFirefoxを堅牢化する記事も、別のスタックから同じ点を示しています。チームによると、初期のLLMコード監査の試みには可能性があったものの、誤検知が多すぎて拡張できませんでした。エージェント的な運用基盤は、バグ仮説を動的にテストするための再現可能なテストケースを作成して実行できたため、経済性を変えました。8
Mozillaの記事で重要なのは、モデル単体の話ではありません。チームは、発見は必要だが十分ではなかったと述べています。有用なシステムにするには、対象、重複排除、バグ追跡、トリアージ、修正、リリースというセキュリティバグのライフサイクル全体と統合する必要がありました。8 著者たちはまた、このパイプラインがFirefoxのコードベースの意味構造、ツール、プロセスを反映していたとも述べています。8
Codexにとっての教訓も同じです。より良いモデルは重要です。しかし、そのモデルの周囲にある運用システムが、作業を信頼できる出力にできるかどうかを決めます。
公開してはいけないもの
公開するCodex記事で、非公開の作業システムを丸ごと出すべきではありません。
公開文面からは、次を外してください。
- 非公開のプロンプトとフック本体
- 機微なローカルパス
- 正確なソースマップと採点の内部仕様
- アカウント識別子と認証情報の扱い
- 非公開のワークフロー短縮手順
- 未公開プラグインの挙動
- 第三者が内部運用を再構築する助けになるもの
代わりに公開すべきなのはパターンです。その関門が何を守るのか、どんな証拠を求めるのか、どんな失敗を捕まえるのか、そして公式のCodex接点を使ってチームがその考え方をどう実装できるのかです。
この線引きは信頼を守ります。同時に、文章も良くします。内部の仕組みは、たいてい伝承のように読めます。公開された受け入れ条件のほうが、他のチームが自分たちのシステムについて考える助けになります。
実用的なCodex運用基盤マップ
有用な作業を証明できる、最小の制御マップを作りましょう。
| レイヤー | 最初に役立つ形 |
|---|---|
| プロジェクトポリシー | 持続的な規範と検証コマンドを含むAGENTS.md |
| 権限 | 標準はworkspace-write、ネットワークと外部書き込みは明示的にする |
| フック | 秘密情報スキャン、証拠による停止関門、Git管理、公開文章チェック |
| ソース規律 | 現在のツール挙動は一次ソースで確認する |
| レビューパケット | 目的、変更ファイル、コマンド、結果、ソース、未解決点 |
| Git管理 | 検証済みの保存点ごとにパスを正確に指定してコミットする |
| リリース関門 | レンダリング済みルート、メタデータ、スキーマ、翻訳、本番マーカー |
| テレメトリ | 承認、ツール、ネットワークイベントを信頼できるコレクターへ送る |
まずは明示的にします。実際のタスクを1つ実行します。どこで関門が役立ち、どこで邪魔になったかを記録します。ユーザーに見える結果を良くする部分だけを昇格させましょう。
短いまとめ
Codexフック、Remote SSH、モバイル制御、サンドボックス、承認、設定、テレメトリ、バージョン管理は、同じ方向を指しています。コーディングエージェントには、その周囲に運用システムが必要です。12346 エージェントはコードを書けます。何を仕事と見なすかを決めるのは、運用基盤です。
最も優れたチームは、エージェントの出力量を最大化することで勝つのではありません。エージェント作業を検査可能にし、戻せるようにし、ソースに基づかせ、美意識を通し、リリースに値するものにすることで勝ちます。
FAQ
Codexフックとは何ですか?
Codexフックは、hooks.jsonまたはインライン設定から実行できるライフサイクルフック機能です。OpenAIの発表では、フックはプロンプト内の秘密情報をスキャンし、バリデーターを実行し、会話を記録し、メモリを作成し、特定のリポジトリやディレクトリに合わせてCodexの挙動をカスタマイズできると説明されています。フックのドキュメントには、PreToolUse、PermissionRequest、PostToolUse、UserPromptSubmit、Stopなどのイベントが記載されています。17
なぜCodexフックが重要なのですか?
フックを使うと、プロンプトだけに頼らず、判断点に基準を置けます。エージェントが動くとき、または完了しようとするときに、証拠、ソース品質、Git状態、リリース準備状況を確認できます。
Codexモバイルはローカルのエージェントワークフローを置き換えますか?
いいえ。モバイル制御によって、机から離れていても作業を指示できます。ただし、接続先ホストがプロジェクト、ファイル、認証情報、権限、プラグイン、ローカルツールを提供する点は変わりません。2 チームには引き続き、ローカルポリシー、安全な認証情報、バージョン管理、検証が必要です。
Codex運用基盤には、最初に何を含めるべきですか?
プロジェクト指示、サンドボックスと承認の姿勢、秘密情報の境界、証拠による停止関門、パスを正確に指定するGit管理、公開主張のソース確認、ユーザーに見える作業のためのリリース関門から始めるとよいでしょう。
チームはCodexフックを公開すべきですか?
公開すべきなのは、パターンと受け入れ条件です。非公開のフック本体や機微なワークフロー詳細ではありません。有用な公開記事なら、非公開パス、ソースマップ、プロンプト、認証情報、採点ルールを出さなくても、フックの役割を説明できます。
参考文献
-
OpenAI, “Work with Codex from anywhere,” OpenAI, May 14, 2026. ↩↩↩↩↩↩↩
-
OpenAI Developer Docs, “Remote connections,” accessed May 17, 2026. ↩↩↩↩↩
-
OpenAI Developer Docs, “Agent approvals & security,” accessed May 17, 2026. ↩↩↩↩↩↩↩
-
OpenAI, “Running Codex safely at OpenAI,” OpenAI, May 8, 2026. ↩↩
-
OpenAI, “Introducing Codex,” OpenAI, May 16, 2025. ↩
-
OpenAI Developer Docs, “Configuration Reference,” accessed May 17, 2026. ↩↩↩
-
Brian Grinstead, Christian Holler, and Frederik Braun, “Behind the Scenes Hardening Firefox with Claude Mythos Preview,” Mozilla Hacks, May 7, 2026. ↩↩↩