OpenAI зашифровала переписку ИИ-агентов в Codex, усложнив разработчикам аудит

OpenAI изменила устройство мультиагентной оркестрации в Codex, своём инструменте для агентного кодинга, и включила шифрование сообщений, которыми обмениваются агенты. Codex позволяет родительскому агенту порождать дочерних агентов или делегировать им задачи, а те могут обращаться к другим моделям. Протокол этой оркестрации, multi-agent v2, появился вместе с Codex на базе GPT-5.6 и, судя по всему, нацелен на то, чтобы решения о распределении работы принимала сама система, а не настройки пользователя. Официально OpenAI протокол пока не задокументировала, он всё ещё в разработке.
В прошлом месяце разработчики OpenAI слили в репозиторий openai/codex пул-реквест №26210, который шифрует полезную нагрузку сообщений в multi-agent v2, тот самый текст-инструкцию, которым обмениваются агенты. Пояснительный текст пул-реквеста начинается словом «Why» («почему»), но реальной причины изменения не называет. В нём сказано: раньше multi-agent v2 передавал инструкции агентов через обычные аргументы инструментов и общий межагентный контекст, родительская модель могла выдать текст задачи открытым текстом, Codex сохранял его в истории выполнения, а агент-получатель видел его как обычное JSON-сообщение ассистента. Теперь путь v2 устроен иначе: инструкции остаются зашифрованными между вызовами моделей, API Responses шифрует аргумент сообщения, который вернула модель, Codex пересылает только шифротекст, а расшифровывает его уже сам Responses на своей стороне, для модели-получателя.
The Register отмечает, что у решения могут быть разумные причины, усиление приватности и безопасности или защита данных, которые иначе могли бы использовать для дистилляции модели конкуренты, но сама OpenAI причину изменения не объяснила.
На отсутствие внятной коммуникации от OpenAI отреагировали разработчики. Игнат Ремизов, технический директор платёжного сервиса Zolvat, открыл на GitHub тикет №28058: «Путь зашифрованной доставки можно понять как усиление приватности, но он же убирает человекочитаемый текст задачи и сообщения из локальной истории выполнения, из данных трассировки и из поверхностей аудита и отладки на стороне родительского агента». Его опасение, что у разработчиков и мейнтейнеров кода станет меньше информации, чтобы понять, какие инструкции получил агент и какие действия он предпринял. «Ребята, мы же не хотим построить Скайнет, а потом не суметь проверить, что он делает», иронизирует Ремизов. Другие разработчики, разделяя его тревогу насчёт потери прозрачности, выдвигают версию, что OpenAI закрыла обмен сообщениями между агентами, чтобы конкуренты не могли изучить устройство её мультиагентной архитектуры.
На момент публикации статьи OpenAI не ответила на запрос The Register о комментарии.
Ключевые факты
- OpenAI включила шифрование сообщений между агентами в протоколе multi-agent v2 своего инструмента Codex (работает на базе GPT-5.6); протокол ещё официально не задокументирован.
- Изменение внесено пул-реквестом №26210, слитым в прошлом месяце в репозиторий openai/codex; его пояснение начинается словом «Why», но причины не раскрывает.
- Технически: API Responses шифрует аргумент сообщения от модели, Codex пересылает только шифротекст, расшифровка происходит на стороне Responses для модели-получателя, раньше инструкции агентов хранились как обычный текст в истории выполнения.
- Игнат Ремизов, технический директор платёжного сервиса Zolvat, открыл тикет №28058: шифрование убирает человекочитаемый текст задач из логов, трассировки и инструментов аудита; сравнил риск со «Скайнетом, который нельзя проверить».
- OpenAI официально не объяснила причину изменения и не ответила на запрос The Register о комментарии; часть разработчиков подозревает, что цель, скрыть архитектуру мультиагентной системы от конкурентов.
Почему это важно
Изменение закрывает один из немногих открытых каналов, через который разработчики могли видеть, что происходит «внутри» мультиагентных систем OpenAI: обычный текст инструкций между агентами. Речь о Codex, одном из ключевых инструментов OpenAI для агентного кодинга, построенном на GPT-5.6, и о новом протоколе multi-agent v2, который и так пока официально не задокументирован. История показывает общий тренд: чем автономнее и мультиагентнее становятся ИИ-системы, тем меньше остаётся прозрачности для людей, которые должны их контролировать.
Кому это важно
Разработчикам и командам, которые строят мультиагентные сценарии на Codex и полагаются на историю выполнения и логи для отладки, код-ревью и разбора инцидентов; специалистам по AI safety и внутреннему аудиту, для которых проверяемость автономных агентных систем, рабочий вопрос, а не абстракция; исследователям и конкурентам, которые изучали открытую переписку агентов, чтобы понять архитектуру мультиагентных систем OpenAI.
Как это применить
Протокол multi-agent v2 пока не задокументирован официально и находится в разработке. Тем, кто строит на Codex мультиагентные пайплайны, стоит проверить, не пропал ли человекочитаемый текст инструкций из локальной истории выполнения и трассировок после обновления, следить за тикетом №28058 и связанными обсуждениями в репозитории openai/codex и не закладывать в процессы отладки жёсткую зависимость от чтения текста инструкций из логов, пока OpenAI не даст официальных разъяснений или альтернативных инструментов аудита.
Можно ли доверять
Сам факт изменения подтверждён первоисточниками, публичным пул-реквестом №26210 и открытым тикетом №28058 в репозитории openai/codex на GitHub, а не слухами. А вот причина шифрования, предположение: OpenAI её официально не назвала и не ответила на запрос The Register о комментарии, поэтому версии «ради приватности и безопасности» и «чтобы скрыть архитектуру от конкурентов», это интерпретации автора статьи и разработчиков, а не подтверждённый факт.
Риски и подводные камни
Главный риск, потеря аудируемости: команды лишаются человекочитаемого следа того, какие инструкции получил агент и какие действия он предпринял, что усложняет отладку, код-ревью и разбор инцидентов постфактум. Ремизов формулирует это как риск для контроля над автономными агентными системами в целом, без трассировки сложно проверить, что агент делает именно то, что должен. Дополнительный риск, сам прецедент: если крупные вендоры агентных инструментов будут закрывать внутреннюю коммуникацию агентов без объяснений, это снизит доверие и прозрачность во всей категории инструментов агентного кодинга.
«Ребята, мы же не хотим построить Скайнет, а потом не суметь проверить, что он делает»
— Игнат Ремизов, технический директор Zolvat, в тикете №28058 на GitHub