OpenAI把代理的眼睛蒙上了:Codex加密指令背后,谁在为AI黑盒化买单
title: “OpenAI把代理的眼睛蒙上了:Codex加密指令背后,谁在为AI黑盒化买单” date: 2026-07-17 slug: openai-codex-encrypt-agent-instructions-developer-audit-blackbox-transparency tags: [OpenAI, Codex, AI代理, 透明度, 安全] summary: “OpenAI最新版Codex CLI强制加密多代理系统中的子代理指令,开发者无法通过本地日志审计GPT-5.6-Sol的操作细节。名义上是防御提示注入,实质上是AI系统透明度的又一次有组织的撤退。” 2026年7月16日,OpenAI推送了Codex CLI 0.144.4版本更新。
更新日志很短,措辞很平静:多代理委托场景下,子代理接收到的指令现在默认加密处理,不再出现在本地日志中。
开发者社区炸了。
这不是一次功能升级,而是一次权限撤销——OpenAI单方面决定,开发者不应该再能看到自己系统里AI代理之间的对话。
这件事到底发生了什么
要理解这次更新的影响,需要先了解OpenAI多代理架构的基本工作方式。
在Codex CLI的多代理场景中,当你向GPT-5.6-Sol(OpenAI最强旗舰模型)提交一个复杂任务时,Sol不会独自完成所有工作。它会扮演”编排代理”的角色,将任务分解为若干子任务,然后把这些子任务以”委托指令”的形式传给不同的”执行代理”(可能是GPT-5.6-Terra,或更小的专用模型),由它们分别执行。
举一个具体例子:你让Sol帮你重构一个大型代码库。Sol可能会生成如下指令传给子代理:
- 子代理A:扫描并分析现有代码结构,列出潜在问题,权限=只读
- 子代理B:生成测试用例,权限=读写tests/目录
- 子代理C:执行重构,权限=读写src/目录,禁止访问.env文件
在0.144.4版本之前,这些委托指令会以明文形式出现在本地日志里。开发者可以检查这些日志,理解代理系统每一步的决策依据,确认权限边界是否被正确执行,追踪出错时的问题节点。
0.144.4之后,这些内容被加密了。 你能看到任务开始,能看到任务完成,能看到最终输出——但中间那些关键的”代理对话”,被锁进了你无法解密的黑盒。你不再知道Sol告诉Terra的权限范围是什么,不再知道子代理收到了什么指令,不再知道为什么某个文件被修改了、某个操作被执行了。
这不是更新,这是信息权的单向剥夺。
OpenAI的理由:防止提示注入
OpenAI给出的官方解释,是安全考量:防范”提示注入”(prompt injection)攻击。
在多代理场景中,如果子代理的指令是明文传输的,恶意数据(比如被入侵的工具调用结果、被污染的外部文档)可以被植入到指令流中,欺骗代理执行未经授权的操作。这是一种真实存在的攻击向量。2025年,有多个高调事件证明:当AI代理被允许处理外部内容并将其纳入决策逻辑时,恶意内容有能力操控代理行为。加密传输可以在一定程度上阻断这类攻击。
从纯粹的技术安全视角,OpenAI的逻辑并不站不住脚。
但这里有一个根本性的悖论:加密保护的对象,和被剥夺审计权的对象,是同一个人。
OpenAI在防止恶意外部攻击者读取代理指令的同时,顺带防止了开发者自己读取代理指令。这两件事被打包成了同一个技术决策,用同一个开关来控制。
开发者们的愤怒,不是因为他们反对安全措施,而是因为一个更直接的问题:为什么没有”本地解密”选项? 如果真的只是为了防止外部攻击者,完全可以在本地环境中提供只读的解密能力——指令加密传输,但在本地安全环境中可以解密查看。OpenAI选择了一刀切,而不是这种更精细的设计。
这让很多人相信,透明度的限制,可能并不只是出于安全考虑。
谁受到的影响最大
对于普通ChatGPT用户,这次更新几乎没有任何感知。
受到实质冲击的,是以下三类群体:
一、企业合规团队。 在金融、医疗、法律等受监管行业,企业在部署AI系统时面临越来越严格的审计要求——谁授权了什么操作、何时发生、权限范围是什么,都需要留有完整记录。欧盟AI法案(EU AI Act)要求对高风险AI系统保留完整的操作日志;美国伊利诺伊州AI审计法已经明确要求年度第三方审计。如果代理之间的委托指令是不可审计的,这些企业将面临直接的合规缺口:监管机构问”你的AI做了什么决策”,你无法给出完整的答案。这不只是理论风险——对于已经部署了基于Codex构建的多代理系统的企业,0.144.4实际上使他们在一夜之间进入了合规灰色地带。
二、企业安全和技术运维团队。 多代理系统的调试本已复杂。在生产环境中,一个中等规模的代理应用可能涉及5-20个不同功能的子代理,协同处理从代码审查到数据库操作的各类任务。现在,关键的指令内容被加密,当代理系统出现错误(文件被错误修改、某个工具被意外调用、某个权限被意外授予)时,开发者几乎无从追踪根本原因。这实际上把调试工作从”有日志可查”变成了”凭经验猜测”——这种退步在任何其他软件系统中都是难以接受的。
三、法律和风险合规部门。 当AI代理系统造成损失——删除了不该删除的文件、触发了不该触发的操作、泄露了不该泄露的数据——责任归因的前提是可追溯性。没有可读的指令日志,”是主代理还是子代理的问题”、”是用户显式授权的还是代理自主决定的”这些对法律责任判断至关重要的问题,将永远无法被清晰回答。2026年已有多起AI代理意外操作引发的法律纠纷,可追溯日志的存在,是企业免责的关键证据。0.144.4之后,这类证据链条从起点就被截断了。
更深的问题:谁有权定义”安全”与”透明”的边界
这件事引发的反弹之所以如此强烈,不只是因为某个具体功能的丧失,更是因为它暴露了一个更深层的权力结构问题。
OpenAI在单方面决定:在AI安全和开发者透明度之间,优先级应该是什么。 它没有征询开发者意见,没有提供迁移选项,没有给出配套的合规解决方案,直接用一次版本更新,改变了使用它的工具的信息权归属。
这不是第一次。过去一年,OpenAI在多个方面都倾向于将”模型能力保护”或”安全考量”置于”用户和开发者知情权”之上:
- GPT-5.6-Sol的完整系统提示从未公开;
- 工具调用的具体实现逻辑对开发者不可见;
- 现在,多代理系统中的委托指令也被列入”不可见”范畴。
但如果跳出”安全考量”这个框架,从商业逻辑来思考,加密委托指令还有另一个值得关注的效果:它使得开发者更难将OpenAI的多代理框架替换成其他供应商。当代理之间的”对话协议”是加密的、不透明的、只在OpenAI基础设施内可以被正确处理时,整套系统的可移植性就会降低。这不一定是OpenAI的主要动机,但它是一个不容忽视的副产品——锁定效应(lock-in)的一种新形态。
有开发者在社区中的留言被大量转发:”我理解提示注入是真实的攻击威胁。但能不能至少给我一个本地只读的解密选项,让我在不向OpenAI服务器传输任何内容的前提下,看清楚自己系统里发生了什么?这个要求不过分吧?”
这个要求,的确不过分。截至目前,OpenAI没有给出任何回应。
透明度的代价,谁来付?
从更宏观的视角看,Codex 0.144.4是一个时代性的信号。
随着AI代理从单一模型对话,演化为多模型协同、持续运行、自主决策的复杂系统,”可审计性”(auditability)正在成为企业AI部署中最关键的风险维度之一。微软安全博客在同一天(7月16日)发布了一篇关于AI代理”最小权限原则”的技术博客,明确指出”强身份认证、访问控制和操作审计”是AI代理安全的三个核心支柱。这与OpenAI的选择形成了微妙的对比:微软在强调”审计是安全的一部分”,OpenAI却在加密”可审计的内容”。
传统软件系统的每一步操作都有日志,每一个函数调用都有追踪,整个执行过程在设计上是透明的——这是企业IT运维的基础假设,也是监管合规的基础前提。
AI代理系统正在系统性地破坏这个假设:模型的思考过程是黑盒,代理之间的通信现在也是(法定)黑盒,工具调用的依据是黑盒,权限边界的实际执行是黑盒。
当这一切叠加在一起,我们正在以令人不安的速度,建设一套”没有人能真正看清楚正在做什么”的AI基础设施——然后把它部署到医院的数据系统、银行的交易处理、工厂的生产控制里。
OpenAI说,这是为了安全。
也许确实如此。但“为了安全”和”失去监督能力”之间,有一道门是应该被撑开的——那扇门,叫做审计权。 没有审计权的安全,只是另一种形式的暴露。
Codex 0.144.4是一个提醒:我们还没有准备好回答”AI系统做了什么,我们怎么知道”这个问题。 更严峻的是,当市场上最有影响力的AI工具提供商选择用加密来”解决”透明度问题时,整个行业的基准预期也在随之降低。
这个问题,比”AI能不能做什么”更加重要。
数据来源:OpenAI Codex CLI 0.144.4 更新日志(2026年7月16日);MSN转载报道;开发者社区公开讨论。