結論: Codex CLIは2026年4月に0.124〜0.128の大型リリースを連続して投入し、自動レビューエージェント(codex-auto-review)、プラグインMarketplace、Sub-agentsのpath-baseアドレスなど、エンタープライズ向けの機能が一気に整いました。
この記事の要点:
- 自動レビュー(codex-auto-review)は2016年4月16日リリース。シェル実行・ファイル書き込み・ネットワークアクセスをリスクレベル付きで自動承認/拒否
- プラグインMarketplaceはv0.124でリモートインストール・キャッシュ・アンインストールが一通り整備
- Sub-agentsはpath-baseアドレス(/root/agent_a形式)でMultiAgentV2の並列実行を構成。最大6スレッド同時起動
対象読者: Codex CLIを使い始めた開発者、コーディングワークフローを自動化したいエンジニアリングマネージャー
読了後にできること: 自動レビューエージェントを今日有効化し、危険なファイル操作をリスクレベル付きで管理できるようになります
「承認プロンプトが多すぎて、毎回手で確認するのが面倒」
先日、Codex CLIを企業導入しているチームのマネージャーからこんな相談を受けました。Codexは実行前に「このファイルを書き換えていいですか?」と確認を求めますが、それが連続すると開発の流れが止まる。かといって全承認すると怖い——というジレンマです。
その解決策が2026年4月16日にマージされたcodex-auto-reviewです。自動レビューエージェントがシェル実行・ファイル書き込み・ネットワークアクセスを事前にスクリーニングし、リスクレベルを表示した上で承認/拒否を自動で行います。人間は「高リスク」と判定されたものだけ確認すればよくなります。
この記事では、同時期にリリースされたプラグインMarketplace・Sub-agents・codex exec –json・ロールアウトトレーシングまで含めて、2026年4月の主要アップデートを完全解説します。Claude Code Routinesと合わせて読むと、AIコーディングの自動化ワークフローの全体像が掴めます。
AIエージェントの基本設計や導入ステップについては、AIエージェント導入完全ガイドで体系的にまとめています。
自動レビューエージェント(codex-auto-review)の完全解説
Codex CLIには、主エージェントと実行システムの間に「Guardian」と呼ばれる安全レイヤーが存在します。Guardianは主エージェントが危険な操作を要求した際に割り込み、リスクを評価して承認/拒否を判断するサブエージェントです。
Guardianが監視する操作
- シェルコマンドの実行(rm、curl、chmod 等)
- ファイルへの書き込み・変更
- ネットワークアクセス
- MCPツールの呼び出し
自動レビューの仕組み
v0.124(2026年4月23日)以降、対象の承認プロンプトは自動的にGuardianに回されます。Guardianは文脈を収集してリスクベースの判断を行い、以下のステータスで結果を返します。
| ステータス | 内容 |
|---|---|
| approved | 低リスク。自動実行 |
| denied | 高リスク。ブロック+理由表示 |
| stopped | Guardian自身が停止と判断 |
| timed out | 判定が一定時間内に完了しなかった |
2026年4月16日(PR #18169のマージ)以前はフロンティアモデル(gpt-5.4)がGuardianを担当していましたが、専用モデル codex-auto-review に切り替わりました。専用化の目的はコスト削減と判断速度の向上で、フロンティアモデルをレビューごとに呼び出す無駄をなくしています。
設定方法
# config.toml
[approvals]
approvals_reviewer = "guardian_subagent"
# デフォルト: "guardian_subagent"(v0.124以降は自動で有効)TUI画面では操作の上に「自動レビュー」インジケーターが表示され、Guardianの判定ステータスとリスクレベルが確認できます。
企業運用でのポイント
「Guardian subagent」はユーザーが設定した sandbox policy を継承します。企業環境で特定のディレクトリへの書き込みを絶対に許可したくない場合は、sandbox policyでブロックしておけばGuardianを経由しても実行されません。
# sandbox設定でホームディレクトリ外への書き込みをブロック
[sandbox]
deny_writes_outside_cwd = true
# ネットワーク:許可するドメインのみに限定
[sandbox.network]
allowed_domains = ["api.openai.com", "github.com"]プラグインMarketplaceの使い方
v0.124でリモートプラグインのインストール・一覧・詳細閲覧が整備され、v0.128でremote bundle cachingとremote uninstallが追加されました。
基本操作
# Marketplaceからプラグインをインストール
/plugin install codex-marketplace:security-scan@latest
# インストール済みプラグイン一覧
/plugin list
# リモートMarketplaceの一覧を閲覧
/plugin marketplace list
# アンインストール
/plugin uninstall security-scanプラグインが持てる機能
v0.128では plugin-bundled hooks がサポートされ、プラグイン自身がフックを同梱できるようになりました。たとえば「セキュリティスキャンプラグイン」がインストールされると、ファイル書き込み後に自動でスキャンを走らせるhookも一緒に有効化される、という構成が可能です。
# プラグイン同梱hookの例(plugin manifest.toml)
[hooks.post_write]
command = "security-scan --path {{file_path}}"
enabled = true # インストール時に自動有効化hookの有効/無効状態はTUIのプラグイン設定から確認・変更できます。
external-agent config import
v0.128では外部エージェントのセッション設定をインポートできるようになりました。他チームが構築したCodexエージェントの設定(モデル・sandbox・コネクター)を .codex/agents/ に配置してすぐ使い始めることができます。
Sub-agents(MultiAgentV2)の実装パターン
Codexのサブエージェントは、複雑なタスクを並列で処理するための仕組みです。v0.128でMultiAgentV2設定が明示的になり、thread capsとwait-time controlsが設定可能になりました。
基本設定
# config.toml
[agents]
max_threads = 6 # 同時起動できるエージェントスレッドの上限(デフォルト: 6)
max_depth = 1 # ネストの深さ(再帰的な委任を防ぐ)
job_max_runtime_seconds = 1800 # CSVバッチジョブの1ワーカーあたり最大実行時間ビルトインエージェントの種類
| エージェント | 役割 | 推奨用途 |
|---|---|---|
| default | 汎用フォールバック | 通常のコーディングタスク |
| worker | 実行特化 | 実装・バグ修正 |
| explorer | 読み取り特化 | コードベース探索・調査 |
カスタムエージェントの定義
# .codex/agents/security-reviewer.toml
name = "security_reviewer"
description = "セキュリティ脆弱性に特化したレビューエージェント"
developer_instructions = """
あなたはセキュリティ専門のコードレビュアーです。
以下の観点でコードを分析してください:
1. SQLインジェクション・XSS・認証漏れ
2. 機密情報のハードコード
3. 安全でない依存パッケージ
指摘は優先度(Critical/High/Medium/Low)付きで報告すること。
"""
sandbox_mode = "read-only" # セキュリティレビューは読み取りのみ
model_reasoning_effort = "high"PRレビューの並列化パターン
# 3つのエージェントを並列起動してPRを多角的にレビュー
# 実行例(/agent コマンドで制御)
# Agent 1: コード品質レビュー
/agent spawn worker "src/ 配下の変更を確認し、コーディング規約への準拠をチェックせよ。
指摘はインラインコメントとして投稿すること。"
# Agent 2: セキュリティレビュー
/agent spawn security_reviewer "このPRの変更をセキュリティ観点で分析せよ。
Critical/Highの指摘があれば即座に報告すること。"
# Agent 3: テストカバレッジチェック
/agent spawn explorer "変更されたコードのテストカバレッジを確認し、
カバーされていない重要なパスを特定せよ。"研修先で「PRレビューに1人あたり30分かかっていた」という製品チームにこのパターンを試してもらったところ、機械的なチェック(規約・セキュリティ・カバレッジ)をエージェントが担い、人間は設計の判断に集中できるようになったとのことでした。
CSVバッチ処理パターン
# spawn_agents_on_csvで大量アイテムを並列処理
# 例:100件のAPIエンドポイントを並列でドキュメント化
spawn_agents_on_csv:
csv_path: endpoints.csv # endpoint_url, description カラム
instruction: "エンドポイント {endpoint_url} ({description}) の
APIドキュメントをOpenAPI 3.0形式でJSONとして生成せよ。
不足情報があれば仮定事項として明記すること。"
id_column: endpoint_url
output_schema: {openapi_json: string, assumptions: array}
output_csv_path: api_docs_output.csvcodex exec –json とロールアウトトレーシング
v0.125(2026年4月24日)で追加された2つのモニタリング機能について解説します。
codex exec –json
codex exec は非対話的な自動化実行モードです。--json フラグを付けると、reasoning-token(思考トークン)の使用量がJSON形式で出力されます。
codex exec --json "変更されたAPIエンドポイントのテストをすべて実行し、
失敗したものをまとめよ" > result.json
# 出力例
{
"task": "API test execution",
"reasoning_tokens": 4821,
"output_tokens": 1203,
"result": "テスト実行完了。3件のテストが失敗。詳細は以下の通り...",
"failed_tests": ["auth/login_test.py", "api/users_test.py", ...]
}CI/CDパイプラインにCodexを組み込む場合、reasoning-token消費量をモニタリングすることでコスト予測が立てやすくなります。
ロールアウトトレーシング
v0.125ではツール使用・コードモード・セッション・マルチエージェントの関係を記録する「ロールアウトトレーシング」が追加されました。デバッグ用のreducer commandも提供されています。
# トレースを有効化
CODEX_ROLLOUT_TRACE=1 codex exec "大規模リファクタリングを実施せよ"
# トレースをデバッグ用に解析
codex debug-rollout --trace rollout-trace-2026-04-25.jsonl多くのサブエージェントが絡み合うワークフローで「どのエージェントがどのツールを呼んだか」を追跡するのに有効です。エンタープライズで監査ログとして活用することも想定されています。
permission profilesとsandbox設計
v0.124〜v0.128を通じて、permission profilesが大幅に強化されました。
ビルトインプロファイル
# config.toml
[permissions]
profile = "sandbox-cli" # サンドボックスCLIプロファイル(最も制限が厳しい)
# "default" | "sandbox-cli" | "trusted" から選択| プロファイル | ファイルアクセス | ネットワーク | shell実行 |
|---|---|---|---|
| sandbox-cli | CWD内のみ | allowlistのみ | 制限あり |
| default | ホーム以下 | OpenAI API等 | Guardianが判断 |
| trusted | 制限なし | 制限なし | 自動承認 |
permission profilesはTUIセッションをまたいで保持されます。v0.125の変更で、app-server APIを通じてセッション外からプロファイルを確認・変更することも可能になりました。
sandbox.network の詳細設定
# config.toml
[sandbox.network]
# 拒否するドメインをallowlistの例外として指定
denied_domains = ["s3.amazonaws.com/logs"]
# IPv6への対応(v0.125で改善)
allow_ipv6 = false # IPv6を無効化して予期しない接続を防ぐ
# プロキシ設定
proxy_bypass = ["10.0.0.0/8"] # 社内ネットワークはプロキシ不要【要注意】2026年4月アップデートの注意点
注意点1:自動レビューのライフサイクルイベントは不安定
❌ 本番ワークフローで信頼してはいけない:
item/autoApprovalReview/started
item/autoApprovalReview/completed
⭕ 代わりにやること:
上記イベントは [UNSTABLE] 扱い。プロトコルが変わる可能性が高い。
ステータスポーリングか手動確認を組み合わせること。注意点2:marketplace plugin hookのデフォルト有効化に注意
プラグイン同梱hookはインストール時に自動で有効化されます。どんなhookが動くか確認せずにインストールすると、予期しない外部API呼び出しが発生することがあります。
❌ 確認せずにインストール
/plugin install marketplace:some-third-party-plugin
⭕ 正しい手順
1. /plugin marketplace show some-third-party-plugin でhook一覧を確認
2. 問題なければインストール
3. インストール後に /plugin hooks list でhook状態を確認注意点3:max_depth = 1 を超えないよう設計する
Sub-agentsのデフォルト max_depth = 1 は、サブエージェントがさらにサブエージェントを起動することを防ぐ設定です。これを2以上にすると無限ループのリスクが生まれます。
❌ 危険な設定
[agents]
max_depth = 3 # サブエージェントがサブエージェントを再帰的に起動できる
⭕ 推奨
[agents]
max_depth = 1 # デフォルト値のまま運用する
# どうしても2段階必要な場合は、明示的なプロンプト設計で制御する注意点4:ChatGPT Pro利用者はFastサービスティアに注意
v0.124以降、ChatGPT Planはデフォルトで「Fastサービスティア」に変更されました。精度を優先する場合は明示的に変更が必要です。
# Standardティアに変更(より高精度・低速)
codex --service-tier standard "複雑なアーキテクチャリファクタリングをせよ"Claude Code vs Codex CLI:2026年4月時点の機能比較
頻繁に比較されるClaude CodeとCodex CLIを、今回のアップデートを踏まえて整理します。
| 機能 | Claude Code | Codex CLI |
|---|---|---|
| 自動化実行 | Routines(クラウド) | codex exec(ローカル+クラウド) |
| 自動レビュー | Auto mode | codex-auto-review (Guardian) |
| マルチエージェント | Agent Teams(並列) | Sub-agents MultiAgentV2 |
| プラグイン | Plugins・Skills | Plugin Marketplace |
| コードレビュー | /ultrareview(クラウド並列) | /review(ローカル) |
| 権限管理 | Auto mode allow/deny | Permission profiles |
| トレーシング | セッション要約・/recap | Rollout tracing(JSONL) |
Codex CLIとClaude Codeの詳しい比較はCodex vs Claude Code徹底比較、Codex CLIの基本操作はCodex CLI完全リファレンスでも解説しています。
エンタープライズ導入のロードマップ
これら機能を企業チームに展開する際の段階的アプローチをまとめます。
Phase 1(1〜2週間):Guardian有効化
# 全開発者のconfig.tomlに自動レビューを設定
[approvals]
approvals_reviewer = "guardian_subagent"
[sandbox]
deny_writes_outside_cwd = true # 作業ディレクトリ外への書き込みをブロックまずは最小変更でセキュリティ管理を強化。開発者は今まで通り作業しながら、Guardianが裏でリスクをスクリーニングします。
Phase 2(1〜2ヶ月):Sub-agentsでPRレビュー自動化
# チーム共有のエージェント定義をリポジトリに配置
# .codex/agents/ 配下にチームの用途に合ったエージェントを定義
# AGENTS.mdにワークフローを文書化Phase 3(3ヶ月〜):Marketplace活用と監査体制
# Rollout tracingを有効化して監査ログ取得
CODEX_ROLLOUT_TRACE=1
# 定期的に codex exec --json でコスト測定
# reasoning-token消費量を月次でレビューまとめ:今日から始める3つのアクション
- 今日やること:
config.tomlにapprovals_reviewer = "guardian_subagent"を追加して自動レビューを有効化。どんな操作がどのリスクレベルと判定されるか確認する - 今週中:
.codex/agents/にチーム向けの reviewer エージェントを1つ定義し、PRに対して並列レビューを試してみる - 今月中:
codex exec --jsonをCI/CDに組み込み、reasoning-token消費量を計測してコストモデルを作る
次回の記事では、Anthropic Marketplaceのプラグインエコシステムと、自社オリジナルプラグインの作り方を解説します。
参考・出典
- OpenAI – Codex Changelog(公式)(参照日: 2026-05-03)
- OpenAI – Codex Subagents ドキュメント(参照日: 2026-05-03)
- GitHub – openai/codex Releases(v0.124〜v0.128)(参照日: 2026-05-03)
- Codex Blog – Purpose-Built Agent Models: codex-auto-review(2026-04-17)
- OpenAI – Codex CLI Features ドキュメント(参照日: 2026-05-03)
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。早稲田大学法学部在学中に生成AIの可能性に魅了され、X(@SuguruKun_ai、フォロワー約10万人)で活用法を発信。100社以上の企業向けAI研修・導入支援を展開。著書『AIエージェント仕事術』(SBクリエイティブ)。
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
