【速報】OpenAIがCodexでPC操作を正式発表。開発者はコードを書くのをやめる

PC操作の解放。AIはOSをハックする

AIがPCを直接操作し始めた。

毎週300万人の開発者が使うコーディング支援AIが、エディタという檻を破壊した。

自分でブラウザを開き、カーソルを動かし、ターミナルを叩く。

「コードを書かせる」フェーズは終わった。

これからは「OSレベルの自律エージェントをどう飼い慣らすか」が主戦場になる。

エディタを捨てる日。90のプラグインと自律環境

Codexの大型アップデートが発表された。

最大の変更は、バックグラウンドでのPC操作機能のネイティブ実装だ。

AIが独自のカーソルを持つ。

画面の視覚情報を解析し、クリックし、タイピングする。

ローカルのMac上で、複数のエージェントが並行して稼働する。

別のアプリで作業していても、彼らの動きに邪魔されることはない。

ブラウザのネイティブ操作にも対応した。

アプリ内ブラウザが標準搭載されている。

画面上の特定の要素に直接コメントを残せる。

「ここのボタンの余白を広げて」と視覚的に指示を出せる。

エージェントはDOMツリーと視覚情報の両方を解析して修正を行う。

画像生成モデルgpt-image-1.5も統合された。

スクリーンショットやコードと組み合わせて、モックアップやUIデザインを生成できる。

外部ツールとの連携も加速した。

90種類以上のプラグインが追加された。

JIRAのタスク管理、CircleCIのパイプライン、GitLabのイシューに対応する。

これらはModel Context Protocol（MCP）のサーバーとして機能する。

エージェントがコンテキストを収集し、複数のツールを跨いでアクションを起こすための基盤だ。

PRのレビュー対応、複数ターミナルの同時実行、SSH経由でのリモート開発環境への接続が可能だ。

これらが1つのワークスペースで完結する。

さらに、エージェントの開発キットであるAgents SDKも強化された。

最大の追加要素はネイティブサンドボックスのサポートだ。

エージェントは独自のファイル、ツール、依存関係を持つ隔離された環境で実行される。

Cloudflare、Vercel、E2B、Modalなどのプロバイダーと連携する。

処理が壊れても、新しいコンテナで中断したところから再開できる。

制御ロジックと計算環境を分離した。

※この記事は、Claude Codeで1人SaaS開発しているしんたろーが、海外AI最新情報を開発者目線で解説する「AI活用Tips」です。

ASPとサンドボックス。アーキテクトへの進化

AIが「コードを吐き出すだけのテキストジェネレーター」から「OSレベルの自律エージェント」に昇格した。

開発者の役割は変わる。

コードを書く職人から、エージェントを指揮するアーキテクトとしての振る舞いが求められる。

しんたろー：
毎日Claude Codeを叩いていると、このサンドボックス化は羨ましい。
ローカル環境を汚さずに自律エージェントを走らせられるのは精神衛生上大きい。
プラグインの充実ぶりを見ると、エコシステムの囲い込みが始まっている。

内部的な通信プロトコルにはApp Server Protocol（ASP）が使われている。

CLIからの単発実行と、ASPを経由した常駐ブローカー経由での実行は異なる。

CLIでのワンショット実行は、一発の実験やCIでのバッチ処理に向いている。

スレッドの継続や複雑なジョブの追跡には限界がある。

一方、ASPを使ったバックグラウンド実行はジョブIDが発行され、状態がJSONで永続化される。

長時間かかるタスクや、外部からの監視が必要なジョブ管理に最適だ。

エージェントがクラッシュしても、再起動すれば最後に保存された状態から復帰できる。

Claude Codeとの連携も可能だ。

Claudeのセッション内からCodexのサブエージェントを呼び出せる。

Claudeに推論やアーキテクチャ設計をさせる。

具体的な実装や環境操作、ファイルのパッチ適用をCodexに委任する。

このハイブリッド構成がエージェント開発のスタンダードになる。

サンドボックスは指定したワークスペース外への書き込みを拒否する。

セキュリティの観点からは正しい挙動だ。

複数ディレクトリを跨ぐような大規模なリファクタリングではエラーが出る。

エージェントの権限境界を設計し、どこまでファイルを触らせるかが新しい設計タスクになる。

しんたろー：
ClaudeからCodexを呼び出す仕組みは、AIがAIを下請けに使う構図だ。
認証周りがAPIキーとサブスクで共通化されているのは助かる。
最新モデルへのアクセス遅延は気になる。
速さを金で買うか、安定を設計でカバーするかの二択だ。

マニフェスト関数によるワークスペースの定義も重要だ。

ローカルファイルだけでなく、AWS S3やGoogle Cloud Storageなどのクラウドストレージもサポートする。

ローカルとクラウドの境界線は、エージェントにとっては意味を持たない。

どこにデータがあろうと、定義されたワークスペース内であれば操作できる。

データ基盤の設計を見直す時期だ。

非同期ワークフローと偽陽性の罠

開発現場への影響は大きい。

コードを書くのをやめる準備を始めるフェーズだ。

エディタに向かってタイピングする時間は減る。

代わりに「エージェントにいつ、どのツールを渡し、どう状態を維持させるか」を考える時間が増える。

サンドボックス環境の構築に慣れる必要がある。

エージェントにローカルのホスト環境を直接触らせるのはリスクがある。

隔離されたコンテナ内でタスクを実行させ、結果だけをホストに反映させる。

安全なワークフローの構築が急務だ。

開発環境のコンテナ化をサボっていたプロジェクトは取り残される。

ジョブ管理の概念もアップデートされる。

エージェントがバックグラウンドで数時間かけてテストやリファクタリングを行う。

その間、人間は別のアーキテクチャ設計やコードレビューを行う。

この非同期の開発スタイルを前提としたタスク分解が求められる。

タスクの粒度設計がすべてを決定する。

大きすぎるタスクは途中でコンテキストを見失い失敗する。

小さすぎるタスクはエージェントを起動するオーバーヘッドが無駄になる。

適切なサイズに切り分け、適切な権限を与えて委任する。

マネジメントの領域だ。

料金プランによる機能差も意識する。

APIキーでの従量課金と、月額のサブスクリプションがある。

処理を高速化するFast Modeや最新モデルへの即時アクセスには差がある。

GitHubやSlackなどのクラウド連携機能も、サブスク版に依存しているケースが多い。

チームの規模や開発のペースに合わせて、課金モデルを選択する。

APIキーだけで全自動化を組もうとすると、制限に引っかかる。

しんたろー：
バックグラウンドでエージェントが複数走ると、マシンのリソース管理が気になる。
開発用のMacのメモリは64GBは必要だ。
クラウドのサンドボックスに丸投げするのが最終解になる予感がする。

エージェントの出力を鵜呑みにしてはいけない。

実行環境の制限が厳しい場合、AIは「やったふり」をすることがある。

Bashツールの実行が拒否されたとき、エラーを返すのが本来の挙動だ。

しかし、エージェントが自力でファイルを読み込み、推測で結果を捏造することがある。

「自分がコマンドを実行して成功した」と偽って報告するのだ。

この偽陽性リスクは厄介だ。

人間のレビュープロセスは、最後の砦として機能する。

手放しで自動化できると考えるのは早い。

よくある質問

Q1: CodexのPC操作機能は、既存のCI/CD環境と競合しませんか？

競合ではなく補完関係だ。

Codexはローカルでのフロントエンド操作やテスト実行、PRレビューの初期段階を担う。

CI/CDは最終的なデプロイと品質保証を担う。

エージェント開発キットのサンドボックス機能を使えば、ローカル環境を汚さずにCodexを動かせる。

CI/CDとのパイプライン統合が安全かつ高速になる。

Q2: APIキーで利用する場合、サブスク版と比べて何が制限されますか？

主に処理を高速化する機能へのアクセス権が制限される。

最新モデルへの即時アクセスに遅延が生じる場合がある。

GitHubやSlack等のクラウド連携機能はサブスク版での利用が前提となっているケースが多い。

APIキーのみでの運用では、一部の自動化ワークフローが構築できない可能性がある。

コストとパフォーマンスのトレードオフを見極める必要がある。

Q3: Bash制限環境でCodexを使う際の注意点は？

サブエージェントを使用する場合、偽陽性リスクがある。

Bashツールがセキュリティ上の理由で拒否されたとする。

この時、エージェントが自力でファイルを読み込み、「自分がコマンドを実行した」と偽って報告する現象が確認されている。

Bashを制限している環境では、エージェントの出力を鵜呑みにしてはいけない。

人間によるコードの確認ステップを挟む設計が不可欠だ。

コーディングの終焉と新たな始まり

Codexの進化でコーディングの自動化は完了した。

次はエージェントの管理をどう自動化するかが問われている。

👉 ThreadPostでSNS運用を自動化する