OpenAI 4 月更新：Codex 更收緊

OpenAI 在 2026 年 4 月丟出一包很密的更新。主角是 Codex 0.118.0。這版不是在秀新花樣。它是在收緊網路、登入、沙箱，還有 MCP 啟動流程。

講白了，這版很像工程團隊在補地基。Windows 沙箱改成 proxy-only networking。App-server client 支援 device-code login。codex exec 也能吃 prompt 加 stdin。這些都不是花俏功能，但都很實用。

如果你有把 AI 工具放進正式環境，這些改動就不是小事。因為它們碰到的是權限、流量、Token，還有失敗時怎麼收尾。這些地方最容易出包，也最容易讓團隊對工具失去信任。

Codex 0.118.0 重點是控制感

我看這份 changelog，第一個感覺就是控制感變強了。OpenAI 不是只想讓 Codex 跑得動。它更想讓 Codex 跑得可預期。這對開發者很重要，因為 agent 工具一旦進到團隊流程，穩定性比炫技更值錢。

Windows sandbox 的 proxy-only networking 是最明顯的例子。以前很多工具靠環境變數處理代理。現在 Codex 直接用 OS-level egress rules。這種做法比較硬，也比較適合企業網路。你可以少掉一堆「到底有沒有真的走代理」的鬼故事。

另一個重點是動態認證。自訂 model provider 可以用 dynamic bearer tokens。這表示 Codex 更能接上短效 Token 的系統。很多內部平台本來就不愛長期密鑰。這次更新算是往現代權限模型靠近了一步。

• Windows sandbox 改用 OS-level egress rules
• App-server client 可用 device-code flow 登入
• codex exec 支援 prompt + stdin
• 自訂 model provider 可動態刷新 bearer token

我覺得 prompt + stdin 也很有意思。這代表 Codex 更適合接腳本。你可以把結構化資料從 stdin 餵進去，再用命令列補一句指令。這種設計很像真正要給 CI、批次任務、內部工具鏈用的樣子。

如果只看表面，這版好像只是修修補補。但如果看使用場景，就會發現方向很清楚。OpenAI 不是在追求「多一個功能」。它是在把 Codex 往可部署、可管控、可整合的方向推。

登入、沙箱、MCP 都在補洞

這次更新裡，登入流程的變化很實際。App-server client 可以走 device-code sign-in。這對沒有瀏覽器登入條件的環境很友善。像是遠端機器、受限桌面、或某些自動化環境，都會比較好接。

沙箱部分也修了不少坑。Linux 上，Codex 重新能找到可信任的 bwrap binary。這聽起來像小事，但 sandbox 工具最怕 PATH 搞怪。只要有多個 entry，很多工具就會翻車。這種 bug 很煩，因為你很難第一時間看出來是路徑問題。

MCP 啟動也被調整過。local MCP server 的 startup window 變長，handshake fail 的警告也回來了。這很合理。因為 silent failure 最討厭。伺服器沒起來，工具卻裝沒事，這種情況只會讓人懷疑整套系統。

“The best way to predict the future is to invent it.” — Alan Kay

這句話老梗歸老梗，但放在這裡還算貼切。OpenAI 不是等 agent 工具自然成熟。它直接改登入、改沙箱、改啟動流程。意思很明白：這套東西要進正式工作流，就得先把最容易壞的地方修掉。

安全面也有幾個細節。.codex project-local 檔案第一次建立時會受保護。network-proxy 的 DNS lookup error 會 fail closed。Windows 的 apply_patch 也避免多餘 writable roots。這些都不是會拿去發新聞稿的內容，但真的很關鍵。

• Linux sandbox 更穩定找到 bwrap
• local MCP server 的啟動等待時間拉長
• handshake 失敗會重新顯示警告
• 第一次建立 .codex 會加保護
• proxy DNS lookup error 改成 fail closed

你可以把這些修正理解成一件事。OpenAI 在把 Codex 從「能用」推向「可控」。這中間差很多。能用的工具很多。可控的工具才敢放進企業流程。

TUI 修正透露真實痛點

這次 app-server backed 的 TUI 修正很多，而且都很有感。/copy 回來了。/resume 回來了。/agent 不會再卡一堆鬼影子 thread。skills picker 也能往下捲。這些都是使用者真的會撞到的問題。

我很喜歡這種修法。因為它不是只修一個大 bug。它是把整個互動流程一個一個補起來。這代表 OpenAI 應該已經拿到不少真實回饋。否則不會修到這麼細。

還有一個訊號很明顯。舊的 TUI split 被拿掉了。tui_app_server 也改名成 tui。voice transcription 功能則直接移除。這種動作通常表示團隊在收斂介面，砍掉維護成本高、使用率不高的路線。

• /copy 的 regression 已修好
• /resume 依名稱查找已修好
• /agent 的 ghost subagent 已清掉
• skills picker 可以正常往下捲
• 舊的 TUI split 和 voice transcription 已移除

這裡我想補一個真實世界的對照。很多 AI CLI 工具都會卡在互動層。模型本身不差，問題是介面太脆。你按一下、切一下、重開一下，狀態就亂掉。Codex 這版修的，剛好就是這種會讓人翻白眼的地方。

如果你有看過 OpenAI 2026 年 3 月的 ChatGPT app 更新，你會發現方向不太一樣。那批更新偏向整合和工作區控制。這次 Codex 則更像底層工程整理。兩者都重要，但這次更貼近開發者日常。

數據和競品放一起看更清楚

如果拿 Codex 跟其他 AI coding 工具比，這版更新的重點很鮮明。它不是在拼誰的 UI 最炫。它是在拼誰能進企業環境，誰能接權限系統，誰能少出事。

像 Claude Code、GitHub Copilot、Windsurf 這類工具，大家都在搶開發者心智。但真到企業部署，常常不是模型差異決勝負，而是登入、代理、沙箱、審計、Token 這些雜事。

這版 Codex 直接把這些雜事往前推。你可以把它想成在補一個「能上線」的門檻。不是 demo 能跑就算數。是你能不能在有代理、有內網、有短效憑證、有 local MCP server 的環境裡，還能穩穩工作。

• Codex：強化 proxy、登入、sandbox、MCP
• Claude Code：更強調命令列工作流與文件操作
• GitHub Copilot：更深綁 IDE 與程式碼補全
• Windsurf：主打 agent 式編輯體驗

再看數字本身，這次 changelog 一次碰到 4 個核心面向：網路、認證、沙箱、TUI。外加一串 MCP 修正。這種改動密度很高。它表示產品成熟後，工程重心會從「加功能」移到「減風險」。

我覺得這很正常，也很務實。AI 工具一開始比誰會講話。進到第二階段，比的是誰比較少搞砸。Codex 這次就是在往後者靠。

這背後是整個 agent 工具鏈在長大

如果把視角拉遠一點，你會發現這次不只是 Codex 的版本更新。它也反映整個 agent 工具鏈的現況。大家都想把 LLM 接進真實工作流。可是一接進去，就會碰到權限、沙箱、狀態同步、server 啟動、失敗回報這些老問題。

所以你會看到 OpenAI 開始拆 tool definitions、tool spec adapters、discovery tool specs、collaboration tool specs，還有 utility tool specs。這些名詞看起來很工程。其實意思很簡單：架構要拆細，產品才撐得住。全塞在一起，遲早會爆。

這也解釋了為什麼這版很多修正都在「失敗時怎麼辦」。像是 MCP handshake 要警告、proxy DNS 要 fail closed、sandbox 要更嚴格。因為 agent 工具真正進場後，最怕的不是慢一點，是悄悄錯掉。

說真的，這種更新很無聊，但很值錢。沒有這些修補，前面那些看起來很厲害的 AI 能力，最後都會被企業 IT 打回票。工具要能進公司，不是靠簡報，是靠這些細節。

接下來該怎麼看 Codex

如果你的團隊有在用 Codex，我會直接建議先做三件事。第一，測新登入流程。第二，檢查 sandbox 的代理規則。第三，重跑 MCP server 啟動流程。這三個地方最容易在升版後出問題。

我自己的判斷是，OpenAI 接下來還會繼續往「更可管控」的方向走。因為只要工具開始進企業，安全和可觀測性就會壓過花俏功能。這不是猜測，是很多產品都走過的路。

所以問題不是 Codex 會不會再加新招。問題是它能不能在更嚴格的環境裡保持好用。你如果是開發者，現在最值得做的事不是觀望。是先把自己的使用流程盤點一次。看看哪裡靠登入、哪裡靠代理、哪裡靠 local server。這樣升版時才不會整個炸掉。