OpenAI Codex 0.141.0 wurde am 18. Juni 2026 um 04:43 UTC veröffentlicht, einen Tag nach 0.140 und rund sechs Wochen, nachdem die 0.139-Linie die neue Exec-Server-Architektur geöffnet hatte. Die Release ist das größte einzelne Codex-Drop der 0.13x-Serie: sie setzt einen Noise-verschlüsselten Standardtransport zwischen Orchestrator und Remote-Executors, eine neue interne PathUri-Schicht, die plattformübergreifende Orchestration machbar macht, einen created-by-me-remote-Plugin-Marketplace und einen echten Bug-Fix für eine SQLite-Regression, die sich stillschweigend wieder eingeschlichen hatte. Dazu kommt substantielle Aufräumarbeit in der Windows-Sandbox und in den Realtime-/TUI-Oberflächen.
Noise IK wird zum Standardtransport
Die Hauptänderung ist, dass der exec-server-Transport jetzt Noise ist, Ende-zu-Ende. Die vorherige Architektur hat JSON-RPC-Verkehr zwischen dem Orchestrator und dem Remote-Executor durch einen « Rendezvous »-Dienst geleitet, der Tool-Aufrufe und Antworten im Klartext sehen konnte. Der neue Transport ist ein hybrider Noise-IK-Kanal auf Basis von Clatter, mit X25519 für den Schlüsselaustausch, ML-KEM-768 für Post-Quanten-Resistenz, AES-256-GCM für die symmetrische Verschlüsselung und SHA-256 für das Handshake-Transkript. Das Relay sieht nur verschlüsselte Frames.
Der Handshake ist an drei Identifikatoren gebunden: die environment_id des Remote-Executors, seine executor_registration_id und die stream_id pro Stream. Der Noise-Public-Key des Executors wird aus einem Registry-Bundle geholt und gepinnt, bevor der Handshake abgeschlossen wird. Das schließt den naheliegenden Angriff « swap the key during reconnect ». Die Harness-Autorisierung wird innerhalb des verschlüsselten Handshakes transportiert, nicht in einem Header, den das Relay umschreiben könnte. Frames werden gegen Noise-Nonces geordnet, große JSON-RPC-Nachrichten in begrenzte Records fragmentiert, und Handshake-Payloads, Frames, Streams und Nachrichten-Reassembly sind alle größenbegrenzt, sodass ein bösartiges Relay nicht durch übergroße Frames den Speicher erschöpfen kann.
Für Teams, die Codex gegen selbst gehostete oder fremde Remote-Executors laufen lassen, ist der praktische Effekt, dass das Relay jetzt per Konstruktion nicht mehr vertrauenswürdig sein muss. Die Folge-Commits in derselben Release fügen ein Refresh signierter URLs bei Reconnects, eine Noise-Rendezvous-Umgebung, Session-Resume nach Disconnect und ein begrenztes Retry-Backoff für Registry-Recovery hinzu, sodass der verschlüsselte Transport auch über Netzwerk-Hiccups hinweg stabil ist, nicht nur verschlüsselt. Bun, das zu Anthropics KI-Coding-Infrastruktur stößt, war Anfang des Jahres der Moment « die Runtime ist der Agent »; 0.141 ist der Moment « das Relay ist nur noch ein Draht ».
PathUri und die plattformübergreifende Orchestrator-Naht
Das zweite Stück Plumbing ist path-uri: render native paths across platforms und sein Geschwister PathUri in filesystem permission paths for exec-server. Der vorherige Code-Pfad hat Pfade als String auf beiden Seiten der Orchestrator-/Exec-Server-Naht formatiert, was in dem Moment brach, in dem ein Mac-Orchestrator ein Arbeitsverzeichnis wie /Users/lou/repo an einen Windows-Executor übergab, oder umgekehrt. PathUri ist ein neuer interner Typ, der denselben logischen Pfad als POSIX (/home/lou/repo), als Windows-Laufwerksbuchstaben (C:\Users\lou\repo) oder als UNC-Pfad (\\share\repo) rendern kann, je nachdem, welcher Host ihn konsumiert, mit expliziten PathConvention- und NativePathString-Helfern für die drei Persönlichkeiten.
Die Migration ist graduell und an der öffentlichen App-Server-API bewusst unsichtbar. Die PathConvention rendert den Pfad korrekt für den Host, dem die Umgebung gehört, die app-server-Grenze übersetzt für Clients in OS-native String-Pfade, und die URI-Codierung bleibt ein internes Wire-Format. Die neue path-uri-Testsuite deckt plattformübergreifendes Rendering, Codierung, Unicode und den Umgang mit ungültigen Komponenten ab. Dieselbe Plumbing sorgt dafür, dass der Exec-Server das cwd und die Shell der Remote-Umgebung respektiert (#28122) und dass PathUri durch die Unified-Exec-Schicht getragen wird, sodass ein Mac-Orchestrator einen Windows-Executor ohne Pfad-Mangling-Regression an der Naht steuern kann.
Das ist die Art von Arbeit, die in keiner Benchmark-Tabelle auftaucht, die aber der Grund ist, warum ein zukünftiges plattformübergreifendes Codex (Linux-Server-Orchestrator, Windows-Workstation-Executor) überhaupt ausgeliefert werden kann. Die Vite-8.1-Beta-Arbeit an den Importmaps und derkürzliche esbuild-0.28.1-Windows-Path-Traversal-Fix liegen in derselben plattformübergreifenden Plumbing-Kategorie; der Unterschied ist, dass die Naht bei Codex auf dem Draht liegt, nicht auf der Platte.
Ein Plugin-Marketplace und eine echte MCP-Katalog-Stufe
Das dritte Bündel an Änderungen baut die Plugin-Geschichte aus. Codex 0.141.0 fügt einen created-by-me-remote-Plugin-Marketplace hinzu, der auf dem paginierten USER-Scope-Plugin-Verzeichnis aufsetzt, ihn über das App-Server-v2-Protokoll mit regenerierten Schemas sichtbar macht und einen Load API curated marketplace by auth-Flow ergänzt, der je nach Auth-Modus (User, Org, Enterprise) unterschiedliche Kataloge zurückgibt. Ausgewählte Executor-Plugins können jetzt ihre stdio-MCP-Server pro Thread aktivieren, und die Selected-Plugin-Prioritätsstufe im MCP-Katalog gibt einem ausgewählten Plugin einen eigenen Slot über den automatisch erkannten Plugins, mit der Zuordnung direkt am Katalogeintrag.
Die Katalog-Änderung ist relevant, weil die vorherige Auflösungsreihenfolge stillschweigend zugelassen hat, dass ein deaktivierter Gewinner niedrigerer Priorität stale Namenszustände hinterlässt und ein gewinnendes MCP-Tool nicht zuverlässig dem ausgewählten Package zugeordnet werden konnte. Die neue Stufe fixt beides, und der Connection-Manager behält die Tool-Approval-Policy des gewinnenden ausgewählten Servers, sodass ein ausgewählter Eintrag kein Approval-Verhalten von einem verlierenden lokalen Plugin erbt. Der Standard-Timeout für MCP-Tools steigt von 60 auf 300 Sekunden, was die richtige Form für langlebige MCP-Tools ist (CI-Runs, Bildgenerierung, Headless-Browser-Jobs) und eine Klasse von « Tool hat timeoutet, bevor es fertig war »-Reports eliminiert.
Die Plugin-Arbeit ist die zweite Hälfte derselben Geschichte, die die Artikel zu Anthropic Project Glasswing und die GLM-5.2-Coverage als Long-Horizon-Coding-Agent immer wieder umkreisen: die Tool-Oberfläche des Agenten ist das Produkt, und der Marketplace ist das, was die Oberfläche komponierbar macht.
Der SQLite-WAL-Reset-Fix und andere Korrekturen
Der wichtigste Bug-Fix in 0.141.0 ist ein leiser: Pin bundled SQLite to fixed WAL-reset version. SQLite hat einen WAL-Reset-Korruptions-Bug in den 3.51.3-Release-Notes dokumentiert, und SQLx 0.9 akzeptiert eine breite libsqlite3-sys-Spanne. Ein nicht zusammenhängender Dependency-Refresh hatte Codex von libsqlite3-sys 0.37.0 (SQLite 3.51.3) zurück auf 0.35.0 (SQLite 3.50.2) bewegt und den Bug stillschweigend wieder eingeführt. 0.141.0 pinnt das Bundle, damit ein zukünftiger Lock-Refresh das Downgrade nicht wiederholen kann. Genau für diese Klasse von « euer Dependency-Manager hat euch stillschweigend downgegradet »-Ausfälle wurde die pnpm-11.7-frozenStore- und Lockfile-Verifikations-Arbeit entworfen.
Die Release fixt außerdem mehrere Windows-Sandbox-Regressionen: eine Auto-Recovery für stale Windows-Sandbox-Credentials, ein Unified-Exec-Yield-Floor, der PowerShell-Befehlen mehr Zeit gibt, bevor sie in den Hintergrund wandern, ein geteilter Windows-Sandbox-Session-Runner, der aus dem Inline-Pfad extrahiert wurde, und ein versteckter Windows-Sandbox-Wrapper-Einstiegspunkt. Der codex exec-Thread-Start-Pfad erhält den Hook-Trust-Bypass jetzt auch beim Resume, und PostToolUse-Hooks lehnen Code-Mode-Tool-Aufrufe korrekt ab. Eine Steer-Usereingabe kann wait_agent sofort unterbrechen, statt dahinter stecken zu bleiben. Die Realtime-API bekommt eine Speech-Append-Steuerung, einen Toggle für den Realtime-Startup-Kontext und einen TUI-Auto-Resolution-Timer für request_user_input-Prompts, der mit einer versteckten 60-Sekunden-Gnadenfrist startet, dann einen sichtbaren 60-Sekunden-Countdown zeigt und dann eine leere Antwort sendet, wenn die Nutzerin nicht interagiert.
0.141.0 ist die Art von Release, die von außen routine aussieht und von innen strukturell ein Meilenstein ist. Das Noise-Relay und die PathUri-Schicht sind die beiden Plumbing-Stücke, die vorhanden sein müssen, damit plattformübergreifendes Codex ausgeliefert werden kann, der Plugin-Marketplace ist das, was die Tool-Oberfläche komponierbar macht, und der SQLite-Pin ist die Art von leisem Bug-Fix, die verhindert, dass der nächste Ausfall eine Regression des vorherigen ist. Es ist keine User-Aktion nötig; das Upgrade ist sicher, sobald eure CI bereit ist.
