---
title: "OpenAI Codex 0.141 bringt Noise-verschlüsselte Remote-Executors, plattformübergreifendes `PathUri`, einen Plugin-Marketplace und einen SQLite-WAL-Reset-Pin"
description: "Codex 0.141.0 (18. Juni 2026) macht Noise IK zum Standardtransport zwischen Orchestrator und Exec-Server, liefert eine PathUri- / NativePathString-Schicht, die POSIX-, Windows-Drive- und UNC-Pfade round-trippt, ohne die URI-Codierung an der API durchsickern zu lassen, eröffnet einen `created-by-me-remote`-Plugin-Marketplace, hebt den MCP-Tool-Timeout auf 300 Sekunden und pinnt das gebündelte SQLite auf 3.51.3, damit der WAL-Reset-Korruptions-Fix nach Dependency-Refreshs erhalten bleibt."
date: 2026-06-18
image: "/images/heroes/2026-06-18--openai-codex-0-141-noise-relay-cross-platform-exec.png"
author: lschvn
tags: ["ai", "security", "tooling"]
tldr:
  - "Codex 0.141.0, veröffentlicht am 18. Juni 2026 um 04:43 UTC, macht einen hybriden Noise-IK-Kanal (X25519 + ML-KEM-768, AES-256-GCM, SHA-256) zum Standardtransport zwischen der Codex-App und einem entfernten Exec-Server. Das Relay sieht nur Chiffrat; jeder Handshake ist an die `environment_id`, die `executor_registration_id` und die `stream_id` des Streams gebunden, und der Noise-Public-Key des Executors wird vor Abschluss des Handshakes aus dem Registry gepinnt."
  - "Eine neue `PathUri` / `NativePathString`-Schicht ersetzt handgefertigte `String`-Pfade an der App-Server-/Exec-Server-Grenze. Sie kann denselben logischen Pfad als POSIX, als Windows-Laufwerksbuchstaben oder als UNC-Pfad rendern, je nachdem, welcher Host ihn konsumiert. Das ist die Voraussetzung dafür, dass ein Mac- oder Linux-Orchestrator einen Windows-Executor steuern kann, ohne die Pfade im Wire-Format zu vermanschen. Plattformübergreifendes Rendering, Codierung, Unicode und der Umgang mit ungültigen Komponenten werden durch die neue `path-uri`-Testsuite abgedeckt."
  - "Codex erhält einen `created-by-me-remote`-Plugin-Marketplace, der auf das paginierte USER-Scope-Plugin-Verzeichnis aufsetzt, auth-spezifische kuratierte Kataloge und eine Selected-Plugin-Prioritätsstufe im MCP-Katalog. Ausgewählte Executor-Plugins können ihre stdio-MCP-Server jetzt pro Thread aktivieren, und der Standard-Timeout für MCP-Tools steigt von 60 auf 300 Sekunden. Die Release pinnt außerdem das gebündelte SQLite auf 3.51.3, damit ein nicht zusammenhängender `libsqlite3-sys`-Lock-Refresh Codex nicht stillschweigend auf die WAL-Reset-Korruptions-Version zurücksetzt."
faq:
  - question: "Was ist neu in OpenAI Codex 0.141.0?"
    answer: "Codex 0.141.0 (18. Juni 2026) macht einen Noise-verschlüsselten Relay zum Standardtransport zwischen dem Codex-App-Server und entfernten Exec-Servern, liefert eine `PathUri` / `NativePathString`-Schicht für plattformübergreifende Pfadbehandlung, eröffnet einen `created-by-me-remote`-Plugin-Marketplace sowie eine Selected-Plugin-Prioritätsstufe im MCP-Katalog, hebt den MCP-Tool-Timeout auf 300 Sekunden und pinnt das gebündelte SQLite auf 3.51.3, um den WAL-Reset-Fix zu erhalten. Die Release fixt außerdem mehrere Windows-Sandbox-Bugs und eine Klasse von Hook-Trust-Bypässen beim `codex exec`-Thread-Resume."
  - question: "Warum ist das Noise-Relay für Codex-Nutzerinnen relevant?"
    answer: "Vor 0.141.0 lief der Verkehr zwischen Orchestrator und einem entfernten Exec-Server über einen Rendezvous-Dienst, der Tool-Aufrufe und Antworten im Klartext sehen konnte. Der neue Noise-IK-Kanal authentifiziert beide Endpunkte mit X25519, fügt Post-Quanten-Resistenz über ML-KEM-768 hinzu und verschlüsselt jedes Byte mit AES-256-GCM, sodass das Relay nur Chiffrat zu sehen bekommt. Jeder Handshake ist an die `environment_id`, die `executor_registration_id` und die `stream_id` des Streams gebunden, und der vom Registry gelieferte Noise-Public-Key des Executors wird vor Abschluss des Handshakes gepinnt. Für Teams, die Codex gegen einen selbst gehosteten oder einen fremden Remote-Executor laufen lassen, ist das der Unterschied zwischen « dem Relay vertrauen müssen » und « ihm nicht vertrauen müssen »."
  - question: "Was behebt `PathUri` konkret?"
    answer: "Codex hat Pfade historisch als `String` formatiert, was in dem Moment brach, in dem ein Mac- oder Linux-Orchestrator ein Arbeitsverzeichnis an einen Windows-Executor übergab (oder umgekehrt). `PathUri` ist ein neuer interner Typ, der denselben logischen Pfad als POSIX (`/home/lou/repo`), als Windows-Laufwerksbuchstaben (`C:\\Users\\lou\\repo`) oder als UNC-Pfad (`\\\\share\\repo`) rendern kann, je nachdem, welcher Host ihn konsumiert, und stellt die Umwandlung über die Helfer `NativePathString` und `PathConvention` bereit. Die App-Server-API-Grenze liefert Clients weiterhin OS-native Pfade, also bleibt die URI-Codierung ein internes Wire-Format und keine öffentliche API-Änderung. Die PR ist die Voraussetzung für plattformübergreifende Orchestrator-zu-Executor-Flows, die an der Naht keine Pfade vermanschen."
  - question: "Was ist der neue Plugin-Marketplace und die Selected-Plugin-Stufe?"
    answer: "0.141.0 fügt einen `created-by-me-remote`-Marketplace hinzu, der das USER-Scope-Plugin-Verzeichnis im App-Server sichtbar macht, einen `Load API curated marketplace by auth`-Flow, der je nach Auth-Modus (User, Org, Enterprise) unterschiedliche Kataloge zurückgibt, und eine neue Selected-Plugin-Prioritätsstufe im MCP-Katalog. Wählt ein Thread ein Plugin aus, werden die stdio-MCP-Server dieses Plugins für den Thread aktiviert, erhalten einen eigenen Prioritäts-Slot über den automatisch erkannten Plugins und werden in der MCP-Katalog-UI zugeordnet. Ein deaktivierter Gewinner niedrigerer Priorität kann keinen stale-Namenszustand mehr zurücklassen. Die Approval-Policy ausgewählter Plugins wird session-scoped gemerkt und nicht in ein nicht zusammenhängendes lokales Plugin zurückgeschrieben."
  - question: "Hat 0.141.0 echte Bugs behoben?"
    answer: "Ja. Die Release pinnt das gebündelte SQLite auf 3.51.3, um den WAL-Reset-Korruptions-Fix zu erhalten, weil ein früherer `libsqlite3-sys`-Lock-Refresh Codex von 0.37.0 zurück auf 0.35.0 (SQLite 3.50.2) bewegt und den WAL-Reset-Bug stillschweigend wieder eingeführt hatte. Sie repariert außerdem automatisch stale Windows-Sandbox-Credentials, gibt PowerShell-Befehlen mehr Zeit, bevor sie in den Hintergrund wandern, fixt einen `codex exec`-Thread-Resume-Fall, in dem der Hook-Trust-Bypass verloren ging, und einen `PostToolUse`-Hook, der Code-Mode-Tool-Aufrufe verpasste, dedupliziert kollidierende Plugin-App- und MCP-Deklarationen und erlaubt es einer Steer-Usereingabe, `wait_agent` sofort zu unterbrechen, statt dahinter stecken zu bleiben."
  - question: "Was ändert sich für eine Entwicklerin, die Codex lokal ohne Remote-Executor laufen lässt?"
    answer: "Bei einer lokalen Standardinstallation sind die sichtbaren Änderungen, dass der MCP-Tool-Timeout von 60 auf 300 Sekunden steigt, der neue `created-by-me-remote`-Plugin-Marketplace im Plugin-Browser auftaucht, die neue Speech-Append- und Response-Entry-Steuerung der Realtime-API verfügbar wird und es im TUI eine optionale 60+60-Sekunden-Auto-Resolution für `request_user_input`-Prompts gibt. Das Noise-Relay und die `PathUri`-Arbeit bleiben unsichtbar, weil der lokale Pfad kein Relay durchläuft, aber dieselbe PathUri-Plumbing bedeutet, dass ein zukünftiges plattformübergreifendes Codex (Mac-Orchestrator + Windows-Executor) ohne Pfad-Mangling-Regression ausgeliefert werden kann."
---

[OpenAI Codex 0.141.0](https://github.com/openai/codex/releases/tag/rust-v0.141.0) wurde am 18. Juni 2026 um 04:43 UTC veröffentlicht, einen Tag nach [0.140](https://github.com/openai/codex/releases/tag/rust-v0.140.0) und rund sechs Wochen, nachdem die 0.139-Linie die neue Exec-Server-Architektur geöffnet hatte. Die Release ist das größte einzelne Codex-Drop der 0.13x-Serie: sie setzt einen Noise-verschlüsselten Standardtransport zwischen Orchestrator und Remote-Executors, eine neue interne `PathUri`-Schicht, die plattformübergreifende Orchestration machbar macht, einen `created-by-me-remote`-Plugin-Marketplace und einen echten Bug-Fix für eine SQLite-Regression, die sich stillschweigend wieder eingeschlichen hatte. Dazu kommt substantielle Aufräumarbeit in der Windows-Sandbox und in den Realtime-/TUI-Oberflächen.

## Noise IK wird zum Standardtransport

Die Hauptänderung ist, dass der [`exec-server`-Transport jetzt Noise](https://github.com/openai/codex/pull/26245) ist, Ende-zu-Ende. Die vorherige Architektur hat JSON-RPC-Verkehr zwischen dem Orchestrator und dem Remote-Executor durch einen « Rendezvous »-Dienst geleitet, der Tool-Aufrufe und Antworten im Klartext sehen konnte. Der neue Transport ist ein hybrider Noise-IK-Kanal auf Basis von [Clatter](https://github.com/openai/clatter), mit X25519 für den Schlüsselaustausch, ML-KEM-768 für Post-Quanten-Resistenz, AES-256-GCM für die symmetrische Verschlüsselung und SHA-256 für das Handshake-Transkript. Das Relay sieht nur verschlüsselte Frames.

Der Handshake ist an drei Identifikatoren gebunden: die `environment_id` des Remote-Executors, seine `executor_registration_id` und die `stream_id` pro Stream. Der Noise-Public-Key des Executors wird aus einem Registry-Bundle geholt und gepinnt, bevor der Handshake abgeschlossen wird. Das schließt den naheliegenden Angriff « swap the key during reconnect ». Die Harness-Autorisierung wird innerhalb des verschlüsselten Handshakes transportiert, nicht in einem Header, den das Relay umschreiben könnte. Frames werden gegen Noise-Nonces geordnet, große JSON-RPC-Nachrichten in begrenzte Records fragmentiert, und Handshake-Payloads, Frames, Streams und Nachrichten-Reassembly sind alle größenbegrenzt, sodass ein bösartiges Relay nicht durch übergroße Frames den Speicher erschöpfen kann.

Für Teams, die Codex gegen selbst gehostete oder fremde Remote-Executors laufen lassen, ist der praktische Effekt, dass das Relay jetzt per Konstruktion nicht mehr vertrauenswürdig sein muss. Die Folge-Commits in derselben Release fügen ein Refresh signierter URLs bei Reconnects, eine Noise-Rendezvous-Umgebung, Session-Resume nach Disconnect und ein begrenztes Retry-Backoff für Registry-Recovery hinzu, sodass der verschlüsselte Transport auch über Netzwerk-Hiccups hinweg stabil ist, nicht nur verschlüsselt. [Bun, das zu Anthropics KI-Coding-Infrastruktur stößt](/articles/2026-04-19-bun-joins-anthropic-ai-coding-infrastructure), war Anfang des Jahres der Moment « die Runtime ist der Agent »; 0.141 ist der Moment « das Relay ist nur noch ein Draht ».

## `PathUri` und die plattformübergreifende Orchestrator-Naht

Das zweite Stück Plumbing ist [`path-uri: render native paths across platforms`](https://github.com/openai/codex/pull/27819) und sein Geschwister [`PathUri` in filesystem permission paths for exec-server](https://github.com/openai/codex/pull/28367). Der vorherige Code-Pfad hat Pfade als `String` auf beiden Seiten der Orchestrator-/Exec-Server-Naht formatiert, was in dem Moment brach, in dem ein Mac-Orchestrator ein Arbeitsverzeichnis wie `/Users/lou/repo` an einen Windows-Executor übergab, oder umgekehrt. `PathUri` ist ein neuer interner Typ, der denselben logischen Pfad als POSIX (`/home/lou/repo`), als Windows-Laufwerksbuchstaben (`C:\Users\lou\repo`) oder als UNC-Pfad (`\\share\repo`) rendern kann, je nachdem, welcher Host ihn konsumiert, mit expliziten `PathConvention`- und `NativePathString`-Helfern für die drei Persönlichkeiten.

Die Migration ist graduell und an der öffentlichen App-Server-API bewusst unsichtbar. Die `PathConvention` rendert den Pfad korrekt für den Host, dem die Umgebung gehört, die `app-server`-Grenze übersetzt für Clients in OS-native `String`-Pfade, und die URI-Codierung bleibt ein internes Wire-Format. Die neue `path-uri`-Testsuite deckt plattformübergreifendes Rendering, Codierung, Unicode und den Umgang mit ungültigen Komponenten ab. Dieselbe Plumbing sorgt dafür, dass der Exec-Server das `cwd` und die Shell der Remote-Umgebung respektiert ([#28122](https://github.com/openai/codex/pull/28122)) und dass `PathUri` durch die Unified-Exec-Schicht getragen wird, sodass ein Mac-Orchestrator einen Windows-Executor ohne Pfad-Mangling-Regression an der Naht steuern kann.

Das ist die Art von Arbeit, die in keiner Benchmark-Tabelle auftaucht, die aber der Grund ist, warum ein zukünftiges plattformübergreifendes Codex (Linux-Server-Orchestrator, Windows-Workstation-Executor) überhaupt ausgeliefert werden kann. Die [Vite-8.1-Beta-Arbeit an den Importmaps](/articles/2026-06-15-vite-8-1-beta-wasm-esm-chunk-importmap) und der[kürzliche esbuild-0.28.1-Windows-Path-Traversal-Fix](/articles/2026-06-14-esbuild-0-28-1-deno-rce-windows-path-traversal) liegen in derselben plattformübergreifenden Plumbing-Kategorie; der Unterschied ist, dass die Naht bei Codex auf dem Draht liegt, nicht auf der Platte.

## Ein Plugin-Marketplace und eine echte MCP-Katalog-Stufe

Das dritte Bündel an Änderungen baut die Plugin-Geschichte aus. Codex 0.141.0 fügt einen [`created-by-me-remote`-Plugin-Marketplace](https://github.com/openai/codex/pull/28203) hinzu, der auf dem paginierten USER-Scope-Plugin-Verzeichnis aufsetzt, ihn über das App-Server-v2-Protokoll mit regenerierten Schemas sichtbar macht und einen [`Load API curated marketplace by auth`](https://github.com/openai/codex/pull/28383)-Flow ergänzt, der je nach Auth-Modus (User, Org, Enterprise) unterschiedliche Kataloge zurückgibt. Ausgewählte Executor-Plugins können jetzt [ihre stdio-MCP-Server pro Thread aktivieren](https://github.com/openai/codex/pull/27870), und die [Selected-Plugin-Prioritätsstufe](https://github.com/openai/codex/pull/27884) im MCP-Katalog gibt einem ausgewählten Plugin einen eigenen Slot über den automatisch erkannten Plugins, mit der Zuordnung direkt am Katalogeintrag.

Die Katalog-Änderung ist relevant, weil die vorherige Auflösungsreihenfolge stillschweigend zugelassen hat, dass ein deaktivierter Gewinner niedrigerer Priorität stale Namenszustände hinterlässt und ein gewinnendes MCP-Tool nicht zuverlässig dem ausgewählten Package zugeordnet werden konnte. Die neue Stufe fixt beides, und der Connection-Manager behält die Tool-Approval-Policy des gewinnenden ausgewählten Servers, sodass ein ausgewählter Eintrag kein Approval-Verhalten von einem verlierenden lokalen Plugin erbt. Der [Standard-Timeout für MCP-Tools steigt von 60 auf 300 Sekunden](https://github.com/openai/codex/pull/28234), was die richtige Form für langlebige MCP-Tools ist (CI-Runs, Bildgenerierung, Headless-Browser-Jobs) und eine Klasse von « Tool hat timeoutet, bevor es fertig war »-Reports eliminiert.

Die Plugin-Arbeit ist die zweite Hälfte derselben Geschichte, die die Artikel zu [Anthropic Project Glasswing](articles/2026-04-07-anthropic-project-glasswing-ai-finds-zero-days-faster-than-humans) und die [GLM-5.2-Coverage als Long-Horizon-Coding-Agent](/articles/2026-06-16-glm-5-2-long-horizon-deep-dive) immer wieder umkreisen: die Tool-Oberfläche des Agenten ist das Produkt, und der Marketplace ist das, was die Oberfläche komponierbar macht.

## Der SQLite-WAL-Reset-Fix und andere Korrekturen

Der wichtigste Bug-Fix in 0.141.0 ist ein leiser: [`Pin bundled SQLite to fixed WAL-reset version`](https://github.com/openai/codex/pull/27992). SQLite hat einen WAL-Reset-Korruptions-Bug in den 3.51.3-Release-Notes dokumentiert, und SQLx 0.9 akzeptiert eine breite `libsqlite3-sys`-Spanne. Ein nicht zusammenhängender Dependency-Refresh hatte Codex von `libsqlite3-sys 0.37.0` (SQLite 3.51.3) zurück auf 0.35.0 (SQLite 3.50.2) bewegt und den Bug stillschweigend wieder eingeführt. 0.141.0 pinnt das Bundle, damit ein zukünftiger Lock-Refresh das Downgrade nicht wiederholen kann. Genau für diese Klasse von « euer Dependency-Manager hat euch stillschweigend downgegradet »-Ausfälle wurde die [pnpm-11.7-frozenStore- und Lockfile-Verifikations-Arbeit](/articles/2026-06-17-pnpm-11-7-frozen-store-publish-batch) entworfen.

Die Release fixt außerdem mehrere Windows-Sandbox-Regressionen: eine [Auto-Recovery für stale Windows-Sandbox-Credentials](https://github.com/openai/codex/pull/27944), ein [Unified-Exec-Yield-Floor](https://github.com/openai/codex/pull/27086), der PowerShell-Befehlen mehr Zeit gibt, bevor sie in den Hintergrund wandern, ein geteilter Windows-Sandbox-Session-Runner, der aus dem Inline-Pfad extrahiert wurde, und ein versteckter Windows-Sandbox-Wrapper-Einstiegspunkt. Der `codex exec`-Thread-Start-Pfad erhält den Hook-Trust-Bypass jetzt auch beim Resume, und `PostToolUse`-Hooks lehnen Code-Mode-Tool-Aufrufe korrekt ab. Eine Steer-Usereingabe kann `wait_agent` sofort unterbrechen, statt dahinter stecken zu bleiben. Die Realtime-API bekommt eine Speech-Append-Steuerung, einen Toggle für den Realtime-Startup-Kontext und einen TUI-Auto-Resolution-Timer für `request_user_input`-Prompts, der mit einer versteckten 60-Sekunden-Gnadenfrist startet, dann einen sichtbaren 60-Sekunden-Countdown zeigt und dann eine leere Antwort sendet, wenn die Nutzerin nicht interagiert.

0.141.0 ist die Art von Release, die von außen routine aussieht und von innen strukturell ein Meilenstein ist. Das Noise-Relay und die `PathUri`-Schicht sind die beiden Plumbing-Stücke, die vorhanden sein müssen, damit plattformübergreifendes Codex ausgeliefert werden kann, der Plugin-Marketplace ist das, was die Tool-Oberfläche komponierbar macht, und der SQLite-Pin ist die Art von leisem Bug-Fix, die verhindert, dass der nächste Ausfall eine Regression des vorherigen ist. Es ist keine User-Aktion nötig; das Upgrade ist sicher, sobald eure CI bereit ist.