OpenAI、AIコーディングの遠隔操作機能「Codex Remote」を一般提供　QRコードによる安全なリレー接続を採用

OpenAIは2026年6月25日、AIによるコーディングセッションをスマートフォンから遠隔操作できる機能「Codex Remote」の一般提供（GA）を開始した。すべての有料プラン（Plus、Pro、Business、Enterprise、Education）のユーザーが利用可能となる。本機能では、開発マシンをインターネットに直接公開することなく、安全に接続できる専用のリレーアーキテクチャとQRコードによるペアリング方式が新たに導入されている。

■一般提供によるセキュリティの刷新

プレビュー版から一般提供（GA）への移行に伴い、リモート開発におけるセキュリティ設計が大幅に刷新された。従来のリモート開発手法であるVPNトンネリングやSSHポートフォワーディング、クラウド環境の利用などでは、ネットワークポートの開放や認証情報の管理、あるいは実行環境を開発者自身のマシンから移動させる必要があった。OpenAIの新しいリレーアーキテクチャは、これらすべての課題を回避する。

ホストマシン上のCodexアプリは、OpenAIが維持する安全なリレー層を介してアウトバウンド通信を行い、ChatGPTにログインした認証済みデバイスとアクティブなセッション状態を同期する。この仕組みにより、インバウンドポートを開放することなく、ホストマシンのアドレスをインターネット上に公開せずに済む。プロジェクト、認証情報、プラグイン、MCP（Model Context Protocol）サーバーなどはローカルに留まり、リレー層はプロンプト、承認、差分、スクリーンショット、ターミナル出力などのセッションメッセージのみを送信する。

この設計は、Codexの認証トークンがサイバー攻撃の標的になっている背景から極めて重要である。2026年5月にAikido Securityの研究者が報告したサプライチェーン攻撃では、CodexのリモートUIを装った悪意あるnpmパッケージが、検知されるまでに週2万9000回以上ダウンロードされ、開発者のトークンを攻撃者のサーバーに流出させていた。同社の研究者であるチャーリー・エリクセン氏は、盗まれたCodexのリフレッシュトークンは有効期限がないため、パスワードなしでアカウントへの永続的なアクセスを許してしまう危険性があると指摘している。

■QRコードによる1対1のペアリング

新しい接続モデルでは、共有シークレットやオープンな待受ポートに依存せず、1対1の認証済みQRペアリングを使用する。セットアップはホストマシン側でCodexアプリのサイドバーから「Set up Codex mobile」を選択して開始し、表示されたQRコードをChatGPTモバイルアプリでスキャンする。その後、同一のChatGPTアカウントおよびワークスペースの確認、多要素認証（MFA）、シングルサインオン（SSO）、パスキーなどの必要な認証ステップを完了させることでペアリングが行われる。このペアリングはデバイスごとに固有であり、アカウントの既存の認証フレームワークに照らし合わせて検証される。

2026年6月8日以降に使用された既存の接続は、CodexデスクトップアプリとChatGPTモバイルアプリの両方を最新バージョンにアップデートすることで自動的に引き継がれる。それ以前の接続については、新規にペアリングを行う必要がある。ChatGPTからサインアウトするとリモートコントロールは無効化されるが、既存のペアリング情報は保持され、再サインインしてリモートコントロールを有効にすれば復元される。

このQRペアリングモデルは、従来の開発者向けリモートアクセス手法（GitpodやGitHub Codespacesなどのクラウド開発環境を含む）とは一線を画している。従来の手法は、実行環境を移動させるか、ネットワークを公開するか、あるいは盗まれた場合に永続的なアクセスを許してしまう長期的な認証情報に依存していた。QR認証は、時間制限のあるハンドシェイクを通じて特定のデバイスにアクセスを許可し、開発者の物理的な存在を必要とすることで、認証レイヤーを複雑にすることなく安全性を高めている。

■スマートフォンから可能な操作

ペアリング完了後、モバイルインターフェースから実行中のCodexセッションの全状態にアクセスできる。開発者は、既存のホストプロジェクトで新しいスレッドを開始したり、追加のプロンプトを送信したり、エージェントからの質問に回答したり、コマンドやアクションの承認・拒否を行ったりできる。さらに、コードの差分、テスト結果、ターミナル出力、スクリーンショットの確認も可能だ。

Codexがタスクを完了した際や入力を求めている際にはプッシュ通知が届くため、開発者が常に進捗を確認し続ける必要はない。また、「操縦（steer）」機能を使用すれば、進行中のアクティブな作業に対してリアルタイムに指示を介入させることができ、現在のタスクが終了するのを待ってから次のプロンプトを送信する必要がなくなる。

OpenAIは、この機能を開発者がエージェントの判断が必要な場面で「ブロックを解除する（unblock）」ためのものと位置づけている。AI安全性の研究者らによると、人間による確認作業が面倒であったり、特定のマシンへの物理的な立ち会いを求められたりする場合、確認が形骸化するか、あるいは完全にスキップされてしまう傾向がある。承認作業における地理的な制約を排除することは、人間による監視を形骸化させず、実質的なものに保つためのアーキテクチャ上の選択である。

■実用上の制約と注意点

リレーアーキテクチャを採用しているものの、ホストマシンが稼働している必要があることに変わりはない。ホストがスリープ状態になったり、ネットワーク接続が切れたり、Codexアプリが閉じられたりすると、リモートアクセスは即座に停止する。Macラップトップの場合、蓋を開けて電源に接続している必要があり、蓋を閉じると接続は切断される（外部ディスプレイが接続されている場合を除く）。Windowsホストで「Computer Use」機能を使用する場合は、画面がロック解除された状態でなければならない。夜間やバックグラウンドでの長時間にわたる作業を想定している場合は、ラップトップではなく、常時起動のデスクトップマシンの使用が推奨される。

■DigitalOceanとの連携と今後の展望

Codex Remoteの一般提供開始に合わせて、新たに「DigitalOcean Droplet Workspace」プラグインがリリースされた。これにより、Codex内から直接クラウド上のDropletをプロビジョニングし、SSHアクセスを設定して、永続的なリモートワークスペースとして接続できるようになる。このプラグインは、個別のインフラを維持管理することなく、重いタスクや長時間のタスクをクラウドマシンに任せたいという開発者のニーズに応えるものである。Droplet上で実行されるタスクは、ローカルマシンのスリープやネットワーク切断の影響を受けず、他のペアリングされたホストと同様にリレー層を介してアクセス可能である。

このDropletプラグインは、OpenAIが推進するクラウド常駐型のエージェント実行への移行に向けた動きの一部である。OpenAIは2026年6月11日に、AIコーディングエージェントを永続的なクラウドサンドボックスで実行するプラットフォームを提供するOna（旧Gitpod）の買収を発表している。これは、Codexの長期的なアーキテクチャが、開発者がラップトップを閉じた後も自律的に動作し続けるエージェントを想定していることを示唆している。

■セキュリティの検証状況

OpenAIは、このリレーアーキテクチャやQRペアリングの実装に関する独立した第三者によるセキュリティ監査結果を公表していない。ただし、Codexプラットフォーム全体における脆弱性の公開と修正の実績は文書化されている。例えば、2025年12月に発見され、OpenAIに報告されたGitHubのブランチ名処理におけるコマンドインジェクションの脆弱性は2026年2月5日に修正された。また、ChatGPTのコード実行環境におけるDNSベースの隠密データ流出経路も2026年2月20日に修正されている。悪意あるパッケージによる攻撃が示すように、Codexエコシステムは認証情報窃取の標的となっており、QRペアリングによる1対1のバインドと多要素認証の要求は、OpenAIが導入した構造的な防御策である。

なお、エンタープライズ環境のユーザーが本機能を利用する際は、ペアリングを行う前に、ワークスペース管理者が権限設定でリモートコントロールアクセスを有効にしているか確認する必要がある。

■注目ポイントQ&A

●Codex Remoteを使用している際、コードは実際にスマートフォン上で実行されますか？

いいえ、実行されません。コード、ファイルシステム、認証情報、プラグイン、エージェントの実行はすべて、Codexアプリが動作しているホストマシン（MacまたはWindows）上に留まります。スマートフォンはOpenAIのリレー層を介してプロンプトや承認、指示を送信し、セッション出力（差分、スクリーンショット、ターミナル出力、通知）を受信するだけです。コードベースや認証情報がスマートフォンに保存されたり送信されたりすることはありません。

●QRペアリングモデルは、開発マシンを不正なリモートアクセスからどのように保護しますか？

QRコードは、1回のペアリング試行に特化した時間制限付きのセッションハンドシェイクトークンをエンコードします。ペアリングを完了するには、同じChatGPTアカウントおよびワークスペースにログイン済みのデバイスでコードをスキャンし、設定されている多要素認証（MFA）やSSO、パスキーなどの認証をクリアする必要があります。ペアリングはアカウントに紐づき、開始にはホストマシンへの物理的なアクセスが必要なため、サードパーティ製パッケージを介したトークン窃取攻撃に対して耐性があります。また、リレー層によりホストのアドレスがインターネット上に公開されることはありません。

●ホストマシンがスリープ状態になると、エージェントによるコーディングワークフローはどうなりますか？

ホストマシンがスリープ状態になる、ネットワーク接続が切れる、またはCodexアプリが閉じられると、リモートアクセスは即座に停止します。Macラップトップの場合、アクセスを維持するには蓋を開けて電源に接続するか、外部ディスプレイを接続する必要があります。Windowsホストで「Computer Use」を実行している場合は、ロックを解除したままにする必要があります。長時間の作業には、常時起動のデスクトップマシンをホストにするか、新しいワークスペースプラグインを介してDigitalOcean Dropletをプロビジョニングすることが推奨されます。

●OpenAIがモバイル制御機能を「AIエージェントに対する人間の監視を向上させるもの」と説明するのはなぜですか？

エージェントによるコーディングワークフローでは、AIがコードの記述、テストの実行、プルリクエストの作成などの重要な決定を最小限の人間による入力で自律的に行う、長時間のタスクが発生します。確認のために開発者が物理的にマシンの前にいる必要があると、確認の頻度が下がりがちになります。リレーベースのスマートフォンアクセスは、開発者がデスクにいなくても、タスクの任意の時点で人間による監視を実用的かつ低摩擦で行えるように設計されています。

元記事: OpenAI Codex Remote Goes Live for All Plans: Phone Control Now Secured by QR Relay