OpenAI의 코덱스(Codex) CLI에서 멀티에이전트(MultiAgentV2) 기능이 하위 에이전트(sub-agent) 간의 통신 메시지를 암호화하기 시작하면서 개발자들 사이에서 논란이 일고 있습니다. 특히 `spawn_agent`, `send_message`, `followup_task`와 같은 핵심 메시지가 암호화되어, 부모 에이전트의 롤아웃(rollout), 이력, 추적 과정에서 위임된 내용을 사람이 읽을 수 없게 되었습니다. 이는 감사 추적(audit trail)에 심각한 회귀(regression)를 발생시켜, 개발자들이 에이전트의 동작을 이해하고 디버깅하는 데 큰 어려움을 겪고 있습니다.
문제의 발단은 2026년 6월 5일 병합된 PR #26210 이후입니다. 이 변경으로 인해 `InterAgentCommunication.content` 필드는 비워지고, 실제 페이로드(payload)는 `encrypted_content`에만 저장됩니다. 결과적으로 수신자 이력과 통신 로그에도 암호문만 기록됩니다. 이는 코덱스 CLI 버전 0.137.0 이후 빌드에서 멀티에이전트V2가 활성화된 경우에 해당하며, 구독 모델이나 플랫폼과는 무관하게 발생합니다. OpenAI는 암호화된 전달 자체를 프라이버시 강화로 설명하지만, 현재 구현 방식은 로컬 환경에서 에이전트의 구체적인 작업 지시나 메시지 내용을 확인할 수 없게 만듭니다. 예를 들어, 자식 에이전트가 어떤 작업을 부여받았는지, 어떤 메시지를 주고받았는지, 특정 스레드가 왜 생성되었는지 등을 사후 검토에서 파악하기 불가능해졌습니다.
이러한 변화는 OpenAI가 자사의 핵심 지식재산(IP)인 프롬프트 구성, 순서, 오케스트레이션(orchestration)을 보호하려는 의도로 해석될 수 있습니다. 에이전트 간 상호작용을 통해 훈련된 강화 학습(reinforcement learning) 롤아웃(rollout) 데이터를 다른 이들이 학습에 활용하는 것을 막으려는 시도로도 보입니다. 그러나 사용자 입장에서는 자신의 컴퓨터에서 실행되는 에이전트의 명령조차 검사할 수 없다는 점이 불합리하다는 비판이 제기됩니다. 이는 마치 과거 RIAA가 저작권 보호를 위해 DRM을 도입했던 방식과 유사하게 사용자 적대적인 선택이라는 지적도 나옵니다. 제안된 수정안은 수신 모델용 암호화 메시지와 로컬 감사를 위한 필수 평문 필드를 함께 보관하되, 전달 식별에는 암호문이나 ID를 사용하고 평문 감사 데이터에도 동일한 크기 제한을 적용하는 방식입니다. 하지만 이 이슈는 아직 'Open' 상태이며, 완전한 해결까지는 시간이 걸릴 것으로 예상됩니다.
이러한 상황은 AI 개발 도구의 투명성과 통제권에 대한 중요한 질문을 던집니다. 개발자들은 에이전트의 '블랙박스'화에 대한 우려를 표하며, 디버깅과 감사 가능성 없이는 복잡한 AI 시스템을 신뢰하고 구축하기 어렵다고 말합니다. OpenAI의 이번 결정은 기업 고객을 포함한 사용자들의 이해관계와 정확히 일치하지 않을 수 있다는 점을 시사하며, AI 기술의 발전과 함께 사용자 권리 및 개발자 경험 사이의 균형점을 찾는 것이 중요함을 보여줍니다.