【2026年3月まとめ】OpenAI Codexの主要アップデート5選 - プラグイン解禁・サブエージェントGAなど徹底解説

はじめまして、もるふぉ@コードをかかないAIエンジニアです。

エンジニアをやりながら、今はほぼコードを書かない開発スタイルに移行しました。

「書けないから書かない」じゃなくて、「書けるから書かなくていい」という話です。

実案件ベースで気づいたことだけ書いています。

2026年3月のOpenAI Codexは、正直ちょっと追いきれないレベルでアップデートが降ってきました。

CLIだけで5バージョン（v0.113〜v0.117）、プラグイン解禁、サブエージェント正式GA、セキュリティ機能まで出てきた。

「で、結局3月で何が変わったの？」を1記事で把握できるように、主要アップデートを全部まとめました。

3月初旬時点で週間アクティブユーザー1.6Mを突破しているCodex。

この規模のプロダクトがこのペースで進化しているので、エンジニアとしては定期的にキャッチアップしておかないとまずいですね。

2026年3月、OpenAI Codexに何が起きたのか

3月のCodexアップデートを俯瞰すると、大きく3つの柱があります。

• プラグイン機能の正式ローンチ（3月25-27日）: Slack、Figma、Notionなど20以上のプラグインが一斉公開
• サブエージェントの正式GA（3月16日）: v0.115.0でマルチエージェント並列開発が正式に使えるように
• Codex Securityのリサーチプレビュー公開（3月6日）: AIがリポジトリの脆弱性を自律検出・修正提案

加えて、テーマのカスタマイズ対応やCodex Appの機能強化など、地味だけど開発体験に効くアップデートも多数入っています。

CLIだけで見ても、v0.113からv0.117まで5バージョンがリリースされた月でした。

ひとつずつ見ていきましょう。

プラグイン機能の正式ローンチ -- Codexが「コーディングの外」に出た（3月25-27日）

20以上のプラグインが一斉公開 -- Slack・Figma・Notion対応

3月25-27日にかけて、OpenAI Codexに20以上のプラグインが一斉公開されました。

対応サービスはこちらです。

これ、何が嬉しいかっていうと、Codexが「コードを書くだけのツール」から「外部ツールと連携する開発ハブ」に進化したということなんですよ。

Before: Slackで要件を確認 → Figmaでデザインを開く → Codexでコードを書く、という3アプリの往復。

After: Codexがそれぞれのデータを直接読みにいって、コンテキストごと実装を始めてくれる。

Codex app、CLI、IDE拡張のすべてで利用可能です。

プラットフォームを問わず使えるのは地味にありがたいですね。

次のセクションでは、このプラグインがどういう仕組みで動いているかを見ていきます。

プラグインの三層構造 -- Skills + App連携 + MCPサーバー

Codexプラグインの内部構造は3つのレイヤーで構成されています。

1. Skills: プロンプトワークフローの定義。特定タスクの手順をテンプレート化したもの
2. App連携: 外部サービスとの認証・データ連携
3. MCPサーバー設定: Model Context Protocol（MCP）に準拠したサーバー接続の設定

MCPという業界標準プロトコルを採用したのは注目ポイントです。

MCPはAnthropicが提唱してClaude Codeが先行導入していたプロトコルですが、Codexがこれをプラグインのベースとして採用したことで、MCPが事実上の業界標準として固まりつつあるという流れを感じます。

そしてここからが面白いところで、この構造のおかげでカスタムプラグインの自作もできるんですよ。

カスタムプラグインの自作・配布が可能

Codexの公式プラグインだけでなく、自分でカスタムプラグインを作って配布することもできます。

• @plugin-creatorスキルでスキャフォールドが可能
• ローカルで使うだけでなく、チーム内での共有やマーケットプレイスへの公開にも対応
• Skills、App連携、MCPサーバー設定をバンドルして1つのプラグインとしてパッケージング

社内ツールとの連携プラグインを自作して配布する、みたいな使い方がこれから増えてくるんじゃないでしょうか。

エコシステムが一気に広がる仕組みが整った、という印象です。

続いては「並列で開発を走らせる」サブエージェント機能の正式GAです。

サブエージェントが正式GA -- マルチエージェント並列開発の時代へ（3月16日）

3種の組み込みエージェントとパスベースアドレス

3月16日リリースのv0.115.0で、Codexのサブエージェント機能が正式GA（General Availability）になりました。

これ何が嬉しいかというと、「調査」と「実装」を同時並行で走らせられるんですよ。

組み込みで3種類のエージェントが用意されています。

Before: 自分でコードベースを調査して把握してから実装指示を出す、という直列フロー。

After: explorerにコードベースの調査を任せながら、workerに実装を並列で走らせる。

複数のエージェントはパスベースアドレス（/root/agent_a形式）で管理されます。

ファイルシステムのパスと同じ感覚でエージェントを指定できるので、学習コストがほぼゼロです。

対応モデルはgpt-5.4、gpt-5.3-codex-spark、gpt-5.4-miniの3種類です。

タスクの重さに応じてモデルを使い分けられるので、コストとスピードのバランスも取りやすくなっています。

カスタムエージェント定義とSmart Approvals

Codexの組み込みエージェントだけでなく、カスタムエージェントを自分で定義することも可能です。

TOML形式で ~/.codex/agents/ または .codex/agents/ に配置します。

# .codex/agents/my_reviewer.toml
name = "reviewer"
description = "コードレビュー専用エージェント"
developer_instructions = "コードの品質・セキュリティ・パフォーマンスを重点的にレビューする"

必須フィールドはname、description、developer_instructionsの3つだけなので、定義自体はかなりシンプルです。

デフォルト設定はmax_threads=6、max_depth=1。

並列度を6スレッドまで上げられるので、大規模なコードベースでも実用的な速度で動きます。

もう一つ重要なのがSmart Approvalsです。

--confirm-on delete,pushフラグを指定することで、ファイル削除やgit pushといった危険な操作に対して人間の確認を挟めます。

「AIに任せたら勝手にgit pushされてた」という悪夢が防げる仕組みですね。

サブエージェントは親セッションのサンドボックスポリシーを継承する仕組みになっているので、「AIに任せきりで暴走する」というリスクを制度的に防げる設計です。

「任せる」と「任せきり」の境界をユーザーがコントロールできる。

ここがCodexサブエージェント設計のキモだと思います。

続いてはセキュリティまわりの新機能、Codex Securityです。

Codex Security -- AIが脆弱性を自律検出・修正提案する（3月6日）

120万コミットスキャン、792件のCritical発見という実績

3月6日に公開されたCodex Securityは、AIがリポジトリのコミット履歴をスキャンして脆弱性を検出するセキュリティエージェントです。

公開時点の実績がかなり具体的に出ていて、インパクトがあります。

CVEが割り当てられた14件の対象には、libssh、PHP、Chromium、GnuTLS、GOGS、OpenSSHなどの著名なプロジェクトが含まれています。

また、Codex Securityを活用して脆弱性の発見・パッチを実施したプロジェクトにはvLLMも含まれています。

ここで注目すべきは過剰報告90%以上削減・偽陽性50%以上削減という数字です。

既存のセキュリティスキャンツールを使ったことがあるエンジニアなら分かると思いますが、アラートの大半が「対応不要」なノイズだというのが現実なんですよね。

Before: 大量のアラートが出る → 1件ずつ確認して「これも偽陽性か…」を繰り返す → 疲弊してアラート無視が常態化。

After: 過剰報告が90%以上削減された状態で、対応が必要なものだけが届く。

あのアラート疲れが大幅に軽減されるなら、それだけで導入する価値があります。

3段階推論サイクルの仕組み

Codex Securityが既存ツールと違うのは、単に静的解析をかけるのではなく、3段階の推論サイクルで脆弱性を評価するところです。

第1段階: 識別（Identification）

対象リポジトリのアーキテクチャを分析し、脅威モデルを自動生成します。

現実的な攻撃パスを探索するので、コードベース全体の構造を理解した上でスキャンでき、文脈を無視した的外れな指摘が減るわけです。

第2段階: 検証（Validation）

検出した脆弱性をサンドボックス環境で実際に再現を試み、本当に悪用可能かどうかを確認します。

ここで偽陽性が大幅に削減されるんですね。

「理論上は脆弱性だけど実際には攻撃できない」ケースをきちんと弾いてくれる。

第3段階: 修正（Remediation）

脆弱性を見つけるだけでなく、そのリポジトリのコンテキストに沿った具体的なパッチを自動生成します。

「見つけるだけ」じゃなく「直し方まで提案する」のが、従来のセキュリティツールとの大きな違いです。

Codex Securityはリサーチプレビューとして公開されており、ChatGPT Pro、Enterprise、Business、Eduのユーザーに順次展開中です。

Codex web経由でアクセスできます。

CLIやAppの細かいアップデートも、実は地味に効くものが多いんですよね。

その他の注目アップデート -- Codex CLIとAppの進化

テーマ・UIカスタマイズの対応（v0.113-114, 3月12日）

3月12日のv0.113-114で、Codex CLIのビジュアルカスタマイズが大幅に強化されました。

• ベーステーマ、アクセント・背景・前景色の4色カスタマイズ
• UI/コードフォントの変更
• カスタムテーマの共有機能

地味な機能に見えるかもしれませんが、毎日何時間も向き合うツールの見た目をカスタマイズできるのは精神衛生上けっこう大事です。

チームでテーマを統一するとか、ライブ配信用に見やすいテーマを用意するとか、使い方の幅が広がります。

また、同バージョンでオートメーション機能もリニューアルされています。

ローカル実行とworktree実行の選択、カスタム推論レベルの設定、テンプレート機能が追加されました。

CLIバージョン群の主要変更点（v0.113〜v0.117）

3月にリリースされたCodex CLI各バージョンの変更点を整理します。

v0.115のフル解像度画像検査は、デザインデータやスクリーンショットをそのままの解像度で読み取れるようになった機能です。

v0.116のuserpromptsubmitフックは、プロンプト送信時にカスタム処理を挟めるフック機能で、ワークフローの自動化に使えます。

v0.117ではWebSocket接続が追加されて、リアルタイム通信が可能になっています。

Codex Appの主要更新（3月中旬〜下旬）

デスクトップアプリ側も着実に進化しています。

個人的に嬉しかったのは会話フォーク機能（26.317-318）です。

会話の途中から分岐して別のアプローチを試せるので、「さっきの方針に戻りたい」というときにやり直しが効くようになりました。

26.323のアプリ⇔VS Code設定同期も実用的ですね。

Codex AppとVS Codeの設定が同期されるので、どちらで作業しても同じ環境で開発できます。

Claude Code・Cursor・Gemini CLIとの比較で見るCodexの現在地

AIコーディングツールを選ぶ上で、2026年3月時点でのCodexの立ち位置を他ツールと比較してみます。

あくまで公開情報ベースの比較です。

プラグイン/MCP対応について。

MCPはもともとAnthropicが提唱してClaude Codeが先行導入していたプロトコルです。

OpenAI CodexがMCPをベースにプラグインシステムを構築したことで、MCPがAIコーディングツールの共通基盤として定着しつつあります。

ただし、Claude CodeのMCPエコシステムは先行者利益で対応ツールが豊富という強みがあります。

マルチエージェント機能について。

Codexは3種の組み込みエージェント（explorer/worker/default）という明確な役割分担を提供しています。

Claude Codeのサブエージェントはタスク委譲型、Gemini CLIも実験的にサブエージェントをサポートしていますが、アプローチがそれぞれ違います。

Codex Securityは独自のポジションです。

AIがリポジトリの脆弱性を自律的に検出して修正案まで出すという機能は、2026年3月時点で競合ツールにはない独自の強みです。

結局のところ、どのツールが最適かはチームの技術スタックや重視するポイントによって変わります。

Codexはプラグインエコシステムとセキュリティ機能で差別化を図ってきた、というのが2026年3月時点の評価ですね。

まとめ -- 2026年3月のCodexは「AI開発プラットフォーム」へ進化した

3月のアップデートを振り返ると、Codexは「AIコーディングアシスタント」から「AI開発プラットフォーム」へと明確にステージが変わりました。

• プラグイン = 外部ツールとの連携基盤
• サブエージェント = 並列処理による開発効率の向上
• Codex Security = AIによる品質・セキュリティの自動担保

この三位一体が揃ったことで、「コードを書く」だけでなく「開発プロセス全体を回す」プラットフォームとしての骨格ができました。

正直、ここまで一気に揃うとは思っていなかったので、3月はCodexにとって転換点になった月だと感じています。

3月初旬時点で週間アクティブユーザー1.6Mを突破し、今もなお成長を続けているOpenAI Codex。

このペースで進化が続けば、エコシステムの拡大もさらに加速するはずです。

まだ触っていない機能があれば、まずプラグインを1つ入れてみるところから始めるのがおすすめです。

SlackかNotionをよく使っているなら、その連携プラグインを入れてみるのがハードル低くて実感しやすいですね。

サブエージェントに興味があれば、explorerに「このリポジトリの認証まわりの仕組みを調べて」と投げてみてください。

並列で走らせる感覚が一発でつかめると思います。

よくある質問（FAQ）

Q. Codexのプラグインは無料で使えますか？

A. Codexプラグイン自体の追加料金はありません。Codexの利用プランに含まれています。ただし、連携先のサービス（Slack、Notionなど）は各サービスのプランが別途必要です。

Q. Codexのサブエージェント機能はどのプランで使えますか？

A. 2026年3月のGA化により、Codexを利用できるすべてのプラン（ChatGPT Pro、Plus、Enterprise等）でサブエージェントが利用可能になりました。ベータ版から正式版へのアップデートのため、既存ユーザーも自動的に利用できます。

Q. Codex SecurityとGitHub Advanced Securityの違いは何ですか？

A. 最大の違いは「修正提案まで行うか否か」です。GitHub Advanced Securityは脆弱性の検出・通知が主機能ですが、Codex Securityはコミット履歴をAIが自律スキャンし、3段階推論サイクル（識別→検証→修正）でパッチまで自動生成します。偽陽性も50%以上削減しているため、アラート疲れが大幅に軽減されます。

Q. Codex CLIを最新バージョンにアップデートするにはどうすればいいですか？

A. npm update -g @openai/codex コマンドで最新バージョンに更新できます。2026年3月時点の最新はv0.117です。

よければXもフォローしてもらえると嬉しいです → X(@morphox_ai)