codex-consultationが非公開リポジトリで拒否されるようになって不便
from 2026-07-13
GPT-5.6 Solにしてから/shokai/codex-consultationが拒否されるようになって不便
solとは関係なくトランプ政権、国家安全保障を理由にMythos級モデルのアクセス停止命令への対応で強化されたか?
GPT-5.6.iconCodexからClaude Codeを呼び出すレビュー機能が非公開リポジトリで拒否される問題
概要
Codex上で codex-consultation スキルを使用し、Claude Code CLIにコードレビューを依頼する運用が、非公開リポジトリでは実行できなくなっている。
Codex appから利用している基素.icon
Claude Code自体が非公開リポジトリを拒否しているわけではない。CodexがClaude Code CLIを起動する前に、Codex側の自動安全審査が次のように判断して処理を拒否している。
非公開ワークスペースのコードやリポジトリ構造を、信頼されていない外部AIサービスへ送信する操作に該当する。
ユーザーが送信を明示的に許可しても、同じ理由で再度拒否される。
対象となるワークフロー
codex-consultation は、CodexからClaude Code CLIを呼び出し、別モデルによる独立レビューを得るためのローカルスキルである。
想定している処理は次のとおり。
code:text
ユーザー
↓
Codex
↓ ローカルコマンドを実行
Claude Code CLI
↓ リポジトリや差分を読み取る
Claude API
↓
レビュー結果をCodexが検証・統合
Claude Codeはファイルを読み取り、レビュー内容をAnthropicのサービスへ送信する。そのためCodexの安全審査からは「非公開ワークスペース情報の第三者サービスへの送信」と認識される。
確認された挙動
ローカルのCodexセッション履歴では、同じ種類の操作に対する判定が変化している。
2026年7月10日
Claude Codeへのレビュー依頼は、次のような判断で許可されていた。
code:text
risk_level: high
user_authorization: high
outcome: allow
判定理由は、おおむね次のとおりだった。
code:text
非公開リポジトリの内容を外部Claudeサービスへ送信する高リスク操作だが、
ユーザーが明示的に依頼しているため許可する。
2026年7月12日以降
同じ操作が次のように拒否されるようになった。
code:text
risk_level: high
user_authorization: high
outcome: deny
判定理由は次のとおり。
code:text
非公開ワークスペースの差分やコードを、
信頼されていない外部Claudeサービスへ送信する操作に該当する。
ユーザーが明示的に承認していても許可しない。
明示承認後に再実行しても拒否され、別の方法で同じ結果を得ようとすることも「安全審査の迂回」として禁止された。
原因についての現時点の判断
原因はClaude Code CLIの制限ではなく、Codex側の自動承認レビューである可能性が高い。
現在の実行環境には次の設定が注入されている。
code:text
approvals_reviewer = "auto_review"
この設定では、サンドボックス外実行などの承認要求がユーザーではなく、自動レビュー用のエージェントへ送られる。
code:text
実行に承認が必要
↓
approvals_reviewer = "auto_review"
↓
自動安全審査
├─ approve → 実行
└─ deny → 終了
ユーザー承認へ回らない
問題は、自動審査が誤判定または過度に保守的な判定をした場合でも、ユーザーが最終判断を下す正式なフォールバック経路がないことにある。
GPT-5.6 Solとの関係
この症状がGPT-5.6 Solの提供時期と近い可能性はあるが、Sol固有の問題とは断定できない。
同じ系列の安全審査問題は、以下のモデルでも報告されている。
GPT-5.3 Codex
GPT-5.5
したがって、より正確には次のいずれかと考えられる。
Codex Desktopの実行ポリシー変更
auto_review の審査基準変更
自動審査に使用されるモデルの変更
Desktopから注入される管理設定の変更
これまで存在した問題が、最近の変更によってこのスキルでも発現した
同様の公開報告
外部MCPによるコード検索が拒否される事例
2026年6月18日、Codex CLIから外部の fast-context MCPを使って非公開コードを検索・レビューしようとすると、次の理由で拒否されるという報告があった。
This semantic search would send private workspace repository structure and likely code context to an untrusted external AI service, which tenant policy denies even with explicit user approval.
報告された挙動は今回とほぼ同じである。
簡単なドキュメント検索は成功する
実際のコードレビューになると拒否される
プロンプトで明示的に許可しても拒否される
Codex CLIでは失敗する
別のCodex App環境では成功する
LINUX DO:fast-context MCPが自動審査で拒否される報告
Codex公式リポジトリの関連Issue
Auto-reviewの拒否後にユーザー承認へ回せない
openai/codex #21975 — Auto-review approvals should support optional human fallback on deny/abort
提案されている動作は次のようなもの。
code:toml
approvals_reviewer = "auto_review"
auto_review_user_fallback = "on-deny"
または、
code:toml
approvals_reviewer = "auto_review_then_user"
自動審査が拒否した場合だけ、理由を表示したうえでユーザーに最終承認を求める案である。
2026年7月13日時点では以下の状態。
Open
担当者なし
Milestoneなし
関連する実装PRなし
未実装
安全審査が誤った理由でMCPツールを拒否する
openai/codex #21186 — Safety layer hallucinates reasons and blocks tool calls
GPT-5.5とCodex CLI 0.128.0で、自動安全審査がツール操作を誤って危険と判断し、ユーザーへ承認を求めずにブロックする問題が報告されている。
現在の状態は以下のとおり。
Open
担当者なし
修正PRなし
確認済みの一般的な回避策なし
明示承認済みの読み取り専用操作も拒否される
openai/codex #20337 — Read-only SQL call blocked after explicit approval
読み取り専用のSQL SELECT であっても、安全審査がツール定義を危険と判断し、ユーザーの明示承認後にも処理を拒否する事例。
GPT-5.3 Codexで発生しているため、この問題系列はGPT-5.6 Sol以前から存在する。
現在の状態は以下のとおり。
Open
担当者なし
Milestoneなし
修正PRなし
App Serverで承認要求がユーザーに表示されない
openai/codex #21982 — Sandbox approval does not surface through app-server
OpenAIのメンテナは、自動approval reviewerが設定されている場合、承認要求はユーザーではなく自動reviewerによって処理されると説明している。
これは今回の現象と整合する。
Issue上で提案されている解決策
1. 承認先をユーザーへ変更する
現在利用できる可能性が最も高い正攻法は、承認要求を自動審査ではなくユーザーへ送る設定である。
code:toml
approval_policy = "on-request"
approvals_reviewer = "user"
期待される動作は次のとおり。
code:text
Claude Code CLIの実行に承認が必要
↓
ユーザーへリスクを表示
↓
ユーザーが許可
↓
実行
ただし、Codex Desktopがターン開始時に approvals_reviewer = "auto_review" を強制している場合、ユーザーの ~/.codex/config.toml より上位で設定が上書きされる可能性がある。
2. 自動審査後のhuman fallbackを製品へ実装する
根本的な製品側の解決策は以下である。
code:text
自動審査
├─ 許可 → 実行
├─ 通常の拒否 → ユーザーへ最終承認を求める
└─ 絶対ポリシー違反 → 拒否
これはIssue #21975で提案されているが、まだ実装されていない。
3. MCP側の承認設定を変更する
外部MCPの事例では、次のような設定が提案されている。
code:toml
default_tools_approval_mode = "approve"
ただし、今回の codex-consultation はMCPではなくシェルからClaude CLIを起動するため、そのまま適用できる解決策ではない。
4. AGENTS.md へ明示的な許可を書く
コミュニティでは、外部サービスの利用許可を AGENTS.md に書く案も挙げられている。
しかし今回の環境では、ユーザーが会話上で明示承認した後も拒否されている。上位の自動審査が絶対拒否として扱う場合、リポジトリ内の指示だけでは解決できない。
現在のステータス
2026年7月13日時点では、次の状態である。
codex-consultation の実装やClaude Code認証が直接壊れたわけではない
Codexの自動安全審査がClaude CLIの起動を拒否している
非公開コードの外部AI送信と判断されると、明示承認後も拒否される
同型の問題は他の利用者にも発生している
GPT-5.6 Sol固有ではなく、少なくともGPT-5.3・GPT-5.5から関連問題が存在する
関連する公式IssueはOpenのまま
公式修正やhuman fallbackは未実装
スキルのプロンプト変更だけでは解決できない
approvals_reviewer = "user" に変更できれば改善する可能性が高い
Codex Desktopが auto_review を強制している場合、現状はユーザー側だけで完全自動運用を復旧できない可能性がある
次に確認すべき事項
1. ~/.codex/config.toml の approvals_reviewer 設定
2. Codex Desktopが実際のターンへ注入している実効設定
3. approvals_reviewer = "user" がDesktopでも尊重されるか
4. 同一リポジトリでCodex CLIから実行した場合の挙動
5. 公開リポジトリと非公開リポジトリで判定が変わるか
6. GPT-5.5とGPT-5.6 Solで同じ設定を使用した比較
7. Issue #21975のhuman fallback実装状況
現時点では、codex-consultation の問題としてスキルだけを修正するより、Codexのapproval routingとDesktopの実効設定を調査する必要がある。