Signal #17：Agent 开始进入组织系统

这里说的“组织系统”，不是一个抽象的大词，也不是单指公司里的权限平台、身份与访问管理 IAM 或安全合规系统。

它指的是一个组织用来回答这些问题的机制：谁可以访问什么，谁可以执行什么，哪些动作需要审批，过程如何留下记录，成本算到哪里，结果最后由谁负责。

过去一段时间，Coding Agent 的产品形态已经变化很快。它不再只是编辑器里的 Chat，也不只是帮开发者修改局部代码。它开始有自己的 session、workspace、branch、terminal、browser 和 review 流程，可以从 issue、PR 或 prompt 进入任务，也可以在云端持续执行。

但这些变化仍然主要回答一个问题：Agent 如何完成任务。

这周更值得注意的是另一个问题开始浮上来：当 Agent 开始访问 GitHub、Slack、Linear、云端环境和企业知识库，开始调用外部工具、触发流程、创建 PR、更新 issue、执行长任务，甚至开始消耗可计量的预算并留下可追踪的产物时，它就不能再只是一个 prompt 驱动的工具。

它正在变成组织系统里的行动者。

一旦进入这个阶段，问题就不再只是“Agent 能不能完成任务”。更现实的问题会变成：它以谁的身份行动？它能访问哪些系统？它拿到的是什么凭证？哪些动作需要人确认？执行过程有没有日志？产物最后算谁的？成本归到哪个人、团队或项目？

这就是这周值得记录的变化。

上周我们讨论“工作现场”时，重点是 Agent 的执行过程开始变得可见、可追踪、可接管。

这周的几个产品变化，进一步把 Agent 从一个孤立任务单元推向真实组织流程。

GitHub Copilot App 正式 GA 后，被 GitHub 定位为 agent-driven development 的桌面入口。用户可以从 issue、PR 或 prompt 发起 session，并行运行多个任务，每个 session 有自己的 branch 和 worktree，也可以在集成 terminal 和 browser 里验证结果，再创建符合团队 checks 和 merge requirements 的 PR。

这意味着 Agent 不只是“在聊天里生成一段答案”，而是开始进入仓库、分支、检查项和 PR 流程。

Cursor Automations 这周新增 /automate skill、GitHub / Slack triggers 和 computer use。用户可以在本地 agent session 中描述想自动化的任务，Cursor 帮它配置触发器、指令和工具；Slack 里的一个 emoji、GitHub 里的 review comment、workflow run completed 这类事件，都可以成为 Agent 进入流程的入口。

这意味着 Agent 不再只等人打开 Chat 后才工作，它开始挂在工作流事件上。

Linear Coding Sessions 则把 issue、评论、计划、review 和实现流程连起来。Agent 可以从 Linear 的任务系统进入代码实现，这说明真实协作入口不一定是 IDE，也可能是 issue / project 这类交付对象。

这些变化合在一起说明：Agent 不再只是一个孤立任务，而是开始接入组织里的协作系统、交付系统和自动化事件流。

这一步很关键。因为只要 Agent 开始进入真实工作流，它就一定会碰到组织问题。

很多时候我们讨论 Agent，容易只看能力：模型是不是更强，能不能处理更大上下文，能不能自动写代码，能不能自己跑测试，能不能长时间执行任务。

这些都重要，但对真实组织来说，另一个问题同样重要：Agent 的边界在哪里？

一个 Agent 可以读代码，但能不能读生产配置？可以查看 issue，但能不能改优先级？可以生成 PR，但能不能 push 到受保护分支？可以调用 Slack，但能不能向客户频道发消息？可以查企业知识库，但能不能读取敏感文档？可以跑任务，但预算从哪里扣？

这些问题不是“安全部门才关心”的问题，而是工程系统能不能稳定运转的问题。

如果一个 Agent 永远只是给建议，那边界可以模糊一点。但如果它能连接外部系统、调用工具、执行自动化、提交产物，边界就必须显式化。

这也是为什么 Vercel Connect 这类能力值得关注。它强调的不是让 Agent “连接更多工具”这么简单，而是让 Agent 通过运行时凭证交换访问外部服务：Agent 有任务要做时，应用向 Vercel Connect 证明自己的身份，再拿到一个短期、限定到当前任务范围的 credential，而不是把长期 provider token 放在环境变量里。

这背后是一个很现实的问题：Agent 越能行动，凭证就越危险。

过去，一个后端服务用长期 token 调用第三方 API，虽然也有风险，但调用路径相对固定。Agent 不一样。它的触发方式更多，执行链路更长，可能会根据上下文决定下一步行动，也可能被 Slack、GitHub、Linear、定时任务或其他事件唤醒。

在这种情况下，如果仍然用长期密钥、共享 bot token 或随处可见的环境变量来给 Agent 授权，风险会被放大。

所以，Agent 进入组织系统的第一层，不是写更多 prompt，而是重新处理身份和凭证。

进入组织系统的第二层，是审批和审计。

Vercel 发布的 eve 把 durable execution、sandboxed compute、human-in-the-loop approvals、subagents、evals 做成 Agent 框架的内置能力。这个组合很有代表性。

durable execution 解决的是任务能不能长时间执行、失败后能不能恢复；sandboxed compute 解决的是 Agent 在哪里运行、能碰到什么资源；human-in-the-loop approvals 解决的是哪些动作不能直接放行；evals 解决的是行为能不能被验证和回归。

这说明生产级 Agent 不能只是一个模型循环。

一个真正进入组织的 Agent，需要有执行环境，也需要有暂停点；需要能自动行动，也需要知道什么时候该等人确认；需要能调用工具，也需要留下过程记录；需要能产出结果，也需要被评估和改进。

GitHub 这周的一个小更新，也说明了同样的问题：Copilot cloud agent 创建的 PR 被纳入 author: 搜索。也就是说，当用户搜索自己创建的 PR 时，Copilot 按照用户指令创建的 PR 也会被算进去；默认的 “Created by me” 视图也会自动包含这类 PR。

这个变化看起来很小，但信号很强。

因为它说明，Agent 产出的东西不能漂在系统之外。一个 PR 被创建出来，就要进入工程协作账本。它来自哪个任务，谁发起的，谁需要 review，出了问题找谁，这些都不能停在“AI 写的”这句话上。

AI 可以参与工作，但责任不会因为 AI 参与就消失。

这也是未来团队一定会遇到的问题：Agent 写的代码算谁的？Agent 改的配置谁负责？Agent 触发的任务失败了，算工具问题、模型问题，还是发起者的问题？如果没有明确的归因链条，Agent 越深入流程，协作成本反而可能越高。

所以，Agent 进入组织系统，不只是被授权，也包括被记录和被归因。

说到权限、凭证、审批、审计、归因和成本，很容易让人觉得这是一套“限制 Agent”的东西。

但更准确的理解是：这些机制不是为了让 Agent 变弱，而是为了让 Agent 能被真实组织稳定使用。

一个完全自由的 Agent，在 demo 里可能很吸引人。它能自己读上下文，自己调工具，自己写代码，自己提交结果。但在真实组织里，自由不是优点本身。组织需要知道它能做什么、不能做什么、谁允许它做、做完之后谁负责。

这和人类员工并不完全一样，但有相似之处。

一个新人进入团队，不会第一天就拥有所有系统权限，也不会直接改生产配置。团队会给他仓库权限、文档权限、测试环境权限，会告诉他哪些动作需要 review，哪些操作要走审批，出了问题怎么回滚，产物如何进入交付流程。

Agent 进入组织，也需要类似的边界。

它不一定是“员工”，但它开始承担执行任务的角色。既然承担执行任务，就必须进入组织已有的规则系统。

这也是为什么我觉得，“Agent 开始进入组织系统”比“Agent 又多了几个工具”更重要。

工具越多，越需要边界。任务越长，越需要过程记录。自动化越强，越需要审批点。产物越正式，越需要归因。消耗越大，越需要成本账本。

这里的成本不是这期的重点，但它同样是组织系统的一部分。Microsoft Copilot Cowork 正式 GA 后，采用基于 Copilot Credits 的用量计费，一个任务的价格会由模型使用、上下文检索、工具调用和运行时间共同决定。这说明长任务 Agent 一旦进入企业，就会同时进入预算、资源归属和成本管理问题。

这些东西合在一起，才是 Agent 从个人尝鲜走向团队生产使用的关键门槛。

对研发组织来说，这个变化会带来一个新的建设方向。

过去引入 AI Coding，团队可能更关心：代码生成效果怎么样，开发者愿不愿意用，能不能提高效率，能不能覆盖更多研发任务。

接下来，问题会变得更系统：我们要不要给 Agent 单独的系统身份？Agent 访问仓库、issue、CI、文档、日志的权限如何设计？哪些动作允许自动执行，哪些动作必须人工确认？Agent 生成的 PR 如何进入 review 流程？Agent 的执行日志、工具调用、失败原因是否要保存？Agent 消耗的模型成本如何分摊？哪些场景值得自动化，哪些场景只适合作为辅助建议？

这些问题不会一次性解决，但它们会越来越具体。

未来一个成熟的研发组织，可能不只是有代码规范、分支规范、CI 规范，还会有 Agent 运行规范。哪些仓库允许 Agent 改，哪些目录不能碰，哪些测试必须跑，哪些 issue 可以自动接，哪些 PR 只能生成草稿，哪些动作必须有 human approval。

这也会让 Agentic Engineering 从一种个人技巧，走向团队工程能力。

不是谁更会写 prompt，而是谁能把 Agent 放进一个可控、可验证、可追踪、可归因的工作系统里。

上周的 Signal 是：Coding Agent 开始有了工作现场。

这周可以往前再推进一步：Agent 有了工作现场之后，开始进入组织系统。

它不再只是一个工具入口，也不只是一个孤立的任务单元。它开始访问系统、调用工具、执行任务、提交产物、消耗预算，并参与真实协作流程。

这意味着 AI Coding 的下一阶段，不只是让 Agent 更能干，而是让 Agent 能被组织稳定地使用和管理。

真正的问题会越来越从“Agent 能不能完成任务”，转向“Agent 如何被授权、如何被限制、如何被审批、如何被审计、如何被归因”。

Agent 越能行动，越需要组织边界。

这不是 AI Coding 的降速，而是它进入生产系统前必须补上的一层。