导语:
2026 年 5 月前后的后端平台消息,放在一起看有一个很明确的趋势:平台治理对象正在从传统 CI/CD 扩展到代理运行时。4 月 23 日,GitHub 宣布 immutable subject claims for GitHub Actions OIDC tokens;4 月 24 日,又提前通知 GitHub App installation tokens 即将采用新格式;4 月 27 日,GitHub 还说明 Copilot code review 将从 6 月 1 日开始消耗 GitHub Actions 分钟数。再叠加 Copilot cloud agent 相关度量和会话管理能力,可以看出平台方已经把 AI agent 的执行行为视为一种正式的后端运行负载。
这件事对后端团队的影响很直接。过去平台工程师主要托管构建流水线、部署流水线和服务运行时;现在还要开始托管“代理如何获得身份、在哪运行、访问哪些网络、消耗哪些配额、如何留下审计记录”。如果你仍然把 AI agent 看作 IDE 附件,而不是平台上的执行主体,后面会在身份、网络和成本三个方向同时吃亏。
1. 这次变化真正意味着什么
首先,它意味着 agent 已经从“建议生成器”变成“会消耗平台资源、具备执行影响”的角色。既然 code review 会消耗 Actions 分钟,agent 会话能写回 PR、访问仓库和调用插件,那它就不再只是文本层工具,而是平台负载的一部分。
其次,身份治理开始前置。immutable subject claims 和 token 格式调整都在说明一件事:平台需要更稳定、更可解析、更不容易被误用的身份断言。后端团队以后不只是发 token,还要设计哪些运行单元能拿到什么身份、身份和任务之间如何绑定、任务结束后如何失效。
最后,后端平台的边界正在被重画。以前 CI runner 和生产服务是两个主要运行面,现在中间多出一层 agent runtime。它可能不直接承载用户流量,但会读取代码、触发检查、调用外部系统,甚至改动仓库内容。治理上不能再把它归入“开发者本地工具”。
2. 为什么团队现在应该关心
因为大多数后端平台的默认设计,并没有为 agent 运行时准备好。很多组织对 CI 资源、服务身份和网络出口已经有规则,但对代理会话、插件调用和临时执行环境却没有成熟边界。结果往往是:人类工程师被严格约束,agent 反而拿着过宽的仓库权限和网络通道做事。
这会带来三类现实风险。第一,身份漂移。没有稳定 subject 和会话绑定,出了问题很难追到是谁在何时通过哪个代理触发了动作。第二,成本失真。AI code review、自动排障、批量扫描都会消耗真实算力与分钟数,如果不单独核算,平台预算会越来越模糊。第三,网络与数据外发风险。agent 往往会通过插件、MCP 或外部 API 触达更多系统,若准入和出口控制不清,问题会比传统 CI 更复杂。
后端团队现在介入,正好能在平台层把这些边界先框起来,而不是等业务线各自野生生长后再补洞。
3. 一套可执行的落地流程
第一步,把 agent runtime 从“工具”升格为“运行面”。
在平台资产清单里单独列出云端 agent、代码评审 agent、CLI 代理、插件代理和机器人任务。明确它们分别在哪里运行、由谁拥有、访问哪些系统。
第二步,重做身份发放模型。
所有代理执行都应尽量使用短期、可追踪、最小权限凭证,并且让凭证与任务、仓库、会话 ID 明确关联。不要复用长期 PAT 或共享机器人凭证。
第三步,给网络出口和插件调用设默认拒绝。
哪些 agent 可以访问公网、哪些只能访问特定域名、哪些插件允许写回、哪些只读,都应先有平台规则,再谈例外审批。
第四步,把资源核算单独拆出来。
CI 构建、测试执行、AI code review、自动修复、批量扫描的分钟数与算力消耗不应混在一起。只有单独记账,团队才能决定哪些自动化值得继续扩大。
第五步,补齐审计链。
至少要能串起会话 ID、身份断言、仓库变更、外部调用和分钟数消耗。没有完整链路,平台问题最后都会变成“感觉像是 AI 干的,但说不清是哪次”。
4. 最容易踩的坑
第一大坑,是沿用人类账号治理思路处理 agent。代理不是“另一个开发者”,它的执行频率、调用方式和自动化程度完全不同,必须单独设计边界。
第二大坑,是只看仓库权限,不看网络与插件权限。很多真正危险的动作不是改代码,而是拿到更广的系统访问能力。
第三大坑,是把分钟数和算力消耗继续归到公共池。这样短期省事,长期会让平台团队根本看不清哪些 AI 流程在吞资源。
第四大坑,是身份可追踪性不足。subject 不稳定、token 复用、会话日志不全,最后都会让审计失焦。
5. 本周建议执行的动作
本周建议平台团队先做五个动作:
- 盘点当前有哪些 agent 或机器人具备仓库写权限。
- 检查这些执行体拿的是长期凭证还是短期凭证。
- 为 AI code review、自动修复、扫描任务单独出一版资源统计。
- 梳理默认网络出口和插件调用范围,先收紧后放开。
- 抽一条真实会话,验证是否能完整追到身份、动作和资源消耗。
这些动作做完,你的后端平台才算真正开始托管代理运行时,而不是只是在旁边围观它长大。
6. 结语
后端平台的职责正在变化。它不再只是为代码构建和业务服务托底,还要为越来越活跃的代理执行环境提供身份、网络、资源和审计边界。谁先把 agent runtime 当成正式运行面来治理,谁就更不容易在下一轮 AI 平台化过程中被成本和风险反噬。
参考资料
- GitHub Changelog: Immutable subject claims for GitHub Actions OIDC tokens
https://github.blog/changelog/2026-04-23-immutable-subject-claims-for-github-actions-oidc-tokens/ - GitHub Changelog: Notice about upcoming new format for GitHub App installation tokens
https://github.blog/changelog/2026-04-24-notice-about-upcoming-new-format-for-github-app-installation-tokens/ - GitHub Changelog: GitHub Copilot code review will start consuming GitHub Actions minutes on June 1, 2026
https://github.blog/changelog/2026-04-27-github-copilot-code-review-will-start-consuming-github-actions-minutes-on-june-1-2026/ - GitHub Changelog: Copilot cloud agent fields added to usage metrics
https://github.blog/changelog/2026-04-23-copilot-cloud-agent-fields-added-to-usage-metrics/
