夜雨聆风AI 应用短回应 / Agent / MCP / 企业治理
短回应
每个人自己装 MCP,迟早会变成安全债。
回应上篇的一个坑
上篇文章里,我留了一个下周关注:enterprise-managed plugins 的实际体验。今天先短回应一下。GitHub 已经把企业托管插件扩到 VS Code public preview,管理员可以通过 .github-private/.github/copilot/settings.json 下发插件市场和默认启用插件,VS Code 1.122+ 和 Copilot CLI 都会吃这套企业基线。但这件事最值得看的,不是“终于能统一装插件”,而是企业开始意识到:如果每个人都自己装插件、自己配 MCP、自己开工具权限,Agent 很快就会从生产力变成安全债。
回个响 / 01
先汇报一个小型里程碑
上篇文章发出去之后,涨了 3 个粉丝。
数字不大,但对一个刚开始认真跑的公众号来说,够我开心一小会儿。更重要的是,它说明这个方向有人愿意看:不是单纯追新模型,而是看 AI 工具真的进工作流以后,会把哪些权限、成本和责任问题带出来。
所以今天不写长文,先兑现上篇埋下的一个小坑。
我当时说要看:
enterprise-managed plugins 的实际体验。插件、hooks、MCP 配置能不能统一下发,是 Agent 进入企业的关键门槛。它会直接影响“每个人自己装一堆 MCP”会不会变成安全债。
现在可以先回答一半了。
落地了 / 02
统一下发这件事,真的开始落地了
GitHub 6 月 5 日的更新,把 enterprise-managed plugins 扩到了 VS Code public preview。
它的核心不是很花哨:企业管理员把配置放到 .github-private/.github/copilot/settings.json,然后 VS Code 和 Copilot CLI 会自动拉取并应用。管理员可以指定插件市场,也可以指定用户登录 VS Code 或 Copilot CLI 时自动安装哪些插件。
这一步看起来像普通管理功能。
但放到 Agent 语境里,它意义很大。
以前的风险是:每个开发者自己找插件、自己接 MCP、自己配工具。A 同学接了 Jira,B 同学接了数据库,C 同学接了一个没人审过的内部脚本。短期很自由,长期就会变成一堆看不见的口子。
统一下发,至少把“口子在哪里”这件事从个人电脑拉回了企业配置。
这就是 Agent 进企业的第一道门。
不是模型够不够聪明。
是企业能不能说清楚:谁被允许装什么,默认启用什么,从哪里装,出了事去哪查。
先别急 / 03
但别高兴太早:插件只是门口
真正麻烦的地方在后面。
VS Code 的企业 AI 设置文档里,已经把几类更硬的东西摆出来了:插件是否启用、插件 allowlist、额外 marketplace、严格 marketplace、MCP server 来源、私有 MCP registry、工具审批、terminal auto-approval、Agent sandbox、网络域名拦截。
这串词读起来很冷。
但翻译成人话就是:
✓能不能只允许公司批准的 MCP?
✓能不能不让 Agent 随便开终端命令?
✓能不能禁止全局自动审批?
✓能不能把 Agent 扔进沙箱里跑?
✓能不能拦住它访问不该访问的域名?
这才是重点。
统一下发插件,只解决“大家从哪里拿工具”。还没完全解决“这些工具能碰什么、做到哪一步、谁来审批、出了事怎么追”。
我的判断 / 04
今天的判断
我现在更确定一件事:企业里的 Agent 治理,不会只靠“装一个 Copilot”解决。
它会变成一张配置网。
一边是 GitHub / Copilot 的企业插件标准,把插件和市场拉进统一基线。
一边是 VS Code 的企业策略,把 MCP、工具审批、沙箱、网络访问这些执行层风险管起来。
中间还会有很多现实摩擦。比如社区里已经有人反馈过,插件安装和 MCP server runtime 配置之间可能存在衔接问题:插件文件在,但 MCP server 没有自动进入运行时配置,最后工具不可用。这个不一定代表企业托管插件本身不行,但它提醒我们:Agent 工具链不是“装上就完事”,它有安装、注册、启动、授权、审批、审计一整条链。
这条链里任何一环断了,体验就会变成:
“我明明装了,为什么 Agent 看不见?”
或者更糟:
“我明明没想开放这么多,为什么 Agent 能调用?”
谁要关注 / 05
谁要关注
如果你是安全、平台工程、DevOps 或工程效率负责人,这事值得现在就看。
别等团队里已经散落一堆个人 MCP 配置,再回头补治理。那时候你要管的不是一个功能,而是一堆已经习惯了自由接工具的人。
如果你是做 AI 工具、MCP server、开发者平台的创业团队,也要看。
未来企业客户不会只问“你能接 Copilot 吗”。他们会问:能不能被统一下发?能不能被 allowlist?能不能关掉?能不能审计?能不能按工具粒度控制权限?
答不上来,就很难进主流程。
留一句 / 06
留一句
上篇我说,MCP server 列表越长,刹车系统越贵。
今天可以补一句:
Agent 真正进企业,不是从“会装更多插件”开始的。
是从“有人能统一装,也有人能统一关”开始的。
来源链接
GitHub Changelog:Enterprise-managed plugins in VS Code in public preview(2026-06-05)
https://github.blog/changelog/2026-06-05-enterprise-managed-plugins-in-vs-code-in-public-preview/
GitHub Docs:About enterprise-managed plugin standards
https://docs.github.com/en/copilot/concepts/agents/about-enterprise-plugin-standards
VS Code Docs:Manage AI settings in enterprise environments
https://code.visualstudio.com/docs/enterprise/ai-settings
GitHub Docs:Extending Copilot Chat with MCP servers
https://docs.github.com/en/copilot/how-tos/provide-context/use-mcp-in-your-ide/extend-copilot-chat-with-mcp
GitHub Issue:copilot plugin install does not merge plugin .mcp.json servers into mcp-config.json(社区问题,作为体验摩擦参考)
https://github.com/github/copilot-cli/issues/2709
