
这次真正值得看的,不是“又会写更多代码”,而是 agent 工具开始补自己的控制面。
今天最值得记的 AI 编程信号,不是某个模型刷了新分数,而是从官方 release notes 看,Claude Code 和 OpenAI Codex 在同一轮更新里都把重点放到了一类东西上:权限、状态、迁移、凭据、删除、审查和恢复。
这听起来没有“更强模型”刺激。
但它更接近真实工作流。
一个 AI 编程工具如果只是帮你生成几段代码,它像一个聪明的编辑器插件。可一旦它开始长期待在你的代码库里,能开 subagent、能调 MCP、能保存历史、能读项目配置、能迁移别的工具上下文、能持有云服务凭据,它就不再只是“代码生成器”。
它变成了一个需要被治理的执行环境。
先看 Claude Code 这边
Claude Code v2.1.178 的 release notes 里,有几条很像“控制面”更新。
第一条是权限规则更细了。它新增了 Tool(param:value) 语法,可以按工具输入参数匹配权限规则,还支持 * 通配符。官方例子是 Agent(model:opus),可以用来阻止 Opus subagent。
这不是一个小语法糖。
以前很多 agent 权限讨论停在“允许不允许用某个工具”。但真实风险经常藏在参数里:同样是启动 agent,用哪个模型、带什么任务、访问哪个 server、读哪个路径,风险完全不同。工具名只是第一层,参数才是第二层。
第二条是嵌套 .claude/ 目录开始更像 monorepo 里的局部配置系统。嵌套 .claude/skills 会在处理对应目录文件时加载;重名 skill 会显示成 <dir>:<name>。agent、workflow、output-style 重名时,离当前工作目录最近的配置优先。
这说明 Claude Code 已经在适配一个很现实的场景:一个大仓库里,不同子项目应该有不同的技能、工作流和输出风格。不是所有目录都该吃同一份全局 agent 配置。
release notes 里还有一条容易被忽略的修复:MCP server-level specs 在 subagent disallowedTools 中被静默忽略的问题被修掉了。也就是说,权限边界不只要覆盖内置工具,还要覆盖接进来的 MCP server。
第三条更关键:auto mode 里,subagent spawn 在启动前会先经过 classifier 评估。官方说这是修补一个缺口:subagent 可能在没有 review 的情况下请求被阻止的动作。
这句话翻译成人话就是:多代理系统的安全问题,不只在“某个工具调用该不该放行”,还在“谁能启动另一个代理,以及它带着什么权限启动”。
再看 Codex 这边
OpenAI Codex 0.140.0 的重点也不是“更会写代码”。它更像在把 Codex 从一次性 CLI,往长期 agent 工作台推。
它新增了 /usage,可以看 daily、weekly 和 cumulative account token activity。
这很朴素,但很重要。agent 真正进入日常工作后,token 不再是抽象成本。你需要知道它在什么时候、为哪些任务、以什么规模消耗上下文和额度。
它新增了永久 session 删除:codex delete、/delete 和 app-server thread/delete,并带确认保护和 subagent cleanup。
这也不是边缘功能。长期 agent 会话里会有任务历史、代码上下文、图片、凭据路径、项目结构和判断过程。能不能删除、删除到什么程度、subagent 状态是否一起清掉,都会变成隐私和合规问题。
更有意思的是 /import:Codex 现在可以选择性从 Claude Code 导入 setup、project configuration 和 recent chats。
这条特别有信号感。
agent 工具之间开始迁移用户的工作记忆。
过去 IDE 竞争,迁移的是设置、快捷键、插件。现在 coding agent 竞争,迁移的是项目配置、最近对话、工作上下文和团队约定。谁能拿走这些状态,谁就能降低用户换工具的成本。
Codex 还新增了 managed Amazon Bedrock API-key authentication,以及 CLI 和 MCP OAuth credentials 的加密本地存储。再加上 corrupted SQLite state databases 自动备份和从 rollout data 重建,这些都在指向同一个事实:至少对 Codex 这类正在扩展的 agent CLI 来说,它已经不再像一个无状态命令;它开始有数据库、凭据、远程会话、插件和 MCP server。
这两条 release 放在一起,信号就很清楚
Claude Code 在补权限、局部配置、subagent 审查。
Codex 在补用量、删除、导入、凭据、状态恢复。
它们的方向不同,但共同说明一件事:
AI 编程工具的下一层竞争,不是只看“谁能生成更多代码”,而是看“谁能安全地持有更多上下文、执行更多动作、接入更多系统,并且还能被人控制”。
这也是为什么我觉得“control plane”这个词比“新功能”更准确。
这里的 control plane,可以简单理解为:不是负责直接写代码的那层,而是负责规定它能做什么、怎么做、出问题怎么收回的那层。
一个成熟的 coding agent 至少需要几层控制面:
- 权限控制
:哪些工具能用,哪些参数能用,哪些模型能被 subagent 调用。 - 作用域控制
:不同目录、不同项目、不同 repo 是否使用不同 skills 和 workflows。 - 状态控制
:会话历史、数据库、rollout、远程 thread 坏了以后如何恢复。 - 成本控制
:token 用量如何按天、周、累计口径展示。 - 隐私控制
:哪些历史能永久删除,subagent 状态是否一起清理。 - 凭据控制
:API key、MCP OAuth、云 provider auth 怎么保存,怎么失效,怎么报错。 - 迁移控制
:从别的 agent 工具迁移时,哪些上下文能带过来,哪些语义会丢。
为什么这比 benchmark 更贴近真实使用
AI 编程讨论很容易被 benchmark 拉走。
模型能不能过 SWE-bench,agent 能不能修 bug,当然重要。但在团队里,一个工具能不能日常使用,最后经常卡在更脏、更碎的地方。
比如:
它生成的代码能不能安全 merge; 它有没有越权读取不该看的目录; 它开了 subagent 后,谁来审查 subagent 的动作; 它保存的历史里有没有敏感信息; 它能不能解释今天为什么花掉这么多 token; 它的本地数据库坏了,会不会丢掉整个工作流; 团队换工具时,已有配置和上下文能不能迁出来。
这些问题不性感,但它们决定 agent 能不能进入生产环境。
这也接上了最近一个更大的趋势:AI 编程的指标正在从 “time to first working version” 转向 “time to safe merge”。当生成初稿变便宜以后,人的工作不是无脑接受更多代码,而是把变更范围、权限边界、审查路径和回滚方式设计清楚。
还有一个旁支:模型路由也在应用层出现
除了这两条 coding agent release,同期还有一条 Anthropic 文档也值得记:Claude for Foundation Models。
它让 Claude 作为 server-side language model 接入 Apple 的 Foundation Models framework。应用可以用同一套 LanguageModelSession API 调 Apple on-device model,也可以调 Claude。Anthropic 文档说,请求直接从 app 到 Claude API,Apple 不在请求路径上;生产环境不要把 API key 打进 app,而应该走自己的 proxy。
这条不属于 coding agent 主线,但它说明类似的问题会出现在更多应用里:什么时候用本地模型,什么时候升级到云端 Claude,谁付费,谁看得到 prompt,API key 怎么保护,失败时怎么 fallback。
换句话说,control plane 不只属于编程工具。只要模型开始进入真实应用,路由、权限、凭据、隐私和 fallback 都会浮上来。
最后的判断
我不觉得今天这两条 release 应该被读成普通版本更新。
它们更像一个阶段变化:coding agent 正在从“能写代码的工具”,走向“需要被治理的工作台”。
只写 demo 的工具需要“生成得快”。
工作台需要回答:谁能用、能用到哪、花了多少、存了什么、能不能删、坏了怎么恢复、迁移时带走什么、subagent 会不会绕过审查。
所以接下来评价 AI 编程工具,我会少看一点“它会不会写一个 demo”,多看这些问题:
它有没有细粒度权限? 它有没有清楚的项目 / 目录作用域? 它的 subagent 是否先被审查再启动? 它有没有用量和成本可见性? 它能不能永久删除会话和子代理状态? 它如何保存 API key 和 OAuth credentials? 它的本地状态坏了以后能不能恢复? 它能不能从其他工具迁移上下文,又不会乱解释语义?
AI 编程工具真正进入工作流的标志,不是它第一次写出可运行代码,而是它开始管理自己留下的权限、状态和后果。
事实边界
本文基于 Claude Code v2.1.178 和 OpenAI Codex 0.140.0 官方 release notes,以及 Anthropic / OpenAI 官方公开页面。 本文没有本地安装或复现 Claude Code / Codex 对应版本的功能行为。 文中不主张这两个版本提升了模型编码能力;讨论重点是 agent 工具控制面。 Apple Foundation Models 相关集成仍处 beta;本文只按 Anthropic 文档记录。
参考来源:Anthropic Claude Code v2.1.178 release notes;OpenAI Codex 0.140.0 release notes;Anthropic Platform Docs《Apple Foundation Models》;OpenAI《Introducing the OpenAI Partner Network》。
夜雨聆风