AI 插件的野生时代,开始收摊了

以前装插件，有点像逛夜市。

看到一个顺手的，就接上。

能补全代码，能查文档，能连 GitHub，能接 MCP。个人开发者这么玩，很正常。反正工具坏了，大不了卸掉。

到了公司里，这件事就没那么轻了。

插件可不是皮肤。它可能读仓库，碰命令行，调用外部服务，拿到上下文，还可能替 Agent 往下一步走。

人还在聊天框里说“帮我处理一下”，插件已经站在门口等着开权限了。

图 1：白名单不是终点，但它先把入口收住。

GitHub 这次更新的点很窄：企业托管设置现在支持 strictKnownMarketplaces，范围覆盖 VS Code 和 Copilot CLI。

拆开看，它解决的是一个很具体的问题：

它不会像新模型发布那样刷屏。

但对企业来说，这种更新反而更接近真实世界。因为真正落地的时候，没人只问“插件能做什么”。安全、平台、研发管理会先问另一句：它从哪来？

来源不清楚，后面的权限、日志、审计，全都会变脆。

别把白名单看得太神。

它只是在入口处加了一道门。门里面还有一堆问题。

一个插件进了公司名单，不代表它可以读所有仓库；一个 marketplace 被认可，不代表每次工具调用都该自动放行；一个 Agent 能跑命令，不代表它应该在凌晨三点自己改生产配置。

所以我更关心后面几颗钉子：

白名单只是第一颗螺丝。

图 2：工具入口从野生状态进入组织名单，Agent 才有机会真正进流程。

前面那篇讲 MCP 进公司，我盯的就是谁能批准、谁能挡下、谁能追责。

这次也是同一条线。

Agent 的企业化，不会长得像演示视频里那样光滑。它更像一张越来越长的清单：默认插件、允许来源、组织规则、日志留存、权限边界、执行确认。

听起来很琐碎。

但公司就是靠这些琐碎活着。

一个团队让每个人自己装一堆 MCP、plugin、skill，短期看是效率，长期看就是安全债。等某个工具拿了不该拿的权限，或者把不该发出去的上下文带出去了，再回头补规则，就会很难看。

如果你只是自己写点代码，看到好插件就试，这条更新和你关系不大。

但下面几类人，应该看一眼：

这些人真正要问的问题，会从“还能接什么”，换成“哪些东西默认不许接”。

AI 工具的上半场，是个人把插件装满。

企业落地的下半场，是公司把入口收窄。

这听起来没那么热闹，但更像 Agent 真正进入工作流的样子。

能接很多工具当然好。

知道什么时候不该接，才开始像工程。