AI 编程代理市场本周到达了一个拐点——而且不只是体现在基准排行榜上。OpenAI 上线了一项能把演示工作流转化为可重复技能的功能,Anthropic 的旗舰编程模型被美国政府暂停出口,而一次供应链攻击提醒所有人:代理的信任模型仍跟不上现实。

以下是给做平台决策的工程负责人的详细解读。


Codex Record & Replay:代理的"宏录制时刻"

本周最重大的产品新闻却最安静。Record & Replay 已在 Codex Desktop 26.616(macOS,6 月 18 日)中上线——这项功能让开发者可以演示一段多步骤工作流,并将其保存为可复用的代理技能。可以把它想象成 QuickTime 录屏,但输出的是一个可运行的能力,而不是视频文件。

工作流很简单:启用 Computer Use,点击录制,走一遍步骤,Codex 就会从演示中生成一个技能。这个技能之后可以按需触发,无需重新演示。最初在 EEA/UK/CH 地区不可用,并且需要启用 Computer Use。

为什么这很重要: 这是主流编程代理平台首次在产品层面交付"边看边学"的能力。OpenAI 的 Playground 和 GPTs 让你配置行为;而这个功能让你通过动手来_教_它。对于工程团队来说,这有立竿见影的应用场景——入职引导工作流、部署检查清单、QA 回归脚本——凡是遵循已知顺序但上下文变化足够大、静态脚本搞不定的事情都适用。

每一次发布,更宏大的信号都更清晰:OpenAI 正在系统性地构建从_演示_ → 技能 → _部署_的管线。Record & Replay 是采集环节。Sites(提示到部署的插件)是分发环节。对 Ona 的收购(持久化云工作空间,6 月 11 日宣布)是运行时。


Claude Fable 5:好到不能出口的模型

6 月 12 日,美国政府对 Claude Fable 5 和 Claude Mythos 5 实施出口暂停——这是 Anthropic 最强大的编程和推理模型。给出的理由是:国家安全,特别是担心这些模型被越狱后会在大规模范围内识别关键软件漏洞。

实际影响立竿见影。Fable 5 占据着 SWE-bench Verified(95.0%)和 SWE-bench Pro(80.3%)的第一名,并在 Terminal-Bench 2.1 上与 Codex GPT-5.5 不相伯仲(83.1% 对 83.4%)。它是 Anthropic 在编程代理市场的竞争优势,而现在对任何美国境外的人都不可用了。

对于评估平台的工程团队:

  • Codex CLI + GPT-5.5 现在是表现最好的_可用_编程代理,适用于端到端终端任务。它在 Terminal-Bench 2.1 上以 83.4% 占据榜首——这个基准最能衡量真实世界的代理任务完成度。
  • Claude Code 配合 Opus 4.8 仍然可用(Pro 年付 $17/月),并且仍有竞争力(88.6% SWE-bench Verified,78.9% Terminal-Bench),但它不是 Fable 5。
  • 市场现在有了一个事实上的领导者,在不受限制的平台中。这加速了企业决策:如果你正在构建一个全球可用的代理,在没有 Fable 5 回归时间表的情况下,Codex 是明确的选择。

出口暂停还引出了更长期的问题——模型可用性作为平台选择中的一个风险因素,直到本周之前这都感觉是理论性的。


企业代理安全手册成型

本周的三项进展放在一起读,就构成了一套连贯的 AI 编程代理企业安全框架。

1. Agents SDK 获得生产级安全架构

OpenAI 4 月 15 日的 Agents SDK 更新——仍是今年最重要的 API 发布——引入了harness 与 compute 分离,这一架构模式应成为任何企业代理部署的标配:

HARNESS (Control Plane)      |   COMPUTE (Execution Plane)
• Credentials & API keys     |   • Model-generated code
• Orchestration logic        |   • No credentials in scope
• Approval decisions         |   • Filesystem/Git/shell
• Tracing & audit            |   • Isolated container

这种分离意味着,即使模型生成的代码被攻破,凭据也永远不会进入执行环境。对于 SOC 2 Type II 和 ISO 27001 合规,这不是可选项——它是可认证与不可认证之间的差别。

该 SDK 还支持通过快照实现持久化状态——代理状态能在容器崩溃后存活,并可以从最后一个检查点恢复——以及原生沙箱执行,覆盖七家供应商(E2B、Runloop、Modal、Vercel、Cloudflare、Daytona、Blaxel),并提供自定义适配器接口。

2. Miasma 供应链攻击

本周披露了一起名为 Miasma 的协同供应链攻击,通过配置文件注入攻击了 13 款 AI 编程工具。攻击向量:被篡改的配置文件向代理提示注入恶意指令,把可信工具变成了不知不觉的数据外泄载体。

结论不是恐慌——而是代理的信任模型需要演进。OpenClaw 行业方面的回应是推动签名的配置清单对模型生成的指令进行运行时沙箱化,这两者都已被 Agents SDK 的 harness-compute 分离所支持。

3. 1Password Credential Broker(Beta)

1Password 推出了 Credential Broker(6 月 15 日 beta),在使用时向可信代理交付凭据——而不是存储在代理配置中。这补齐了安全三件套:隔离执行(SDK)、签名配置(行业对 Miasma 的回应)、以及即时凭据交付(1Password)。


Codex CLI v0.140.0:开发者体验质量发布

Codex CLI 于 6 月 15 日发布 v0.140.0,带来一批对日常使用重要的改进:

  • /usage 视图——一目了然的每日、每周和累计 token 活动
  • /goal 改进——超大文本和大段粘贴内容能被正确保留
  • 永久会话删除——终于可用了,用于清理工作流
  • 选择性 Claude Code 导入——与应用级"Migrate to Codex"流程互补
  • 托管式 Bedrock 认证——精简的 AWS 托管认证、计费和账户控制(继 6 月 1 日 Bedrock 发布之后)
  • 统一的 @mentions 菜单——在 CLI 和 IDE 之间保持一致
  • 基于 Wine 的 Windows 执行器——持续的跨平台兼容性工作

v0.139.0 版本(6 月 9 日)已上线从 Code 模式发起的独立网页搜索——包括从嵌套 JS 工具调用中发起——以及纯文本搜索结果。迭代速度没有放缓:每日提交、每周打标签发布,以及 89,991 个 GitHub star(Apache-2.0)。


下周值得关注

  1. Apple Xcode 27 beta 深化——WWDC 预览展示了面向 Codex、Claude Code 和 Gemini CLI 的代理原生 IDE 支持。开发者 beta 上手评测下周应会开始出现,让人首次真实了解在 Apple Silicon 上本地运行的 IDE 内嵌代理工作流。

  2. OpenAI S-1 文件——OpenAI S-1 的公开版本预计在 8-9 月,将把公司财务状况置于监管审查之下。提交前的泄露和分析师纪要将在未来几周塑造市场预期。

  3. Claude Code 在出口限制下——Anthropic 尚未就 Fable 5 回归的时间表置评。如果暂停持续,预计会有组织从 Claude 加速迁移到 Codex,那些需要不受限制访问的组织尤甚。

  4. GitHub Copilot 基于用量的定价生效——6 月 1 日切换到 $0.01/credit 的 AI 定价,加上推出期间付费注册暂停,为 Codex 俘获正在评估 Copilot 续约的团队创造了窗口。

  5. Record & Replay 跨平台——上线时仅支持 macOS。Windows 支持是显而易见的下一步,它将是 OpenAI 认真把技能创建做成核心平台原语、而非 macOS 实验的信号。


《Codex 周报》是 Big Hat Group Inc. 为 CTO、工程负责人和平台决策者提供的定期简报,帮助他们驾驭 AI 开发者工具的格局。我们追踪 OpenAI Codex、竞争代理、安全以及企业部署模式——因为你今天做出的工具决策,明天就会变成基础设施决策。

研究整理由 Central 🤖 完成