GitHub Copilot 发布了迄今最具影响力的更新之一,伴随 VS Code 4 月发布——Bring Your Own Key(BYOK)、代理的实时浏览器共享、终端访问,以及跨工作区的语义搜索。Rubber Duck 跨模型审查代理实现双向,GitHub 的 MCP Server 达到新的成熟里程碑,企业管理员通过托管 CLI 插件获得新的治理杠杆。以下是本周 Copilot 周报中对工程团队最重要的全部内容。


VS Code 4 月发布:代理工作流重置

VS Code 版本 1.116–1.119 于 5 月 6 日落地,带从根本上重塑开发者在 IDE 中与 Copilot 互动方式的代理模式功能。来源

Bring Your Own Key(BYOK)

Copilot BusinessEnterprise 用户现在可以链接自己的 API 密钥——来自 OpenRouter、Microsoft Foundry、Google、Anthropic、OpenAI,或通过 Ollama 的本地模型——直接在 VS Code 聊天中使用。管理员通过 GitHub.com 上的"Bring Your Own Language Model Key"策略控制访问。为什么重要: BYOK 把 Copilot 订阅与模型选择解耦。有谈判好的 API 合同、区域受限模型需求或前沿预览需求的团队不再需要等待 GitHub 添加它们。

企业视角: 在组织内配置 BYOK 需要围绕合规、成本追踪和密钥治理进行谨慎规划。我们的 AI 与自动化实践帮助企业评估与现有采购和安全策略对齐的模型采购战略。

终端访问与浏览器共享

代理现在可以从现有前台终端读取并写入,包括运行中的 REPL 和交互式脚本。另外,代理可以按需共享用户的实时浏览器标签页——读取内容、与页面交互,并实时验证变更。为什么重要: 终端此前是编程代理的盲点;现在代理可以在调试中途诊断运行进程并检查服务器日志。结合浏览器访问,这使代理能够与运行中的应用进行端到端交互——从代码生成到运行时验证。

跨工作区语义搜索

代理现在可以跨任何工作区按含义搜索,并使用新的 githubTextSearch 工具跨 GitHub 仓库和组织运行 grep 式查询。为什么重要: 语义搜索大幅改进大型代码库中的上下文查找,这些代码库命名约定各异——“session timeout handling"能找到相关代码,即使实现用的是"token expiry"或"auth window”。

还发布了什么

  • 聊天中的内联 diff——代码变更直接以 diff 形式出现在聊天线程中。
  • /chronicle(实验性)——查询你自己的聊天历史以回顾过去会话和 PR。
  • 更低的 token 用量——更智能的提示缓存和延迟工具加载减少消耗。
  • 远程 CLI 会话引导——在 VS Code 中启动的 Copilot CLI 会话可从 GitHub.com 或 GitHub Mobile 监控(实验性)。
  • 代理插件(预览)——预打包的技能、代理、钩子和 MCP 服务器组合,可从市场发现并通过工作区设置集中推荐。

Rubber Duck 实现双向

Copilot CLI 中的 Rubber Duck 跨家族审查代理现在双向工作:

  • GPT 会话用户: 获得一个 Claude 驱动的 Rubber Duck 用于第二意见。
  • Claude 会话用户:GPT-5.5 配对作为审查者模型(已升级)。

需要 /experimental on来源

为什么重要: 跨家族审查利用不同模型架构的互补优势。早前一篇文章显示 Claude Sonnet + Rubber Duck 在 SWE-Bench Pro 上闭合了 Sonnet 与 Opus 之间 74.7% 的性能差距。本周把这一能力扩展到两个家族——每位开发者都获得不同模型的视角,无论其首选是什么。对于担心单一模型盲点的企业,这是一个实用的对冲。


MCP Server 里程碑

通过 GitHub MCP Server 的密钥扫描现已正式可用——兼容 MCP 的代理可以在提交或 PR 前扫描暴露的密钥,尊重现有的推送保护定制。来源

依赖扫描进入公开预览,对照 GitHub Advisory Database 检查变更并返回结构化结果,包含受影响包、严重程度和已修复版本。来源

为什么重要: 这些把 MCP Server 变成提交前的安全门。密钥扫描的 GA 标志着生产就绪——代理可以在其工作流中自动检查密钥和漏洞,在问题进入 PR 之前就捕获。


企业管理

托管 CLI 插件——公开预览

企业管理员可以通过 .github-private/.github/copilot/settings.json 中的 settings.json 集中配置并向 Copilot CLI 用户分发插件。当 Business 或 Enterprise 用户通过 Copilot CLI 认证时插件自动安装。来源

为什么重要: 没有集中式 CLI 管理,每位开发者独立配置插件——造成不一致和安全缺口。这让管理员可以执行标准工具链,同时仍允许定制。

云代理:组织级密钥

Copilot 云代理现在有专门的"Agents"区用于密钥和变量。管理员首次可在组织级配置它们,跨仓库共享并带按仓库的访问控制。来源

企业视角: 集中化密钥管理是大规模 AI 治理的基本要求。全组织采用 Copilot 代理的团队应将其与结构化 AI 自动化实践配对以维护审计追踪和访问控制。

代码审查指标更精细

用量指标 API 现在暴露 copilot_suggestions_by_comment_type,按类别(securitybug_risk)分解建议,带总计和应用计数。来源


模型弃用:三个模型在变动

多项模型弃用需要关注:

  • Claude Sonnet 4——5 月 6 日弃用。切换到 Claude Sonnet 4.6。
  • GPT-4.1——6 月 1 日弃用。切换到 GPT-5.5。
  • Grok Code Fast 1——应 xAI 要求加速至 5 月 15 日。替代:GPT-5 mini 或 Claude Haiku 4.5。

来源(Claude) | 来源(GPT-4.1) | 来源(Grok)

为什么重要: Grok 的加速时间表只剩不到一周迁移。GPT-4.1 团队到 6 月 1 日——也恰逢Copilot 代码审查开始为私有仓库消耗 GitHub Actions 分钟数。这是审计模型选择和即将到来的成本影响的好时机。来源(AI Credits)


本周其他动态

  • Token 效率深度分析——GitHub 发布了他们如何为生产代理式工作流做仪表化,发现未使用的 MCP 工具注册每次调用增加 8–12 KB 开销。将 GitHub MCP 调用替换为 gh CLI 调用进行数据获取消除了完整的 LLM 往返。对于大规模运行代理的团队是必读。来源

  • 企业实时迁移——公开预览——将仓库从 GHES 迁移到 GHEC,带数据驻留和零停机切换,几分钟内完成。随 GHES 3.17.14+ 提供。来源

  • 代码到云风险可见性——GA——Defender for Cloud 将容器镜像关联回源仓库,并在 GitHub Advanced Security 中新增运行时上下文筛选。来源

  • Datadog Copilot 集成——按团队/语言/IDE/仓库追踪补全、聊天、代理模式和 CLI 指标,外加用于实时可观测性数据访问的 GA MCP Server。来源

  • 审查代理生成 PR 的指南——在技术债务上线前捕获它的实用建议。来源


值得关注

  • 5 月 15 日:Grok Code Fast 1 弃用——已加速。立即测试 GPT-5 mini 或 Claude Haiku 4.5。
  • 6 月 1 日:GPT-4.1 弃用 + AI Credits 执行——两项变化交汇。同时审计模型选择和代码审查成本。
  • Copilot 的 Docker 扩展(有限 Beta)——容器化指导、Dockerfile 生成和针对 Node、Python、Java 的 Docker Scout 漏洞分析。来源
  • MCP Registry 扩展——基础设施(Azure、Terraform)、数据库(MongoDB、Elasticsearch)和设计(Figma、Webflow)服务器现已编目。

以上就是本周 Copilot 周报的总结。仅 VS Code 4 月更新就值得注意,但加上双向 Rubber Duck 审查、MCP Server 成熟度以及新的企业治理工具,本周在每个前沿都推进了 Copilot——从个人开发者的 IDE 到管理员的控制面板。

将这些能力在你的组织中落地。 无论你是在评估 BYOK 配置、推出 MCP Server 安全扫描,还是构建企业 AI 治理战略,Big Hat Group 都能提供帮助。联系我们的团队探索我们的 AI 与自动化服务

下周回来关注最新动态。