GitHub Copilot 隨 VS Code 4 月發布推出迄今後果最重大的更新之一——Bring Your Own Key(BYOK)、agent 的即時瀏覽器分享、終端機存取,以及跨工作區的語意搜尋。Rubber Duck 跨模型審查 agent 走向雙向,GitHub 的 MCP Server 達到新的成熟里程碑,而企業管理員獲得託管 CLI 外掛等新的治理槓桿。以下是本週 Copilot Weekly 中對工程團隊最重要的所有內容。


VS Code 4 月發布:Agent 工作流程重置

VS Code 1.116–1.119 於 5 月 6 日落地,帶來從根本重塑開發者在 IDE 中與 Copilot 互動方式的 agent 模式功能。來源

Bring Your Own Key(BYOK)

Copilot BusinessEnterprise 使用者現在可連結自己的 API 金鑰——來自 OpenRouter、Microsoft Foundry、Google、Anthropic、OpenAI,或透過 Ollama 的本機模型——直接在 VS Code 聊天中使用。管理員透過 GitHub.com 上的「Bring Your Own Language Model Key」政策控制存取。重要性: BYOK 將 Copilot 訂閱與模型選擇解耦。有協商 API 合約、區域限制模型需求或尖端預覽需求的團隊,不再需要等待 GitHub 加入。

企業角度: 跨組織設定 BYOK 需要圍繞合規、成本追蹤與金鑰治理的審慎規劃。我們的 AI 與自動化實務協助企業評估與既有採購和安全政策一致的模型採購策略。

終端機存取與瀏覽器分享

Agent 現在可讀取並寫入既有的前景終端機,包括執行中的 REPL 與互動式腳本。另外,agent 可依需求分享分頁來存取使用者的即時瀏覽器——閱讀內容、與頁面互動,並即時驗證變更。重要性: 終端機向來是 coding agent 的盲點;現在 agent 可在除錯中診斷執行中程序並檢查伺服器日誌。結合瀏覽器存取,這讓 agent 能與執行中的應用端對端互動——從程式碼產生到執行階段驗證。

跨工作區語意搜尋

Agent 現在可跨任何工作區依意義搜尋,並使用新的 githubTextSearch 工具跨 GitHub 儲存庫與組織執行 grep 風格查詢。重要性: 語意搜尋大幅改善命名慣例各异的大型程式庫中的情境尋找——「session timeout handling」即使實作使用「token expiry」或「auth window」也能找到相關程式碼。

其他出貨內容

  • 聊天中的行內 diff——程式碼變更直接以 diff 呈現在聊天串中。
  • /chronicle(實驗性)——查詢自己的聊天歷史以回憶過去工作階段與 PR。
  • 更低 token 用量——更智慧的 prompt 快取與延遲工具載入減少消耗。
  • 遠端 CLI 工作階段引導——在 VS Code 啟動的 Copilot CLI 工作階段可從 GitHub.com 或 GitHub Mobile 監控(實驗性)。
  • Agent 外掛(預覽)——預先打包的技能、agent、hook 與 MCP 伺服器套件,可從市集發現並透過工作區設定集中推薦。

Rubber Duck 走向雙向

Copilot CLI 中的 Rubber Duck 跨家族審查 agent 現在雙向運作:

  • GPT 工作階段使用者: 獲得 Claude 驅動的 Rubber Duck 作第二意見。
  • Claude 工作階段使用者:GPT-5.5 作為審查模型配對(升級)。

/experimental on來源

重要性: 跨家族審查利用不同模型架構的互補優勢。先前的文章顯示 Claude Sonnet + Rubber Duck 在 SWE-Bench Pro 上縮小了 Sonnet 與 Opus 之間 74.7% 的效能差距。本週將此能力延伸至兩個家族——每位開發者無論主要選擇為何,都能獲得不同模型的觀點。對擔心單一模型盲點的企業而言,這是實用的避險。


MCP Server 里程碑

透過 GitHub MCP Server 的密鑰掃描現已正式推出——MCP 相容的 agent 可在 commit 或 PR 前掃描暴露的密鑰,並遵守既有的 push protection 自訂。來源

依賴項掃描進入公開預覽,對照 GitHub Advisory Database 檢查變更並回傳結構化結果,含受影響套件、嚴重度與修復版本。來源

重要性: 這些將 MCP Server 轉變為 commit 前的安全閘門。密鑰掃描的 GA 認證標誌著生產就緒——agent 能作為工作流程一部分自動檢查密鑰與漏洞,在問題到達 PR 前就捕捉到。


企業管理

託管 CLI 外掛——公開預覽

企業管理員可透過位於 .github-private/.github/copilot/settings.jsonsettings.json,集中設定並分發外掛給 Copilot CLI 使用者。當 Business 或 Enterprise 使用者以 Copilot CLI 驗證時,外掛會自動安裝。來源

重要性: 沒有集中 CLI 管理,每位開發者各自設定外掛——造成不一致與安全缺口。這讓管理員能強制標準工具鏈,同時仍允許客製化。

Cloud Agent:組織層級密鑰

Copilot cloud agent 現有專屬的「Agents」區段用於密鑰與變數。管理員首次可在組織層級設定這些密鑰,並跨儲存庫共享,附帶每儲存庫存取控制。來源

企業角度: 集中化密鑰管理是大規模 AI 治理的基本要求。全組織採用 Copilot agent 的團隊應將此與結構化的 AI 自動化實務搭配,以維護稽核軌跡與存取控制。

程式碼審查指標更細粒度

用量指標 API 現公開 copilot_suggestions_by_comment_type,依類別(securitybug_risk)細分建議,附總計與採用計數。來源


模型棄用:三個模型同時變動

多個模型棄用需要注意:

  • Claude Sonnet 4——5 月 6 日棄用。切換至 Claude Sonnet 4.6。
  • GPT-4.1——6 月 1 日棄用。切換至 GPT-5.5。
  • Grok Code Fast 1——依 xAI 要求加速至 5 月 15 日。替代:GPT-5 mini 或 Claude Haiku 4.5。

來源(Claude) | 來源(GPT-4.1) | 來源(Grok)

重要性: Grok 的加速時間表剩下不到一週可遷移。GPT-4.1 團隊有到 6 月 1 日——這也正好是 Copilot code review 開始為私有儲存庫消耗 GitHub Actions 分鐘數之時。這是審計模型選擇與即將到來成本影響的好時機。來源(AI Credits)


本週另記

  • Token 效率深入解析——GitHub 發表如何對生產代理式工作流程進行監測,發現未使用的 MCP 工具註冊每次呼叫增加 8–12 KB 額外負擔。以 gh CLI 呼叫取代 GitHub MCP 呼叫來擷取資料,消除了完整的 LLM 往返。對大規模執行 agent 的團隊是必讀。來源

  • Enterprise Live Migrations——公開預覽——在幾分鐘內以資料駐居與零停機切換,將儲存庫從 GHES 遷移至 GHEC。隨 GHES 3.17.14+ 出貨。來源

  • Code-to-cloud 風險可視性——正式推出——Defender for Cloud 將容器映像關聯回原始儲存庫,並在 GitHub Advanced Security 中新增執行階段情境篩選。來源

  • Datadog Copilot 整合——依團隊/語言/IDE/儲存庫追蹤補完、聊天、agent 模式與 CLI 指標,外加 GA MCP Server 用於即時可觀測性資料存取。來源

  • 審查 agent 產生 PR 的指南——在技術債出貨前捕捉到的實用建議。來源


值得關注

  • 5 月 15 日:Grok Code Fast 1 棄用——加速進行。立即測試 GPT-5 mini 或 Claude Haiku 4.5。
  • 6 月 1 日:GPT-4.1 棄用 + AI Credits 強制執行——兩項變更同時到來。同時審計模型選擇與程式碼審查成本。
  • Docker Extension for Copilot(有限 Beta)——容器化指引、Dockerfile 產生,以及 Node、Python、Java 的 Docker Scout 漏洞分析。來源
  • MCP Registry 擴展——基礎設施(Azure、Terraform)、資料庫(MongoDB、Elasticsearch)與設計(Figma、Webflow)伺服器現已上架。

本週的 Copilot Weekly 就到這裡。光是 VS Code 4 月更新就值得關注,但結合雙向 Rubber Duck 審查、MCP Server 成熟與新企業治理工具,這是本週在每個面向——從個別開發者的 IDE 到管理員控制台——都推進了 Copilot 的一週。

在你的組織中運用這些能力。 無論你正在評估 BYOK 設定、推行 MCP Server 安全掃描,或建立企業 AI 治理策略,Big Hat Group 都能協助。聯絡我們的團隊探索我們的 AI 與自動化服務

下週再見最新消息。