Agent 运行时治理

这两天最值钱的不是某个单点功能，而是各家开始把 agent 需要的控制面补齐。runner、firewall、signed commits、skills、OpenTelemetry、HITL 和 toolchain coverage 放在一起看，已经能看到 agent 从 demo 走向 production 的轮廓。

Key Conclusions

• 2026-03-31 到 2026-04-03 的高信号几乎都来自 GitHub 和 Google，主题非常一致: agent 正在从“会写代码”进入“可被组织级治理”的阶段。
• GitHub 的 runner、firewall、signed commits、SDK 和 branch workflow 说明 agent runtime 已经开始和 CI/CD 控制面合流。
• Google 的 ADK 重点不在 benchmark，而在 skills、OpenTelemetry、HITL、YAML 和 plugin system 这些生产接口。
• 模型发布只有在同步给出 deployment / toolchain 支持时才值得升权，Gemma 4 的价值在于 day-one serving 覆盖，而不是单纯“更强模型”。

Selected Signals

1. Organization runner controls for Copilot cloud agent

• Source: GitHub Changelog
• Date: 2026-04-03
• Type: release
• Tags: github, copilot, cloud-agent, runners, org-governance

Copilot cloud agent 的执行环境现在由组织层来定义，runner 不再只是产品默认值。

• 这让 agent runtime 直接接入企业的算力、网络和合规治理。
• 如果你在评估 agent 平台，runner、镜像、网络、隔离域和审计链路都应该单独看。

2. Organization firewall settings for Copilot cloud agent

• Source: GitHub Changelog
• Date: 2026-04-03
• Type: improvement
• Tags: github, copilot, firewall, prompt-injection, data-exfiltration

GitHub 把 firewall 从仓库级配置提到组织级控制，这意味着网络出口开始成为 agent 的默认安全边界。

• 如果 agent 要联网抓取、拉代码或调用外部工具，先定 egress control 和 allowlist，再谈能力扩展。
• 这个变化的价值不在“多了一个开关”，而在于安全边界终于可以统一管理。

3. Copilot cloud agent signs its commits

• Source: GitHub Changelog
• Date: 2026-04-03
• Type: improvement
• Tags: github, copilot, signed-commits, provenance, audit

Copilot cloud agent 生成的提交开始自动签名，并在 GitHub 上显示为 Verified。

• 这让 agent 产出进入和人类开发者一致的 provenance 与审计链。
• 对有分支保护的仓库来说，signed commits、bot identity 和 approval hooks 现在都是平台硬门槛。

4. Copilot SDK in public preview

• Source: GitHub Changelog
• Date: 2026-04-02
• Type: sdk
• Tags: github, copilot, sdk, observability, permissions, byok

GitHub 把 Copilot runtime 暴露成 SDK，并带上 custom tools、custom agents、streaming、OpenTelemetry、permission framework 和 BYOK。

• 重点已经不是模型 API，而是可观测、可审批、可嵌入的 agent runtime。
• 做内部平台时，可以直接把 tracing 和 permission interception 当原生能力，而不是事后补丁。

5. Research, plan, and code with Copilot cloud agent

• Source: GitHub Changelog
• Date: 2026-04-01
• Type: workflow
• Tags: github, copilot, research, planning, branch-workflow, async-agent

Copilot cloud agent 现在可以先 research、再 plan、再在分支上执行。

• agent 的默认工作单元从“一次性补丁生成”变成了分阶段的软件任务处理。
• 如果你的任务包含调研、重构或知识整理，这个拆法比单轮生成更接近真实工程节奏。

6. Developer’s Guide to Building ADK Agents with Skills

• Source: Google Developers Blog
• Date: 2026-04-01
• Type: engineering
• Tags: google, adk, skills, modularity, agent-architecture

Google 把 skills 讲成 ADK 里的正式结构，用来管理能力、上下文边界和代理协作。

• skills 已经从“可复用经验包”上移成了“可组合的软件抽象”。
• 设计 skill 时，先看职责切分、触发条件、上下文边界和调用链，再看具体知识点。

7. ADK Go 1.0 Arrives!

• Source: Google Developers Blog
• Date: 2026-03-31
• Type: sdk
• Tags: google, adk, go, opentelemetry, hitl, yaml, plugins

ADK Go 1.0 直接强调 OpenTelemetry、Plugin System、Human-in-the-Loop confirmations 和 YAML agent definitions。

• 这说明 ADK 的重点已经是可观测、可扩展、可干预、可移植的生产型 agent。
• 如果你在挑 framework，先看 tracing、plugins、HITL 和 declarative config 是否齐。

8. Gemma 4: Our most capable open models to date

• Source: Google Blog
• Date: 2026-04-02
• Type: model-release
• Tags: google, gemma, open-models, deployment, toolchain

Gemma 4 的高信号点不是 benchmark，而是 day-one 覆盖 Hugging Face、vLLM、llama.cpp、MLX、Ollama、NVIDIA NIM、NeMo、SGLang 等工具链。

• 模型发布和 serving 生态几乎同步，生产接入的摩擦少了很多。
• 对选型来说，能不能直接接入工具链，比单独看分数更重要。

Signal Technique

• Name: 先筛治理面，再看能力面
• Why it matters: 真正有价值的更新都不在 benchmark，而在 runner、firewall、signed commits、OTel、permissions、HITL、YAML 和 skills 这些可复用接口。
• How to use it: 先问一篇内容是否新增了 org/runtime contract；如果只是功能宣传、案例包装或 benchmark 展示，没有接口、治理、工作流或部署细节，就直接降权。
• Where it applies: 适用于 agent SDK、平台更新、模型发布、企业治理能力、自动化工作流和框架选型。

Observations

• GitHub 在 2026-04-03 这组三连更里，把 agent 当成了需要统一 runner、统一网络边界和统一提交身份的软件执行体。
• Anthropic 和 Google 的材料都更偏方法和接口，而不是功能噱头，这类内容更适合进入长期知识库。
• Google 本轮最值得跟踪的是 skills 分层和 ADK Go 的生产接口，而不是泛化的 agent 叙事。

Promotion Candidates

• Organization runner controls for Copilot cloud agent -> weekly / knowledge/infrastructure/ / knowledge/governance/
• Organization firewall settings for Copilot cloud agent -> weekly / knowledge/governance/ / knowledge/security/
• Copilot cloud agent signs its commits -> weekly / knowledge/workflows/ / knowledge/governance/
• Copilot SDK in public preview -> main / knowledge/tool-use/ / knowledge/plugins/
• Research, plan, and code with Copilot cloud agent -> weekly / knowledge/workflows/
• Developer’s Guide to Building ADK Agents with Skills -> weekly / knowledge/skills/
• ADK Go 1.0 Arrives! -> weekly / knowledge/frameworks/ / knowledge/infrastructure/
• Gemma 4: Our most capable open models to date -> weekly / knowledge/models/ / knowledge/inference/