Zabezpieczenia, zagrożenia i ograniczenia Agenta Copilot Cloud

  • 5 min

Agent chmury Copilot w usłudze GitHub został zaprojektowany od podstaw, mając na uwadze bezpieczeństwo i ład. Chociaż odblokuje nowe sposoby delegowania pracy do agenta autonomicznego, działa wewnątrz istniejących barier ochronnych organizacji i dodaje własne zabezpieczenia. W tej lekcji wyjaśniono, jak agent wymusza zasady zabezpieczeń, podkreśla czynniki ryzyka i środki zaradcze, o których należy pamiętać, i określa oczekiwania dotyczące bieżących ograniczeń.

Po zakończeniu tej jednostki będziesz mieć następujące możliwości:

  • Opis modelu bezpieczeństwa i wbudowanych mechanizmów ochrony systemu Copilot Cloud Agent.
  • Zidentyfikuj główne ryzyka związane z używaniem agenta oraz środki zaradcze stosowane przez GitHub.
  • Rozpoznaj znane ograniczenia oraz zgodność przepływu pracy agenta, aby móc odpowiednio zaplanować jego użycie.

Model zabezpieczeń i wbudowane zabezpieczenia

Zabezpieczenia są podstawą agenta Copilot Cloud. Uwzględnia istniejące mechanizmy kontroli i stosuje własne bariery ochronne, aby zapewnić bezpieczeństwo przepływów pracy:

  • Z zastrzeżeniem zarządzania — ustawienia organizacyjne i korporacyjne zarządzają dostępnością; wszystkie polityki zabezpieczeń nadal mają zastosowanie do agenta.
  • Środowisko z ograniczeniami — agent działa w piaskownicy w ramach GitHub Actions z ograniczonym dostępem do Internetu i dostępem tylko do odczytu do twojego repozytorium.
  • Limity gałęzi — może tworzyć i wypychać tylko do gałęzi rozpoczynających się od copilot/, a wszystkie zabezpieczenia gałęzi i wymagane kontrole nadal mają zastosowanie.
  • Świadomość uprawnień — agent odpowiada tylko użytkownikom posiadającym uprawnienia do zapisu. Komentarze innych użytkowników są ignorowane.
  • Reguły współpracowników zewnętrznych — wersje robocze PR (żądania ściągnięcia) od agenta wymagają zatwierdzenia przez użytkownika z uprawnieniami zapisu przed uruchomieniem Akcji. Osoba, która zażądała żądania ściągnięcia, nie może go zatwierdzić.
  • Zgodność i przypisywanie autorstwa — wszystkie commity są współtworzone przez dewelopera, który przypisał zadanie lub zażądał PR, więc przypisanie jest jasne. Istniejące reguły "wymaganych zatwierdzeń" pozostają nienaruszone.

Czynniki ryzyka i środki zaradcze

Mimo że agent chmury Copilot jest zbudowany z myślą o bezpieczeństwie, nadal istnieją zagrożenia, które należy zaplanować. Usługa GitHub stosuje środki zaradcze w celu ich zmniejszenia:

  • Ryzyko: Agent przesyła kod

    Środki zaradcze: Tylko użytkownicy z dostępem do zapisu mogą wyzwalać działania agenta. Wypychania są ograniczone do copilot/gałęzi (nie main/master). Poświadczenia agenta umożliwiają tylko proste przesyłanie (bez bezpośredniego git push). Przepływy pracy GitHub Actions nie będą uruchamiane, dopóki użytkownik z uprawnieniami do zapisu nie kliknie przycisku "Zatwierdź i uruchom przepływy pracy". Osoba żądająca nie może zatwierdzić żądania ściągnięcia agenta, utrzymując wymagane zatwierdzenia.

  • Ryzyko: dostęp do poufnych informacji

    Łagodzenie: Dostęp do Internetu agenta jest domyślnie ograniczony przez zaporę; zaporę można dostosować lub wyłączyć zgodnie z polityką.

  • Ryzyko: Monitowanie iniekcji

    Łagodzenie: Znaki ukryte (takie jak komentarze HTML) są filtrowane przed przekazaniem wejścia od użytkownika do agenta. Zmniejsza to prawdopodobieństwo ukrytych szkodliwych instrukcji w komentarzach lub problemach.

Te kontrolki zapewniają bezpieczny punkt odniesienia do korzystania z agenta, ale nadal należy uważnie przeglądać dane wyjściowe tak samo jak kod napisany przez dowolnego członka zespołu.

Znane ograniczenia

Ograniczenia przepływu pracy

  • Może wprowadzać zmiany tylko w tym samym repozytorium co przypisane zgłoszenie lub pull request.
  • Zakres kontekstu jest domyślnie ograniczony do przypisanego repozytorium (można rozszerzyć za pośrednictwem mcp).
  • Otwiera dokładnie jeden pull request dla każdego zadania.
  • Nie można zmodyfikować istniejącego żądania ściągnięcia, które nie zostało przez Ciebie utworzone; zamiast tego dodaj autora żądania jako recenzenta, jeśli potrzebujesz opinii, korzystając z przeglądu kodu za pomocą GitHub Copilot.

Ograniczenia zgodności

  • Nie podpisuje komitów. Jeśli potrzebujesz podpisanych zatwierdzeń, musisz ponownie zapisać historię zatwierdzeń przed scaleniem.
  • Wymaga modułów uruchamianych z systemem Ubuntu x64 hostowanego w usłudze GitHub. Biegacze samodzielnie hostowane nie są obsługiwane.
  • Niedostępne dla repozytoriów osobistych należących do zarządzanych kont użytkowników (runnery niedostępne).
  • Nie uwzględnia wykluczeń zawartości; agent może wyświetlać i aktualizować wykluczone pliki.
  • Zasada "Sugestie dotyczące zgodności z kodem publicznym" nie jest egzekwowana przez agenta; referencje mogą nie być dostępne.
  • Działa tylko z repozytoriami hostowanymi w usłudze GitHub.
  • Nie można zmienić modelu AI używanego przez agenta; jest wybierana przez usługę GitHub.

Gdy zabezpieczenia i granice są jasne, możesz rozpocząć delegowanie pracy, śledzić postęp i iterować wyniki przy użyciu standardowego procesu pracy z pull requestami.