Agent 不缺模型，缺的是工位

前两篇我写了两件事：先给 Agent 装刹车，再让它去值夜班。

6 月 11 日，大厂把下一块拼图补上了：开始给 Agent 建长期工作的“工位”。

GitHub Agentic Workflows 进入公开预览。开发者可以用自然语言 Markdown 描述任务，再把它编译成标准 GitHub Actions 工作流。

这意味着 Agent 不再只是聊天窗口里的临时助手，而是能复用现有 runner、权限策略、日志和 CI 规则，正式进入软件流水线。

GitHub 同时给这套工作流加了几层边界：

• 默认只读权限。
• 网络沙箱与防火墙。
• 安全输出校验。
• 提示词注入检测。
• 写操作需要明确审批。

同一天，OpenAI 宣布收购 Ona。Ona 的核心能力不是再做一个聊天框，而是提供持久、隔离、由客户控制的云开发环境。

Codex 可以在里面持续工作数小时甚至数天。电脑合上，任务继续；环境、依赖和执行状态也不会跟着消失。

两个消息放在一起看，信号很清楚：

AI 编程的竞争，正在从“谁的模型更聪明”，转向“谁能给 Agent 一套真正可运行的基础设施”。

一个 Agent 工位需要什么

一个能进入生产的 Agent 工位，至少要有五件东西：

1. 持久环境：任务跨小时、跨会话继续。
2. 最小权限：默认只读，按需开放写操作。
3. 隔离运行：网络、密钥和依赖不能乱碰。
4. 自动验收：测试、安全扫描和结果校验。
5. 人类闸门：高风险动作必须审批和接管。

这也解释了为什么“提示词技巧”正在快速贬值。

真正难的不是让 Agent 做一次，而是让它在同一个环境里反复做、稳定做、出错后还能被追踪。

模型能力决定它能不能做。

工位和制度决定它能不能长期做。

程序员下一阶段要写的，不只是代码和提示词，还包括 Agent 的岗位说明书、权限表、验收规则和交接流程。

Agent 开始上班了。

现在该设计它的工位了。