GitHub 在 2026 年 6 月 10 日宣布,Copilot CLI 新增 dedicated security review command。这个更新的重点,是把 AI 辅助安全检查放到开发者本机流程里,让问题有机会在 commit 或 pull request 之前被发现。
AI coding workflow 最大的风险之一,是速度提升后,错误和安全债务也可能更快进入 codebase。传统做法通常依赖 CI、CodeQL、dependency scanning 或人工 review,但这些步骤往往发生在改动已经准备提交之后。
Copilot CLI 的 security review command 代表另一个方向:开发者可以在命令行直接要求 Copilot 检查当前改动。这种方式更贴近日常开发节奏,尤其适合在修 bug、加功能、处理 agent 生成 patch 之后做第一层安全过滤。
这不等于可以取代正式安全审查。相反,它更像是把安全 feedback 提前,减少明显问题进入 PR 的概率。真正的企业流程仍然需要 CI、branch protection、dependency policy、secret scanning 和人工责任界线。
值得留意的是,GitHub 最近连续把安全能力放进 agent 和 CLI workflow。前一天它已把第三方 coding agents security validation 推到 GA,今次再加入本机 security review command,显示 GitHub 正把安全检查变成 AI coding 产品的一部分,而不是外挂式事后补救。
对开发团队来说,实际做法会是分层防守。本机 CLI review 负责快速提示,PR 层负责自动扫描和 policy,人工 review 负责业务判断和架构风险。当 AI agent 参与写代码,这种多层验证会变得更重要。
这次更新的讯号很直接:AI 编程工具正在由「帮你写得更快」走向「帮你在更早阶段避免明显风险」。速度和安全不应分开设计,否则 agent 越能交付,团队越需要花时间回收风险。
