Configuração do Agente Copilot Cloud com a API REST

O GitHub adicionou uma API REST em pré-visualização pública em 18 de maio de 2026 para auditar a configuração do agente de nuvem Copilot de um repositório. O endpoint é importante porque o agente de nuvem Copilot não é mais apenas uma configuração de assistente do lado do editor. Ele pode herdar servidores MCP em nível de repositório, ferramentas de revisão habilitadas, política de aprovação de fluxo de trabalho e configuração de firewall. Essas são exatamente as superfícies que um revisor de segurança ou proprietário de plataforma precisa inspecionar antes de escalar a adoção do agente.

Este artigo é um fluxo de trabalho de auditoria prático, não uma afirmação de que a Effloow acessou uma organização GitHub ao vivo. O Effloow Lab executou uma verificação da API OpenAI limitada contra uma configuração sintética do agente de nuvem Copilot e salvou a nota pública do laboratório em /lab-runs/github-copilot-cloud-agent-config-audit-api-2026. O modelo classificou amplo acesso a ferramentas MCP, verificações de dependência desativadas, aprovação de fluxo de trabalho de Ações desativada, ferramentas de ticketing com capacidade de escrita e listas de permissão de firewall com curingas como itens que valem a pena revisar. Isso é útil como um impulso para triagem, mas não é um substituto para uma chamada real da API do repositório.

Use este tutorial para construir um pequeno script de auditoria, definir os campos que seus revisores se importam e decidir quando o agente de nuvem Copilot está pronto para um repositório versus quando precisa de permissões mais restritas.

As fontes primárias para este guia incluem o anúncio do changelog de 18 de maio de 2026, o índice da API REST Copilot, o endpoint de gerenciamento de repositório do agente de nuvem, a visão geral do agente de nuvem Copilot, o guia MCP e agente de nuvem Copilot, a documentação de configuração do MCP do repositório, a documentação do firewall do agente de nuvem, e a documentação de gerenciamento de agentes empresariais do GitHub.

O Que Você Vai Construir

Você construirá uma auditoria em nível de repositório que chama o endpoint de configuração do agente de nuvem Copilot do GitHub e transforma a resposta em uma lista de verificação de governança. O endpoint documentado atualmente é:

GET /repos/{owner}/{repo}/copilot/cloud-agent/configuration

A documentação REST do GitHub para a versão da API 2026-03-10 diz que o endpoint está em pré-visualização pública e retorna a configuração do agente de nuvem Copilot para um repositório, incluindo configuração do servidor MCP, ferramentas de revisão habilitadas, configurações de aprovação de fluxo de trabalho de Ações e configuração de firewall. A mesma documentação lista opções de token e diz que tokens de granularidade fina precisam de "permissão de repositório de configurações do agente Copilot" com acesso de leitura. Tokens de aplicativo OAuth clássicos e tokens de acesso pessoal clássicos precisamrepo` scope.

A saída da auditoria deve responder a cinco perguntas:

• Quais servidores MCP o agente pode usar?
• As ferramentas estão explicitamente permitidas ou amplamente expostas?
• As verificações de CodeQL, revisão de código Copilot, verificação de segredos e verificações de vulnerabilidade de dependência estão habilitadas?
• A aprovação do fluxo de trabalho de Ações é necessária?
• O firewall está habilitado e quão ampla é a lista de permissão personalizada de saída?

Isso é valioso para compradores porque transforma "ativamos agentes de codificação" em uma política inspecionável. Se um fornecedor não puder mostrar a superfície da ferramenta configurada, a política de fluxo de trabalho e o limite de rede, a implementação do agente não está pronta para adoção ampla.

Pré-requisitos

Você precisa de um repositório GitHub onde as configurações do agente de nuvem Copilot sejam relevantes, um token permitido para ler a configuração e um plano/contexto do GitHub onde o agente de nuvem Copilot pode ser habilitado. A documentação do agente de nuvem Copilot do GitHub diz que o agente está disponível para planos pagos do Copilot, enquanto usuários do Copilot Business e Enterprise precisam de um administrador para habilitar a política relevante. Os proprietários de repositórios também podem optar por excluir repositórios.

Para um script de auditoria local, instale apenas ferramentas padrão:

bash
mkdir copilot-agent-config-audit
cd copilot-agent-config-audit
touch audit-copilot-agent-config.sh
chmod +x audit-copilot-agent-config.sh


Saída esperada:

text
audit-copilot-agent-config.sh é executável


Você também precisa de um token no seu shell. Não cole-o no controle de versão:

bash
export GITHUB_TOKEN="ghp_or_fine_grained_token_here"
export OWNER="sua-org"
export REPO="seu-repo"


A saída esperada é intencionalmente silenciosa. Se você imprimir segredos durante a configuração, corrija o script antes de usá-lo com qualquer repositório real.

Passo 1: Chame o Endpoint de Configuração

Comece com o menor comando curl possível. O GitHub recomenda Accept: application/vnd.github+json e o cabeçalho X-GitHub-Api-Version para chamadas REST.

bash
curl -sS -L \
-H "Accept: application/vnd.github+json" \
-H "Authorization: Bearer ${GITHUB_TOKEN}" \
-H "X-GitHub-Api-Version: 2026-03-10" \
"https://api.github.com/repos/${OWNER}/${REPO}/copilot/cloud-agent/configuration"


A forma de sucesso esperada, com base no exemplo padrão documentado do GitHub:

json
{
"mcp_configuration": null,
"enabled_tools": {
"codeql": true,
"copilot_code_review": true,
"secret_scanning": true,
"dependency_vulnerability_checks": true
},
"require_actions_workflow_approval": true,
"is_firewall_enabled": true,
"is_firewall_recommended_allowlist_enabled": true,
"custom_allowlist": []
}


Os modos de falha esperados incluem 401 para autenticação ausente, 403 para acesso insuficiente, 404 quando o recurso não é visível para o token, e 500 para erros do lado do servidor. O endpoint está em pré-visualização pública, então trate o esquema como algo que seu script deve validar defensivamente em vez de assumir para sempre.

Passo 2: Normalize os Campos para Revisão

O JSON bruto é útil, mas os revisores precisam de um resumo estável. Salve a resposta em um arquivo e extraia apenas os campos que afetam a governança.

`bash
curl -sS -L \
-H "Accept: application/vnd.github+json" \
-H "Authorization: Bearer ${GITHUB_TOKEN}" \
-H "X-GitHub-Api-Version: 2026-03-10" \
"https://api.github.com/repos/${OWNER}/${REPO}/copilot/cloud-agent/configuration" \

copilot-cloud-agent-config.json

jq '{
has_mcp_configuration: (.mcp_configuration != null),
enabled_tools,
require_actio