当模型只给出一段文字,错误通常停留在屏幕上;当智能体能够读取目录、编辑文档、运行脚本、访问网络或发送信息,错误会进入真实环境。本单元不把“更自动”当成目标。目标是让行动始终处在一个可回答的闭环里:它准备做什么、被允许做什么、实际做了什么、结果如何证明、出错怎样恢复。
120 分钟实验路线
- 0–15 分钟:聊天与智能体界面观察;
- 15–25 分钟:计划、权限、命令、日志、确认、Harness 与循环;
- 25–70 分钟:WorkBuddy 专项演示与受控练习,共 45 分钟;
- 70–90 分钟:Claude Code 与 Codex 对照观察,共 20 分钟;
- 90–105 分钟:Git 检查点,共 15 分钟;
- 105–120 分钟:独立完成计划—执行—验证记录并互审。
产品操作共 95 分钟,其中 WorkBuddy 专项严格为 45 分钟。自学者若没有某个产品,可以用“人工扮演智能体”的方式:逐条执行计划、记录命令和文件差异,仍可完成全部方法训练。
核心概念
智能体不是更长的聊天
聊天模型主要产生内容;智能体把模型置于一个行动框架中,可以根据任务调用被允许的工具,再观察结果并决定下一步。这个行动框架常被称为 Harness:它负责把模型、工具、权限、工作目录、上下文、日志、停止条件和人工审批连接起来。
因此,智能体能力不是模型单项能力。相同模型放在不同 Harness 中,能看到的文件、能运行的命令、是否能联网、遇到风险是否询问都可能不同。反过来,产品名字相同,不同账户、版本、组织策略和运行环境也可能呈现不同边界。课堂上只相信当前界面、当前官方说明和本次运行证据。
一次可控循环的七个部件
- 任务契约:目标、输入、禁止事项、输出和验收标准。它回答“完成是什么样”。
- 计划:行动前列出步骤、受影响文件、验证方法与风险点。计划不是装饰;发现计划超范围时应在执行前停下。
- 权限:限定可读目录、可写目录、可运行工具、网络范围和外部账户。默认从最小集合开始,需要时再临时扩大。
- 命令或动作:真正改变状态的操作,例如改文件、执行脚本、访问网页或发送消息。读操作也可能泄露信息,不能一律视为无风险。
- 日志与差异:记录尝试、工具结果、错误和文件变化。最终摘要不能替代原始差异;“说已经完成”也不是完成证据。
- 人工确认:在不可逆、外发、付费、越界或高影响动作之前暂停,由人根据具体动作和对象批准。
- 验证与停止:运行测试、检查文件、核对引用、抽样阅读;满足标准就停止,不满足则回到计划。循环必须有最大步数、时间或失败次数。
计划—行动—观察—调整构成循环。危险通常不来自单次建议,而来自没有停止条件的连续尝试:命令失败后不断换办法、目录不对时扩大权限、结果不佳时反复调用付费服务。一个好任务要同时写出成功条件和停止条件。
WorkBuddy 专项:45 分钟受控任务
以下内容依据 2026-07-12 复核的官方权限说明与隐私政策,并以课堂安装版本的实际界面为准。官方资料将 WorkBuddy 描述为能规划和执行多步骤任务的智能体软件,可能处理文件、运行脚本并连接外部服务;权限说明区分日常默认权限与更宽的完整访问。课程不承诺按钮位置、模型列表或连接器长期不变,也不要求登录任何私人账户。
WorkBuddy 官方隐私说明提示输入、输出、第三方模型、Skills、MCP 连接器和集成工具可能形成数据处理链。课堂材料全部使用公开或模拟数据。真实使用前必须重新阅读当日政策,并结合学校、实验室、资助方和合作协议决定是否允许。
Claude Code、Codex 与 WorkBuddy:比控制面,不比口号
三者可以承载智能体任务,但课程只用它们观察“控制面”。截至复核日期,Claude Code 官方安全文档描述了基于权限的架构、工作目录边界和可配置沙箱;Codex 官方文档提供审批、安全和沙箱说明;WorkBuddy 官方文档说明权限模式与工作区边界。具体默认值、操作系统支持、按钮和套餐可能变化,开始任务前以本机界面和官方文档为准。
| 观察维度 | WorkBuddy | Claude Code | Codex | 课堂判断 |
|---|---|---|---|---|
| 主要入口 | 以本机实际界面为准 | 终端入口可由官方 CLI 文档复核 | 应用、CLI 或远程环境以当前入口为准 | 入口不同不改变验收标准 |
| 工作范围 | 检查所选工作区与权限模式 | 检查启动目录、附加目录和权限设置 | 检查本地或远程环境、沙箱与审批 | 只给当前任务所需范围 |
| 高风险动作 | 观察是否暂停并说明后果 | 观察权限请求与命令内容 | 观察审批请求与环境限制 | 外发、删除、付费、越界必须人工确认 |
| 证据 | 查看产物、活动记录与文件变化 | 查看终端输出、差异与测试 | 查看任务记录、差异与测试 | 产品摘要不能替代独立验证 |
Git 检查点:先拍快照,再允许试验
Git 是版本控制系统,它记录文件变化的历史。对于文本、脚本、课程材料和配置,Git 检查点提供三类证据:任务前状态、智能体造成的差异、经人工确认后的快照。它不能保护未被跟踪的大文件、数据库外部状态、已发送消息或被删除的远程资源,所以仍需要备份和权限控制。
开始前先确认当前位置和仓库状态。git status 用于查看未跟踪、已修改和已暂存文件;git diff 用于阅读未暂存差异;git add 选择要纳入快照的内容;git commit 保存一个带说明的历史节点。不要在看不懂差异时直接暂存全部文件,也不要让智能体用破坏性命令“清理现场”。
动手练习
记录一次计划—执行—验证闭环
化学/化工教师可选任务:把三道传质计算题的 Markdown 草稿统一标题和单位格式,但禁止修改题目数值与答案。其他学科可替换为参考文献格式整理、变量字典补全或教学案例标签归类。
怎么做
- 从公开文献整理、课程材料校对或模拟数据清洗中选择一个最多改动三个文件的任务。
- 写任务契约:目标、输入、允许目录、禁止动作、输出、验收标准和停止条件。
- 保存任务前 Git 状态或等价版本快照,再要求智能体先给计划。
- 逐项审批计划内动作;记录每次批准、拒绝、错误和调整,不允许静默扩大权限。
- 用文件差异、测试或逐项抽查验证结果,最后决定接受、返工或回退。
做到什么算完成
- 计划中的每一步都有对应验证方法,并且没有超出允许目录。
- 记录至少包含一次人工确认和一个明确停止条件。
- 能够展示任务前状态、任务后差异和最终验收证据。
- 最终结论区分“工具声称完成”与“人工已验证通过”。
授课提示 课堂失败不是事故,越界才是
预先准备一份故意包含越界步骤的计划,例如“搜索网络并覆盖原文件”,让学员练习拒绝。演示环境使用公开副本和专用仓库。产品不可用时,教师扮演执行器,严格按学员批准的步骤操作;这反而更容易看清 Harness。评分优先看边界、记录和验证,不因产品运行速度或文案漂亮加分。
本单元的最低合格线
你不需要记住三个产品的所有按钮,但必须形成四个习惯:行动前看计划,确认前读对象和后果,改动后看差异,完成后用独立标准验证。智能体是否值得进入科研流程,不取决于它能做多少,而取决于人能否持续知道它正在做什么,并在需要时可靠地停下和恢复。
本单元参考来源
- OpenAI Codex:智能体审批与安全 · 复核于 2026-07-12
- Anthropic:Claude Code 安全与权限 · 复核于 2026-07-12
- GitHub:Git 与版本历史 · 复核于 2026-07-12
- 腾讯 WorkBuddy:权限模式 · 复核于 2026-07-12
- 腾讯 WorkBuddy:隐私政策与数据处理边界 · 复核于 2026-07-12