社群裡最常見的誤會,是把 Claude Code 當成「又一個 AI 補全」——裝 CLI、綁 API、能寫函式就行。這和把 self-hosted runner 當成「不排隊的 macos-latest」是同一類錯覺:你只看到了速度,沒看到邊界。
Claude Code 的真實身份是終端裡的自主 Agent:它不只建議程式碼,還能執行 shell、改多檔案、讀環境變數、調 MCP 工具、循環跑測試直到綠。一旦預設信任它跑在你的主力倉庫上,你交出的不是「多一個外掛」,而是一整套程式與執行權限。
本篇是 Cloud Mac AI Stack · L3 決策首講(L3-Q01):在 L0 底座、L1 Fact 層(建議 L1 ①②③ 讀完)之後,回答什麼時候才該讓 Agent 正式接入開發流程。L3 連載表見 § L3 專題;縱向回 L0、橫向接 L4–L5 見 § Stack 銜接。工作站實測(L3 ③)與 vs Cursor(L3 ②)分工不同——本篇只管決策與權限。
讀本篇前 · L3 專題與 Stack 入口
L0 底座:買還是租 Cloud Mac · 遷雲端 AI 工作站
L1 專題(建議順序讀):① 執行引擎 → ② 排隊與 TCO → ③ workspace 隔離
L2 Inference:Ollama 私有推理層 · 與 Runner 並行排班
L3 專題(本篇起):① 本篇 · 權限交出與接入決策 → ② vs Cursor → ③ 工作站實測(完整表見 § L3 連載)
直接回答
Claude Code 不是「多一個 AI 工具」,而是把 shell、Git、密鑰與多檔案改動的執行權交給 Agent;正式接入前應先過邊界審計與監督合併流程。
- 適合正式接入:跨目錄重構、測試–修復循環;L4 MCP 最小權限 與
CLAUDE.md邊界已就緒 - 先別預設全開:生產 secrets 同機、無 code review;L1 Runner 與 Agent 共享磁碟
- 試跑路徑:只讀沙箱 → 受監督寫權限 → 正式 L3 Diff 與 L1 Fact(Runner)分工
你交出的到底是什麼:一張權限地圖
很多人只盯著「模型聰不聰明」,卻忽略了 Agent 在磁碟與進程上能做什麼。下面這張表可按團隊 onboarding 逐項對照——六類權限,接入前建議逐項打勾。
| 權限類型 | Claude Code 典型能力 | 交出去意味著什麼 |
|---|---|---|
| Shell 執行 | npm test、xcodebuild、git、任意腳本 |
誤提示或惡意 step 可刪檔案、裝依賴、改系統配置 |
| 檔案系統 | 讀寫倉庫、生成 patch、改配置 | 一次委託可動幾十個檔案;漏改比單檔 bug 更難審 |
| Git 歷史 | commit、branch、有時 push | 錯誤合併進 main 的代價遠高於「寫錯一行」 |
| 環境變數 / 密鑰 | 讀 .env、~/.zshrc、CI 注入的 secrets |
與 L4 MCP PAT、L1 Runner PAT 混用時,洩露面成倍放大 |
| 網路 / 工具 | MCP 拉倉庫、調 API、讀 Issue | 工具鏈權限 = Agent 權限;見 L4 MCP 三連通 Hub |
| 持久狀態 | 會話記憶、CLAUDE.md、本地快取 |
上一次任務的上下文會影響下一次判斷 |
所以問題從來不是「要不要用 AI 寫程式」,而是:你敢不敢把上表六行,預設交給一個半自主進程? 若答案猶豫,就不該「全員預設裝 Claude Code」,而該走後面的分階段接入。
它不是 Copilot,也不是 IDE 外掛
副駕(Copilot / Cursor Tab):你在編輯器裡主駕,AI 補全或改當前檔案,改動粒度小、回饋快。代駕(Claude Code Agent):你描述目標,Agent 自己規劃步驟、開 shell、改多檔案、失敗重試——你在審結果,不在握方向盤。
這不是誰更好的問題(詳見 Claude Code vs Cursor),而是任務類型的問題:日常補全用 IDE;跨模組遷移、大面積測試–修復、委託 GitHub Actions 改 CI,才輪到 Agent。把 Agent 當 Copilot 用,往往又慢又難審;把 Copilot 當 Agent 用,又解決不了「47 files changed」級委託。
盲目上手 vs 正式接入 · 對照
「盲目上手」在團隊裡通常長這樣:負責人自己用得爽,就直接給全員開 Max 訂閱、主力倉庫隨便掛 CLI。正式接入則是把 Agent 寫進工程規範:邊界、審計、與 CI 分工。
你以為在「試用工具」——其實在「改安全模型」
盲目上手常見做法 正式接入標配 踩坑後果
| 維度 | 盲目上手(2024–2025 常見) | 正式接入(2026 建議) | 踩坑後果 |
|---|---|---|---|
| 權限心態 | 「只是 AI 助手,應該沒事」 | 預設 Agent = 受信程式執行者 | 誤操作當「模型笨」,不查 shell 日誌 |
| 密鑰 | 一把 PAT / API key 通吃 IDE、Agent、CI | Agent / MCP / Runner 分 token | Agent 會話洩露拖垮 CI 與私有倉庫 |
| 倉庫邊界 | 直接在 monorepo 根目錄 claude |
CLAUDE.md + 目錄約定 + 只讀試跑 |
改到不該改的模組、誤刪生成物 |
| 與 CI 關係 | SSH 裡 Agent 綠了就算完 | Diff 本地 / Fact 在 Runner 分工 | 本地綠、Actions 紅;或髒 workspace 污染 CI |
| 審查 | 掃一眼 diff 就 merge | 大委託必須人工 review + 測試清單 | 「47 files changed」漏改進生產 |
| 工具鏈 | MCP 全開、圖省事 | 最小權限 MCP + 審計 | Agent 透過 MCP 讀到不該讀的倉庫 |
| 團隊節奏 | 個人英雄主義,無文件 | 接入门禁寫進 onboarding / runbook | 新人照抄「大神配置」複製事故 |
三道門禁:接入前必須滿足
下面三道門,建議當作正式接入的最低條件——不是追求完美,而是避免「權限全盤交出卻零審計」。
門禁 ① · 磁碟與 CI 邊界(L1)
Agent 與 GitHub Runner 是否共用不可清理的全域目錄?生產簽名、.env、寬口徑快取是否與 Agent 會話共享?若 L1 ③ 一 Job 一 Workspace 還沒做,先補 Fact 層,再開 Diff 層全開(L1 連載見 L1 專題)。
門禁 ② · 工具與密鑰邊界(L4)
MCP 是否「能連就連」?Agent 用的 PAT 是否與 CI、個人 GitHub 共用?正式接入要求:分 token、分 scope、可輪換,並有一份團隊可讀的 L4 MCP 安裝與 最小權限清單。
門禁 ③ · 人與流程邊界(團隊)
誰可以對 Agent 的產出直接 merge?大倉庫是否配 L4 CodeGraph 或等價機制,降低「漏改檔案」?若答案是「誰快誰 merge」,Agent 只會放大已有流程債。
什麼時候該正式接入 · 什麼時候先別
| 場景 | 建議 | 說明 |
|---|---|---|
| 跨 10+ 檔案重構 / 遷移,測試–修復循環多 | 正式接入 | Agent 強項;配合 review 與 Runner 驗證 |
| 已有 Cloud Mac / Mac mini + L1 隔離就緒 | 正式接入 | Diff 與 Fact 可分工;L2 並行排班見棧內調度 |
| 只做單檔補全、日常小改 | 先不接入 | IDE + Cursor 更省;見 vs Cursor |
| 生產 secrets 與 Agent 同使用者、同 home | 先別 | 先拆使用者 / 拆 token / 拆 workspace |
| 開源倉庫大量 fork PR + self-hosted CI | 先別預設全開 | Agent 改 workflow 風險與 L1 ③ workspace 隔離 同棧 |
| 個人私有倉庫、單人維護、願意自己審 diff | 可試點 | 仍建議分階段,避免一把 PAT 通吃 |
Stack 裡 L3 管什麼:Diff,不是 Fact
系列 Slogan(貫穿 L1–L3):Claude Code 生產 Diff,GitHub Runner 生產 Fact。 L3 決策首講回答的是:你敢不敢、以及何時把 Diff 生產權交給 Agent。Fact(CI 綠不綠、簽名過不過)仍應在隔離的 Runner 上發生——不是 Agent 說「測過了」就等價於發布。
L2 Inference:Ollama 可草稿、可離線;L3 Claude Code 是委託執行與 Diff 生產——同機可共存,權限應分開。L4 Context:MCP Hub 與 最小權限 管工具邊界。L5 Workflow:OpenHands 偏編排;Claude Code 偏終端深度委託——接入门禁對兩者都適用。
分階段接入(工作流約 30%)
決策講清之後,落地建議用三階段——不要第一天就「全員 Max + 生產倉庫全開」:
- 階段 A · 只讀沙箱(1–3 天):fork 或副本倉庫,禁止 push;只觀察 Agent 如何拆任務、跑哪些 shell。目的:建立「權限地圖」體感。
- 階段 B · 受監督寫權限(1–2 週):主力倉庫只讀 clone 到獨立目錄,或分支開發;所有 merge 必須人工 review;MCP 只開必要工具。
- 階段 C · 正式 Diff 層:與 L1 Runner 分工固定;
CLAUDE.md、token 輪換、workspace 隔離 寫入 runbook;可接 L1 ④ OpenClaw 流水線 觸發鏈。
# Agent 接入门禁(階段 B) 1. 倉庫根目錄必須有 CLAUDE.md(允許/禁止路徑、測試命令) 2. Agent 使用獨立 PAT,scope ≤ 當前任務;禁止與 CI secrets 相同 3. 單次委託 >15 檔案變更 → 必須第二人 review 4. merge 前必須本地或 Runner 跑通同一套 test 命令 5. 與 Runner 不同 macOS 使用者或不同 Cloud Mac 節點(推薦)
硬體與環境選型(買 Mac mini 還是先租 Cloud Mac)不屬於本篇——那是 工作站實測 的故事。決策首講只負責:權限與流程過關了,再談天天用。
L3 專題連載 · 與其它篇分工
本篇開啟 L3(Diff 層) 決策線:先回答「該不該把權限交給 Agent」,再讀工具對比與實操。建議按表順序讀;縱向回 L0–L2,橫向接 L4–L5 見 § Stack 銜接。
| 篇目 | 主題 | 與本篇分工 |
|---|---|---|
| ① · 本篇 | 權限交出 · 何時正式接入 Agent | 決策首講 · 本文 |
| ② · vs Cursor | 終端 Agent vs AI IDE 選型 | 工具對比 · 非權限框架 |
| ③ · 工作站實測 | 硬體 / Cloud Mac 試跑與截圖證據 | 實操故事 · 非團隊門禁 |
Stack 各層銜接 · 縱向入口
Stack 縱向銜接(每層一篇入口即可;與 L1 連載 對照閱讀):
- L0 · 底座:買 Mac mini 還是雲電腦 · 遷雲端 AI 工作站
- L1 · Fact:Runner 執行引擎 · CI 排隊 · workspace 隔離 · OpenClaw 流水線
- L2 · Inference:Ollama 私有推理層 · 與 Runner 並行排班
- L3 · Diff:① 本篇 · 接入決策 · vs Cursor · 工作站實測
- L4 · Context:MCP 三連通 Hub · 權限最小暴露 · MCP 安裝 · CodeGraph 與漏改
- L5 · Workflow:OpenHands Agent 平台
讀完 L3 決策首講後,若門禁已滿足,下一篇通常是 L3 ③ 工作站實測(硬體與帳單);若還在選型 IDE,先讀 L3 ② vs Cursor。L6 端到端閉環地圖排期中。
常見問題
Claude Code 和 Cursor 補全有什麼本質區別?
Cursor 是編輯器內副駕,改動通常逐行可見;Claude Code 是終端 Agent,可自主執行 shell、改多檔案、跑測試循環,屬於把執行權交給半自主進程。
個人開發者也要三道門禁嗎?
可以簡化,但分 token、分目錄、大 diff 必審三條不建議省。私有倉庫不等於零風險——誤刪與密鑰洩露照樣發生。
正式接入是否等於替代 IDE?
不等於。常見雙持:IDE 寫功能,Agent 做委託任務。本篇回答「何時把 Agent 寫進流程」,不回答「何時扔掉 VS Code」。
和 L1 Runner 安全篇什麼關係?
L1 ③ workspace 隔離 管 CI 磁碟邊界;本篇(L3 ①)管誰有權在生產倉庫裡跑 Agent。先 L1,再 L3 全開。Stack 入口見 § Stack 銜接。
試跑用 Cloud Mac 還是本機?
階段 A/B 用 L0 Cloud Mac 隔離試錯往往更便宜——弄亂環境可重置;確認每天都用再買單機。見 L3 ③ 工作站實測。
決策過關 · 下一篇實操
門禁滿足後,再看工作站實測
本篇解決「該不該正式接入 Agent」。下一篇是 Cloud Mac / Mac mini 上 Claude Code 的一週實測、截圖與帳單——把決策落到天天用。
閱讀 Claude Code 工作站實測