# 关于在 GitHub Actions 中使用 Copilot CLI

您可以在Copilot 命令行界面（CLI）工作流中使用GitHub Actions或内置的GITHUB_TOKEN来运行personal access token。 这两种方法在 AI credits 的计费方式以及所需设置方面有所不同。

## 身份验证和计费选项

在 Copilot 命令行界面（CLI） 工作流中运行 GitHub Actions 时，可以使用 personal access token（PAT）或内置的 `GITHUB_TOKEN` 进行身份验证。

* **使用 PAT**：工作流将以创建 PAT 的用户身份进行身份验证。
  AI credits 取自该用户的 Copilot 席位权利，其许可证确定哪些模型和功能可用。 这适用于任何存储库，但会为大规模运行自动化的组织带来操作和安全风险。
* **使用 `GITHUB_TOKEN`**：工作流以安装身份进行身份验证，请求不与任何具体用户关联。
  AI credits 的计费方式取决于工作流运行的位置：

  * 在 **个人拥有的存储库**中，使用情况将按存储库所有者的 Copilot 席位计费。
  * 在 **组织拥有的存储库**中，使用情况将直接计量给组织。 这需要由组织所有者启用 **“允许使用向组织计费的 Copilot 命令行界面（CLI）”** 策略。

对于自动化，在组织拥有的仓库中使用 `GITHUB_TOKEN` 是推荐的做法。 每次工作流运行都会收到一个由 GitHub Actions 生成的短期有效且具有限定作用域的令牌，因此无需存储或轮换长期凭据。

请注意，此策略与 Copilot 许可设置不同。 通过专门的组织颁发许可证并在其他组织中开展工作的企业，无需在开展工作的组织中启用 Copilot 许可，只需启用相应策略。

## 控制成本

直接向组织计费时，不会考虑用户级 Copilot 预算，因为成本不归咎于任何单个用户。 若要管理按这种方式计费的 Copilot 命令行界面（CLI） 使用所产生的支出，您可以：

* 为相关组织配置成本中心。 成本中心允许将成本归因给组织组，预算可以应用于成本中心。 请参阅“[成本中心](/zh/billing/concepts/cost-centers)”。
* 通过贵组织的计费和用量仪表板监控 Copilot 使用情况，以跟踪一段时间内的用量变化。

## 安全注意事项

在自动化工作流中运行 Copilot 命令行界面（CLI） 会引入与所使用的身份验证方法无关的安全风险。 由于 Copilot 命令行界面（CLI） 是可读取和修改存储库内容的代理工具，因此泄露或配置错误的工作流可能会导致意外更改。

若要降低风险，请：

* 应使用[GitHub智能体工作流](https://github.com/github/gh-aw)，而不要在`run`步骤中直接调用Copilot 命令行界面（CLI）。 智能体工作流在设计时加入了防护机制，以支持自动化使用。
* 设置工作流权限时，请遵循最低特权原则。
* 仔细查看工作流触发器。 从分叉中拉取请求事件运行的工作流面临更高的提示注入风险。

## 后续步骤

若要了解如何在 Copilot 命令行界面（CLI） 工作流中将 GitHub Actions 与 `GITHUB_TOKEN` 一起设置，请参阅 [在 GitHub Actions 中使用 GITHUB\_TOKEN 运行 Copilot CLI](/zh/copilot/how-tos/copilot-cli/use-copilot-cli-in-actions)。