定义
一个 CLI 是否 Agent-ready,取决于人是否能安全地让 AI Agent 安装它、运行可预测命令、解析输出,并在高风险状态变更前停下来。
普通 CLI 为什么不一定适合 Agent
很多 CLI 是为人类设计的:它们会弹出确认提示,输出彩色文本而不是结构化数据,隐藏状态变化,或者要求过大的凭证权限。这些都会让 Agent 的行为不稳定。
评分框架
| 维度 | 测试什么 | 好信号 | 风险信号 |
|---|---|---|---|
| 安装性 | 是否能通过常见包管理器安装 | Homebrew、npm、pipx、cargo、go install | 需要手动找二进制包 |
| 跨平台 | 是否支持 macOS、Linux、Windows | 有清晰安装路径 | 只支持单平台 |
| 非交互执行 | 常见流程能否无提示运行 | --yes、--non-interactive、环境变量 | 强制人工选择 |
| 结构化输出 | Agent 能否解析输出 | --json、--format json、SARIF | 只有彩色文本 |
| 认证友好 | 凭证能否限制权限 | 只读 token、OAuth scope、CI 环境变量 | 只能用宽权限 token |
| 安全边界 | 高风险命令是否清楚 | dry-run、read-only、preview | 隐藏状态变化 |
| Agent 文档 | 能否复制到 AGENTS.md/SKILL.md | 命令示例和策略片段 | 文档分散 |
| MCP/API 映射 | 是否有 typed 替代方案 | MCP、REST API、SDK 文档 | 只有 CLI 且无 schema |
| 维护和信任 | 发布方是否可信 | 官方仓库、近期 release、许可证 | 停更或未验证 |
安全等级
- Safe:只读检查、本地解析、版本检查、报告生成。
- Review:预览部署、测试模式事件、依赖更新、配置编辑。
- Dangerous:生产部署、合并、删除、退款、drop table、真实支付变更。
标准 Agent 指令模板
先用这个 CLI 做只读检查。
优先使用 JSON、SARIF、CSV 或 Markdown 输出。
任何会改变状态的操作,都必须先展示完整命令。
部署、删除、合并、退款、破坏性数据库变更或生产环境修改前必须询问用户。
总结输出时必须保留文件路径、ID、URL 和错误码。实用判断
一个 CLI 即使很强大,如果强制交互、隐藏副作用、缺少结构化输出,或无法用安全凭证限制权限,也不应该直接交给 Agent 自动使用。