Agentic Workflows ya no necesita PAT: GitHub mueve Copilot dentro del GITHUB_TOKEN y cambia el riesgo operativo

GitHub publicó el 11 de junio de 2026 un cambio de esos que parecen administrativos hasta que tienes que operar agentes de verdad: Agentic Workflows ya puede usar el GITHUB_TOKEN integrado de GitHub Actions para llamadas de Copilot, sin crear ni guardar un personal access token largo.

La configuración nueva pasa por agregar copilot-requests: write al bloque de permisos del workflow. Según la referencia oficial de Agentic Workflows, esa es ahora la forma recomendada de autenticar inferencia de Copilot dentro del workflow.

El problema que resuelve

Los PATs son cómodos hasta que dejan de serlo. Caducan, se guardan como secrets, tienen dueño humano, mezclan permisos, complican auditoría y crean deuda cuando una persona cambia de equipo. En un workflow agentic, además, el token no solo dispara una API: autoriza una automatización que razona, lee contexto y puede proponer cambios.

Mover esa autenticación al token nativo de Actions reduce una clase de riesgo: menos credenciales largas flotando en repositorios y menos secretos manuales para llamar a Copilot desde un job.

Pero el cambio no significa "menos gobernanza". Significa que la gobernanza se mueve a otro sitio: permisos del workflow, política de Copilot en la organización, lockfile compilado, presupuestos y atribución de costo.

El detalle de billing no es menor

GitHub explica que, cuando el workflow corre en un repositorio de organización, los AI credits consumidos por Agentic Workflows se facturan directamente a la organización. También aclara que los presupuestos a nivel de usuario no aplican igual cuando el consumo no se atribuye a una persona.

Ese punto cambia la conversación para equipos pequeños. Antes podías ver el PAT como "el token de alguien". Ahora conviene verlo como una capacidad compartida de la organización.

La intención de búsqueda probable es operativa: Agentic Workflows GITHUB_TOKEN, copilot-requests write, GitHub Agentic Workflows PAT, Copilot organization billing, AI credits Agentic Workflows. No invento volumen; la demanda se infiere del changelog oficial, la página de autenticación y las discusiones previas donde usar Copilot dentro de Actions requería tokens personales o secretos dedicados.

Checklist antes de activarlo

Yo no lo encendería en todos los repositorios al mismo tiempo. Haría esto:

1. confirmar que la política de organización permite Copilot CLI facturado a la organización;
2. actualizar la extensión o CLI de Agentic Workflows;
3. agregar copilot-requests: write solo donde el workflow realmente lo necesita;
4. recompilar y revisar el lockfile;
5. poner presupuesto por corrida o por clase de workflow;
6. separar workflows de triage de workflows que escriben cambios;
7. revisar logs y costos después de la primera semana.

El error común será tratar copilot-requests: write como permiso menor. No lo es. No escribe código directamente por sí solo, pero habilita gasto y capacidad agentic dentro del job. Merece el mismo tipo de revisión que contents: write, pull-requests: write o acceso a secrets.

Qué cambia para builders

Este cambio hace más viable tener workflows agentic reutilizables: triage de issues, análisis de fallos, actualización de docs, preparación de reportes o PRs internos. También vuelve más fácil moverlos entre repos sin repartir tokens personales.

La parte incómoda es que la factura se vuelve más centralizada. Si un workflow queda demasiado abierto, el problema no será un PAT expuesto; será un agente gastando créditos en nombre de la organización.

Esta nota se complementa con GitHub Agentic Workflows en public preview. Ahí el foco era el runtime; aquí el foco es la autenticación y el costo. Si todavía necesitas ordenar conceptos de herramientas, permisos y revisión humana, empieza por el curso gratis.

La conclusión: quitar el PAT es una mejora real de seguridad operativa, pero no elimina el trabajo de diseñar límites de gasto y permisos para agentes que corren dentro de CI.