GitHub отключил рекламу Copilot в pull-реквестах после бэклэша — затронуты 11 400 PR

ИИ-агент Copilot вставлял промо-подсказки сторонних приложений в pull-реквесты без согласия авторов. GitHub отключил функцию менее чем за сутки после бэклэша.

Новости Tproger
Обложка: GitHub отключил рекламу Copilot в pull-реквестах после бэклэша — затронуты 11 400 PR

GitHub отключил промо-подсказки Copilot в pull-реквестах после того, как разработчики обнаружили рекламу сторонних приложений в более чем 11 400 PR.

TechSpot сообщает: 30 марта австралийский разработчик Зак Мэнсон заметил, что Copilot добавил промо-текст приложения Raycast в pull-реквест коллеги. Поиск по GitHub показал, что аналогичные «подсказки» оказались в тысячах PR. В течение суток руководство GitHub признало проблему и отключило функцию.

Ключевые выводы
  • Copilot вставлял промо-подсказки (Raycast и другие инструменты) в PR, которые он не создавал — без согласия авторов
  • Более 11 400 pull-реквестов затронуты
  • GitHub VP Martin Woodward: «GitHub не размещает и не планирует размещать рекламу»
  • Copilot PM Tim Rogers признал: «Это было неправильное решение»
  • Функция отключена — промо-подсказки больше не появятся в PR

Как обнаружили проблему

Зак Мэнсон рассказал The Register, что коллега использовал Copilot для исправления опечатки в PR. При ревью Мэнсон обнаружил, что ИИ добавил строку:

Quickly spin up Copilot coding agents from anywhere on your macOS or Windows machine with Raycast.
GitHub Copilotпромо-подсказка в PR

Первая реакция — подозрение на компрометацию: повреждённые обучающие данные, prompt injection или маркетинговый эксперимент от Raycast. Дальнейший поиск по GitHub показал масштаб: более 11 400 PR содержали почти идентичные промо-сообщения. Нашлись и подсказки, продвигающие другие инструменты — все вставлены автоматически.

Больше всего Мэнсона удивило не содержание подсказок, а сам факт: Copilot редактировал чужой контент без согласия. «Я даже не знал, что интеграция GitHub Copilot Review может редактировать описания и комментарии других пользователей», — написал он.

Реакция GitHub: отключение за сутки

Microsoft-овский GitHub отреагировал в тот же день. Вице-президент по DevRel Мартин Вудвард объяснил в X, что Copilot вставлял «подсказки» в свои собственные PR и раньше — это была задуманная функция. Проблема возникла, когда добавили возможность вызывать Copilot через @-упоминание в чужих PR:

Когда мы добавили возможность вызывать Copilot в любом PR через @-упоминание, поведение стало неприятным.
Мартин ВудвардVP Developer Relations, GitHub

Продукт-менеджер Copilot Тим Роджерс уточнил, что подсказки задумывались как обучающий контент — чтобы разработчики узнавали о новых возможностях агента. Но после бэклэша признал:

Оглядываясь назад, позволить Copilot вносить изменения в pull-реквесты, написанные людьми, было неправильным решением.
Тим РоджерсPrincipal Product Manager, Copilot

GitHub отключил промо-подсказки в PR, созданных или затронутых Copilot. Вудвард добавил: «GitHub не размещает и не планирует размещать рекламу».

Почему это важно для разработчиков

Инцидент выявил три проблемы:

  1. ИИ-агент добавлял контент в чужие PR без согласия — Copilot мог изменять описания и комментарии в PR других пользователей. Многие разработчики не знали об этой возможности
  2. Граница между функцией и рекламой размыта — GitHub позиционировал подсказки как «обучение», но содержимое продвигало конкретные сторонние продукты (Raycast) со ссылками на установку
  3. Доверие к ИИ-инструментам хрупко — достаточно одного инцидента, чтобы разработчики начали отключать Copilot Review. По данным TechSpot, множество пользователей уже деактивировали функцию

Положительный момент: GitHub отреагировал быстро — менее чем за сутки — и два топ-менеджера публично признали ошибку. Для сравнения: многие компании в аналогичных ситуациях замалчивают проблему или списывают её на «баг».

Часто задаваемые вопросы
1
Что именно вставлял Copilot в PR?

Промо-подсказки с рекламой сторонних инструментов — в частности, приложения Raycast. Подсказки содержали текст о возможностях инструмента и ссылку на установку. Copilot добавлял их автоматически при ревью PR, в том числе в PR, которые он не создавал.

2
Сколько PR затронуто?

Более 11 400 pull-реквестов содержали промо-подсказки. Поиск по GitHub выявил аналогичные сообщения, продвигающие разные инструменты — все вставлены Copilot автоматически.

3
Исправили ли проблему?

Да. GitHub отключил промо-подсказки в PR, созданных или затронутых Copilot. Тим Роджерс, продукт-менеджер Copilot, подтвердил: «Вы больше не увидите этого». Мартин Вудвард, VP DevRel, добавил, что GitHub не планирует размещать рекламу.

4
Нужно ли что-то делать пользователям Copilot?

Нет — функция уже отключена со стороны GitHub. Однако если вы хотите контролировать, какие возможности Copilot доступны в вашем репозитории, проверьте настройки организации: Settings → Copilot → Policies. Там можно ограничить действия ИИ-агента.

5
Это была реклама или баг?

GitHub называет это «подсказками для обучения», но содержимое продвигало конкретные сторонние продукты со ссылками на установку. Microsoft заявила, что это был баг, а не реклама. Однако тот факт, что подсказки содержали промо разных инструментов (не только Raycast), указывает на системную функцию, а не разовый сбой.

Что в итоге

GitHub быстро откатил спорную функцию и публично признал ошибку. Но инцидент поставил вопрос, который не исчезнет: где проходит граница между «умным помощником» и «рекламной площадкой» в ИИ-инструментах разработчика? С ростом монетизации ИИ-агентов ответ на этот вопрос будет определять доверие к целому классу продуктов.

В этой статье
  1. Ключевые выводы
  2. Как обнаружили проблему
  3. Реакция GitHub: отключение за сутки
  4. Почему это важно для разработчиков
  5. Часто задаваемые вопросы
  6. Что в итоге
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter