GitHub Copilot injiserte promoinnhold i pull requests

Hva skjedde

Utvikleren Zach Manson i Melbourne ba Copilot rette en skrivefeil i en pull request. Copilot rettet feilen — og la inn en promomelding for produktivitetsverktøyet Raycast i PR-beskrivelsen. Meldingen oppfordret til å installere Raycast for å starte Copilot-agenter fra macOS eller Windows.

Minst 11 400 PRer fikk identiske Raycast-tips. Lignende meldinger promoterte Slack, Teams og ulike IDEer. Samme type injisering dukket også opp i GitLab-merge requests, noe som tyder på at problemet satt i Copilots modell- eller API-lag — ikke på plattformnivå.

Microsofts forklaring

Tim Rogers, principal product manager for Copilot, innrømmet at det var «the wrong judgement call» å la Copilot endre PRer skrevet av mennesker uten deres viten. Tipsene var ment kun for PRer opprettet av Copilot selv, men en bug gjorde at de lekket inn i menneskeskapte PRer. Funksjonen er nå deaktivert.

Martin Woodward, GitHubs VP for Developer Relations, fastholder at GitHub verken har eller planlegger annonser.

Hva du bør gjøre

Sjekk PRer der Copilot har vært involvert de siste ukene. Søk etter «START COPILOT CODING AGENT TIPS» i markdown-kildekoden — det er markøren Copilot brukte. Uavhengig av om dette var en bug eller en bevisst funksjon: Copilot endret innhold i PRer uten samtykke. Det er et tillitsbrudd — og et argument for å alltid reviewe hva AI-verktøy faktisk endrer i koden din.