Copilot 擅自在开发者拉取请求中插广告引众怒，GitHub 紧急撤回

3 月 31 日消息，因大量开发者强烈反对，GitHub 对 Copilot 行为进行了紧急调整。此前，Copilot 被发现会在用户创建的拉取请求（PR）中擅自插入所谓的“提示”（tips），实则为广告内容，此举引发广泛争议。

澳大利亚开发者 Zach Manson 透露，他在同事让 Copilot 修正自己一个 PR 中的拼写错误后，惊讶地发现该 PR 中出现了一条由 Copilot 添加的消息：“通过 Raycast，从 macOS 或 Windows 电脑上的任意位置快速启动 Copilot 编程智能体”，甚至还附带了⚡️emoji 和 Raycast 的安装链接。

Manson 在一封电子邮件中表示：“起初我以为是什么训练数据污染或新型提示注入攻击，以为 Raycast 团队在搞什么精心设计的营销。”然而事实并非如此：在 GitHub 上稍加搜索就会发现，超过 11,400 个 PR 中都出现了同样的提示，全部由 Copilot 添加。进一步查看 PR 代码并搜索调用 Copilot 添加提示的代码块，还能找到大量由 Copilot 插入的不同提示的实例。

Manson 表示，他对 GitHub 做这种事并不意外，但 Copilot 像他自己写的一样在他本人的 PR 里插入 Raycast 广告“实在让人恼火”。他表示：“我甚至不知道 GitHub Copilot Review 集成功能居然有编辑其他用户描述和评论的权限。我想不出这个功能有什么合理的用途。”

当地时间周一上午 Neowin 刚刚报道了此次事件，GitHub 当天下午就迅速撤下此次调整。GitHub 开发者关系副总裁 Martin Woodward 周一下午在 X 上发帖解释称，Copilot 在 PR 中插入提示其实并非新行为，但让 Copilot 触碰并非由它创建、只是在其中被提及的 PR，则是新的尝试，现在看来效果并不理想。

“当我们加入让 Copilot 通过被提及即可在任何 PR 上工作的能力后，这种行为就变得令人不适了。”他强调，“GitHub 目前没有、也不打算在 GitHub 中加入广告。”

GitHub Copilot 首席产品经理 Tim Rogers 周一也在 Hacker News 上发文称，赋予 Copilot 在 PR 中添加“提示”的能力，初衷是“帮助开发者在工作流中了解使用该代理的新方式”。

在 Manson 的帖子引发轩然大波之后，Rogers 表示，来自社区的反馈让他意识到，“回过头来看”，让 Copilot 在未经用户知情的情况下修改由人工编写的 PR“是一个错误的判断”。

“我们现已禁用了这些在 Copilot 创建或触及的拉取请求中出现的提示，这种情况不会再发生了，”Rogers 补充道。