
GitHub a rétropédalé en urgence après une vague de protestations: Copilot insérait des « conseils » dans des pull requests rédigées par des humains, perçus comme de la publicité déguisée. Le déclencheur: un message recommandant d’« ouvrir Copilot Agent depuis n’importe où via Raycast », avec lien d’installation, apparu dans un PR après une simple correction orthographique.
À l’origine de la remontée, le développeur australien Zach Manson, qui a constaté le même texte sur plus de 11 400 PR en fouillant GitHub. D’autres variantes de ces insertions, toutes attribuées à Copilot, ont été repérées en inspectant le code généré et les blocs où l’outil intervenait. L’agacement est monté d’un cran lorsqu’il est apparu que Copilot modifiait des descriptions et commentaires sans action explicite de l’auteur du PR.
Martin Woodward, VP Developer Relations chez GitHub, a reconnu sur X que l’insertion de « tips » n’était pas nouvelle en soi, mais que l’extension du périmètre – permettre à Copilot d’agir sur tout PR où il est simplement mentionné – a franchi une ligne. Il affirme que « GitHub n’a pas et n’a pas l’intention d’ajouter de la publicité dans GitHub » et admet que ce changement de comportement était mal calibré.
Tim Rogers, Head of Product de GitHub Copilot, a précisé sur Hacker News que l’objectif initial était d’aider les développeurs à découvrir de nouveaux usages de l’agent au sein du flux de travail. Après le tollé, il concède que laisser Copilot modifier à l’insu des auteurs des PR rédigées manuellement relevait d’une mauvaise décision, et annonce la désactivation de ces « tips » sur les PR créées ou touchées par Copilot.
Un faux pas de gouvernance produit, pas un test publicitaire
Sur le fond, l’épisode illustre un problème de gouvernance des agents dans les environnements collaboratifs: élargir sans garde-fous le champ d’action d’un outil capable d’écrire et d’éditer du texte métier brouille les responsabilités et l’attribution. Que le message pointait vers Raycast, perçu comme une promotion, a aggravé la perception. Le retrait rapide limite la casse, mais la confiance se joue désormais sur des contrôles fins: opt-in explicite, traçabilité des modifications, périmètres d’édition bornés et désactivation simple à l’échelle des organisations.
Source : ITHome