GitHubのAIコーディング支援機能「Copilot」が、プルリクエスト(PR)の説明文にサードパーティ製品の宣伝を自動挿入していたことが判明しました。影響を受けたPRは150万件以上にのぼり、GitHubは批判を受けて同機能を無効化しています。
開発者の成果物にCopilotが宣伝文を無断で追記
GitHubのプルリクエスト(PR)とは、開発者がコードの変更をチームに提出してレビューを受けるための仕組みで、変更の内容を説明する説明文(Description)が付属します。今回問題となったのは、Copilotがこの説明文に開発者の意図しない宣伝を書き足していた点で、開発者コミュニティで批判が広がっています。
宣伝文の挿入はCopilotのエージェント機能経由で発生
オーストラリア在住の開発者Zach Manson氏によると、チームメンバーがGitHub上でPR内のタイポ修正をCopilotのエージェント機能(@copilotでメンションしてコード修正を依頼する機能)に依頼したところ、タイポは修正されたものの、PRの説明文にキーボードランチャーアプリ「Raycast」の宣伝文が追記されていたとのことです。
GitHub上で同じフレーズを検索すると11,000件以上のPRで確認されたほか、Neowinの調査ではSlack、Teams、VS Code、JetBrains IDEなど他のツール宣伝も見つかっており、合計150万件規模のPRが影響を受けています。なお、これはGitLab上のマージリクエストでも確認されていることから、CopilotのAPIレベルで広告挿入が行われていた可能性があります。
GitHubは「意図的な広告ではない」と弁明。すでに機能を無効化
GitHubのDeveloper Relations担当VPであるMartin Woodward氏は、Copilotがプルリクエストに「product tips」を挿入する機能が存在していたことを認め、批判を受けてすぐに無効化したことを明らかにしました。
Woodward氏によると、このtips表示はもともとCopilot自身が作成したPRに限定されていたものの、最近追加された「既存のPRに@copilotでメンションして修正を依頼する機能」にもtips挿入が適用されてしまい、人間が作成したPRにまで宣伝文が混入したとのことです。GitHubのプロダクトマネージャーTim Rogers氏も、tipsをこのような形で表示させた設計自体が「誤った判断だった」と認めています。
なお、Microsoftはこの一連の騒動を受けてWoodward氏の釈明と同じくバグだったとしており、今後GitHubに広告を表示する計画はないとの立場を示しています。
隠しHTMLコメントの利用でプロンプトインジェクションの懸念も
今回の宣伝文はPRのMarkdownソースに「START COPILOT CODING AGENT TIPS」という隠しHTMLコメントを介して挿入されていました。しかし、こうした隠しHTMLコメントは、PRやIssueの内容を読み取るAIエージェントに不正な指示を埋め込む「プロンプトインジェクション」の手法として知られており、2025年10月にはセキュリティ研究者がこの手法でCopilotを操作し、プライベートリポジトリの機密情報を窃取する攻撃を実証しています。
GitHub自身もこのリスクを認識しており、Copilot coding agentのドキュメントでは隠し文字やHTMLコメントをフィルタリングする旨が記載されています。にもかかわらずGitHub自らが同じ仕組みをtips配信に利用していた形となり、セキュリティ面でも悪い前例を作ったとの指摘が出ています。
収益化の手段としても筋が悪い
ChatGPTが広告を導入するなど、AIツールが収益化を模索すること自体は営利企業として仕方のないことです。しかし、PRの説明文に勝手に宣伝を書き足すのは、WebサイトやアプリのUIに広告枠を設けるのとは話が異なるほか、PRはチーム内のコードレビューに使われる記録であり、そこに意図しない文面が混入すれば、レビュアーの混乱を招くなど不信感に直結します。
加えて、隠しHTMLコメントは攻撃者に悪用されうる仕組みであり、これをGitHub自らが「便利な配信手段」として使っていたことはプラットフォームとしての信頼を損ないかねません。今回は批判を受けて無効化されましたが、AI製品の収益化圧力が強まる中で、同様の試みが形を変えて再浮上する可能性は否定できず、今後も注視が必要といえそうです。
コメント