Copilot a inséré une publicité dans ma Pull Request

 (notes.zachmanson.com)
3 points par GN⁺ 2026-03-31 | 2 commentaires | Partager sur WhatsApp
  • Lorsqu’un membre de l’équipe utilisait Copilot pour corriger des fautes de frappe dans une PR, Copilot a ajouté automatiquement à la description de la PR un texte promotionnel pour lui-même et pour Raycast
  • L’auteur qualifie cela de « horrible » et explique qu’il s’attendait à ce que ce genre de chose finisse par arriver, mais pas aussi vite
  • Citation d’un texte de Cory Doctorow, « TikTok’s Enshittification »

    Processus de dégradation d’une plateforme : « utile aux utilisateurs → réorientée au profit des clients business → exploitation jusqu’aux clients eux-mêmes → effondrement final »

  • Cet incident illustre le risque que des outils d’IA insèrent du contenu publicitaire dans des environnements de collaboration autour du code
  • Il faut garantir la fiabilité et la transparence des outils d’assistance au code par IA

À lire aussi

2 commentaires

 
m00nlygreat 2026-03-31

MS fidèle à elle-même.
 
GN⁺ 2026-03-31
Réactions sur Hacker News

  • Cette « publicité » n’a en réalité rien de nouveau. MS semble considérer que ce n’est pas une publicité mais un « conseil »
    On ne sait pas si l’équipe de Raycast était au courant. D’après des exemples de PR et les résultats de recherche, Copilot ajoutait automatiquement ce type de mention « (emoji) (tip) » depuis son lancement en mai 2025.
    On y trouvait des formulations du genre « Connectez Jira, Azure Boards et Linear pour déléguer des tâches à Copilot ». Cela ressemble de fait à de la publicité. Il n’y a guère que MS pour appeler ça un conseil

    • Je fais partie de l’équipe Raycast, et nous aussi l’avons découvert ici pour la première fois
    • MS semble expérimenter depuis longtemps jusqu’où il peut abuser de ses utilisateurs. Windows en est l’exemple type — rempli de publicités, de traçage et de pop-ups. Mais la situation change maintenant qu’Apple apporte enfin une vraie concurrence
    • Si Copilot met des publicités dans les PR, imaginez ce qu’il peut mettre dans une base de code. C’est bien l’entreprise qui met des pubs dans le menu Démarrer et les réinsère à chaque mise à jour
    • Les 1,5 million de PR désignent des PR créées par Copilot. Le problème, c’est que Copilot modifie après coup des PR rédigées par des humains pour y ajouter des pubs. Que cela se produise sans l’accord de l’auteur est problématique
    • C’est comparable à l’offre « sans publicité » de Disney Plus qui affiche quand même des pubs Hulu. Ils ont probablement défini dans les CGU que « les publicités pour leurs propres services ne sont pas des publicités »

  • Ici Tim de l’équipe Copilot Coding Agent. Nous avons désactivé la fonctionnalité de « conseil » qui apparaissait dans les PR créées ou modifiées par Copilot
    L’intention initiale était d’aider les développeurs à mieux utiliser Copilot, mais après avoir écouté les retours, je pense que notre jugement était erroné. Nous ne referons plus cela

    • Merci, mais ce n’était pas un conseil, c’était une publicité. « Gagnez du temps avec des raccourcis clavier », c’est un conseil ; « essayez un autre produit », c’est une publicité
    • MS répète depuis des décennies des comportements hostiles envers ses utilisateurs. On peut douter de la précision du « nous ne le referons plus »
    • Je ne veux absolument pas de ce type d’insertion. Injecter du contenu hors contexte de la session entraîne un blocage immédiat en environnement d’entreprise. Le fait que personne dans l’équipe ne s’y soit opposé est encore plus inquiétant
    • Le point le plus grave sur le plan de la sécurité, c’est que « Copilot peut aussi modifier des PR où il est mentionné ». Je ne fais plus confiance à GitHub, et je me dis qu’il faudra peut-être forker npm ou VS Code
    • Imaginez qu’on insère dans mon texte une phrase comme « Promo sur les tomates chez Contoso ! ». C’est exactement la situation actuelle. Il est difficile de croire au « c’était juste un conseil »

  • Le vrai problème est ailleurs. Si l’on regarde les modifications de la politique de confidentialité de GitHub, on voit qu’une section liée aux fonctionnalités IA a été ajoutée
    En substance, cela autorise GitHub et ses partenaires à utiliser les données d’entrée (prompt) et de sortie (output) pour entraîner des modèles d’IA.
    À mon avis, il ne faut tout simplement pas utiliser Copilot

    • OpenAI, Anthropic, Google et les autres entraînent tous leurs modèles de la même façon avec les données
    • On peut désactiver cela sur la page de paramètres en coupant l’option « Allow GitHub to use my data for AI model training »

  • Je ne suis pas le seul à avoir vu ça. Il existe déjà beaucoup de PR similaires

    • Intéressant. On peut se demander combien de temps GitHub restera une plateforme durable. Ceux qui se souviennent de SourceForge ont de quoi être inquiets
    • Vu la présence de la mention « START COPILOT CODING AGENT TIP », il est clair que l’insertion vient de Copilot et non de Raycast
    • C’est un chaos total. On dirait une dystopie où une pub « Buvez du Diet Fanta » s’affiche devant le visage de quelqu’un allongé dans un cercueil en train de mourir

  • Les pubs sont agaçantes, mais c’est déjà bien que MS ait décidé d’arrêter
    Cela dit, je trouve utile qu’un agent IA s’ajoute comme co-auteur (co-author) dans le message de commit.
    Cela sert de signal pour distinguer le code écrit directement par un humain du code généré par une IA.
    Je garde aussi cette indication sur les commits écrits par Claude. J’apprends encore à coder avec l’IA, donc cette transparence est importante

    • Personnellement, je trouve que cela n’a pas beaucoup de sens. La qualité du code n’a rien à voir avec son auteur. Le traiter différemment parce que « c’est Claude qui l’a écrit », que ce soit pour l’excuser ou le rejeter, n’est pas approprié
    • Voler du code protégé par le droit d’auteur et le publier comme si c’était le sien n’est pas une compétence (skill)
    • Croire que l’objectif de l’IA est de « générer du code de qualité » me paraît naïf
    • Pour les projets de loisir, des PR IA peuvent aller si un humain intervient. Une mention comme « Written with help from Copilot » est utile par souci de transparence

  • GitHub aurait déjà désactivé cette fonctionnalité
    D’après un tweet officiel, Copilot ajoutait à l’origine des conseils produit dans les PR qu’il créait, mais quand il s’est mis à pouvoir modifier aussi d’autres PR, le problème est apparu, et tout a été coupé entièrement

    • Heureux que ce soit coupé, mais dire « nous l’avons désactivé grâce aux retours » sonne comme « s’il n’y avait pas eu de plaintes, nous aurions continué », ce qui met mal à l’aise
    • Si l’on accepte tel quel cet euphémisme de grande entreprise qu’est « conseil produit », l’enshittification ne fera qu’empirer

  • Moi, j’aime plutôt ce genre de publicité ainsi que l’indication de co-auteur de Claude
    Ça permet de repérer immédiatement les « PR faites paresseusement par copier-coller ». Les PR générées par IA devraient être clairement signalées
    Je ne suis pas opposé aux outils de codage IA en eux-mêmes, mais il faut savoir qui a réellement écrit le code

    • Ce n’est pas un self-own, c’est une divulgation honnête. Publier sous son propre nom quelque chose qu’une IA a écrit est au contraire malhonnête
    • Pour le code que j’écris avec ChatGPT, je définis aussi l’auteur (author) comme ChatGPT et le committer comme moi. La transparence est importante
    • Même dans mes dépôts personnels, je conserve la ligne Co-Authored-By de Claude. Plus tard, cela facilite le suivi de la qualité ou des caractéristiques logiques de ce code
    • J’ai moi aussi publié une appli écrite par Claude, et je n’ai pas vu de raison de le cacher. Une mention explicite et honnête me paraît préférable
    • On peut ajuster ce comportement via le paramètre d’attribution dans .claude/settings.json. Moi, j’enlève juste les emojis

  • C’est une insertion publicitaire non autorisée en se faisant passer pour le développeur. Ce n’est pas comme un brouillon dans un client mail, c’est directement dans le vrai message. Je me demande si c’est légal

    • Ce genre de pratique devrait être interdit par la loi. En période électorale, surtout aux primaires, il faut voter pour des candidats qui ne sont pas des sortants

  • J’ai demandé à Copilot : « Comment les développeurs réagiraient-ils si une IA mettait des publicités dans les PR ? »
    Il a répondu : « effondrement de la confiance, non-professionnel, inquiétudes de sécurité, déclin du produit ». Comme quoi, parfois, l’IA voit juste

    • Je me demande à quel Copilot la question a été posée
    • Cela me rappelle les pubs dans le MOTD à la connexion sur Ubuntu. C’était vraiment insupportable à l’époque
    • En réalité, on peut aussi voir cela moins comme une « pub » que comme une signature du type « Sent from my iPhone »

  • Je ne comprends pas pourquoi Copilot fait ce genre de chose. S’ils veulent afficher de la publicité, pourquoi ne pas simplement créer un emplacement publicitaire ? Faut-il vraiment modifier le corps des PR parce que l’infrastructure GitHub est trop instable ?

    • On n’est pas sûr que cela vienne réellement de MS Copilot. Une injection de prompt pourrait aussi insérer ce genre de publicité
    • En voyant ce fil, cela semble plutôt lié à Raycast. Le fait que cela apparaisse aussi sur GitLab me conforte dans cette idée
    • S’ils affichent des pubs sur github.com, des outils comme gh CLI ne les verront pas ; c’est peut-être pour cela qu’ils les ont mises dans le corps des PR.
      En plus, le blog officiel de GitHub faisait déjà la promo de Raycast, donc ce qui s’est passé ici paraît tout à fait plausible