GitHub acaba de cruzar una línea que nadie esperaba.
Copilot — la herramienta de IA que millones de desarrolladores usan para programar — estuvo inyectando publicidad en los pull requests. Sin avisar. Sin permiso.
1.5 millones de PRs contaminados.
¿Qué pasó exactamente?
Un desarrollador australiano llamado Zach Manson pidió a Copilot que corrigiera un typo en su PR. Copilot lo hizo… y de paso agregó esto:
“Quickly spin up Copilot coding agent tasks from anywhere on your macOS or Windows machine with Raycast.”
Su reacción fue brutal: “This is horrific” (Esto es horrífico).
Y no era un caso aislado. Una búsqueda en GitHub reveló más de 11,000 PRs con el mismo texto inyectado. Análisis más profundos encontraron más de 1.5 millones de pull requests afectados — incluyendo repos en GitLab.
¿Cómo lo hacían?
Cada PR contaminado tenía un comentario HTML oculto:
<!-- START COPILOT CODING AGENT TIPS -->
Seguido de “tips” promocionando:
- Raycast + Copilot
- VS Code + Copilot
- JetBrains + Copilot
- Slack + Copilot
- Teams + Copilot
Microsoft dice que no eran “anuncios pagados”. Solo “recomendaciones de producto”. Claro, porque eso lo hace menos invasivo.
La respuesta de GitHub
Martin Woodward, VP de Developer Relations, lo admitió todo:
“Ya lo deshabilitamos. Básicamente daba tips de producto que estaban medio ok en PRs originados por Copilot, pero cuando agregamos la capacidad de que Copilot trabaje en CUALQUIER PR, el comportamiento se volvió icky [asqueroso].”
El problema: desde el 24 de marzo, Copilot puede editar cualquier PR si alguien lo menciona. Y cuando lo hace, inyecta sus “tips”.
El verdadero problema
Los pull requests son documentación permanente. Son parte del historial de versiones de un proyecto. No se pueden “revertir” automáticamente.
Ahora, miles de proyectos open source tienen que auditar manualmente sus PRs para limpiar la basura promocional que Copilot inyectó.
¿Te imaginas el trabajo?
El contexto que nadie quiere ver
Según Sequoia Capital, hay una brecha de $400 mil millones entre lo que las empresas invierten en infraestructura de IA y lo que realmente generan de revenue.
¿El resultado? Presión brutal por monetizar.
OpenAI ya puso ads en ChatGPT. Ahora GitHub contamina PRs con “tips”. ¿Qué sigue?
Mi take
Los desarrolladores le dan a Copilot permisos para modificar su código porque confían en que la herramienta hará lo que le piden — nada más.
Esa confianza se rompió.
Llamarlo “error de lógica de programación” o “tips de producto” no cambia lo que es: publicidad no solicitada inyectada en el trabajo de otros.
Martin Woodward ya había recibido 2,874 downvotes (contra 21 upvotes) por quitar modelos premium del plan de estudiantes. Esto solo empeora las cosas.
Lo que deberías hacer
- Audita tus repos: Busca “START COPILOT CODING AGENT TIPS” en tus PRs
- Revisa los permisos: ¿Realmente necesitas que Copilot edite cualquier PR?
- Considera alternativas: Cursor, Codeium, Claude Code — ninguno ha hecho esto (todavía)
La confianza toma años en construirse y segundos en destruirse. GitHub acaba de aprender esa lección.
Más análisis sin filtros en jorgerazo.com
