Copilot đã chèn quảng cáo vào Pull Request của tôi

MS đúng là vẫn kiểu của MS.

Ý kiến trên Hacker News

• “Quảng cáo” này thực ra không mới. Có vẻ MS không xem đây là quảng cáo mà là một “mẹo”
  Không rõ đội Raycast có biết chuyện này hay không. Nhìn vào các PR ví dụ và kết quả tìm kiếm, có thể thấy Copilot đã tự động thêm những dòng “(emoji) (tip)” như vậy kể từ khi ra mắt vào tháng 5/2025.
  Có những câu như “Kết nối với Jira, Azure Boards, Linear để giao việc cho Copilot”. Về thực chất thì trông như quảng cáo. Có lẽ chỉ MS mới gọi đó là mẹo

  • Tôi thuộc đội Raycast, và chúng tôi cũng mới biết chuyện này ở đây lần đầu
  • Có vẻ MS đã thử nghiệm từ lâu xem họ có thể lạm dụng người dùng đến mức nào. Windows là ví dụ điển hình — đầy quảng cáo, theo dõi và popup. Nhưng giờ tình hình đang khác đi khi Apple bắt đầu tạo ra cạnh tranh thực sự
  • Nếu Copilot có thể chèn quảng cáo vào PR, hãy thử tưởng tượng nó có thể chèn gì vào ngay trong codebase. Đây là chính công ty từng nhét quảng cáo vào menu Start và lại chèn lại sau mỗi lần cập nhật
  • 1,5 triệu PR ở đây là nói về các PR do Copilot tạo ra. Vấn đề là Copilot đang chỉnh sửa PR do con người tạo ra sau đó để chèn quảng cáo. Việc này xảy ra mà không có sự đồng ý của tác giả là có vấn đề
  • Giống như gói “không quảng cáo” của Disney Plus nhưng vẫn hiện quảng cáo Hulu. Chắc trong điều khoản dịch vụ họ định nghĩa rằng “quảng cáo cho sản phẩm của chính mình không phải là quảng cáo”

• Tôi là Tim từ đội Copilot Coding Agent. Chúng tôi đã tắt tính năng “mẹo” từng được thêm vào các PR do Copilot tạo hoặc chỉnh sửa
  Ban đầu mục đích là giúp lập trình viên tận dụng Copilot tốt hơn, nhưng sau khi lắng nghe phản hồi, tôi nghĩ đó là một quyết định sai. Chúng tôi sẽ không làm vậy nữa trong tương lai

  • Cảm ơn, nhưng đó không phải mẹo mà là quảng cáo. “Tiết kiệm thời gian với phím tắt” là mẹo, còn “hãy thử sản phẩm khác” là quảng cáo
  • MS đã lặp đi lặp lại cách hành xử thiếu thân thiện với người dùng suốt hàng chục năm. Thật khó tin câu “sẽ không làm vậy nữa” chính xác đến đâu
  • Tôi tuyệt đối không muốn kiểu chèn này. Bơm nội dung ngoài ngữ cảnh phiên làm việc như vậy thì trong môi trường doanh nghiệp sẽ bị chặn ngay. Việc không ai trong đội phản đối mới càng đáng lo hơn
  • Phần “Copilot có thể chỉnh sửa cả PR có nhắc đến nó” còn là một lỗ hổng bảo mật lớn hơn. Tôi không còn tin GitHub nữa, và nghĩ rằng có lẽ phải fork npm hoặc VS Code
  • Hãy tưởng tượng có câu như “Contoso đang giảm giá cà chua!” bị chèn vào bài viết của tôi. Đó chính là tình huống hiện tại. Rất khó tin lời giải thích “chỉ là một mẹo thôi”

• Vấn đề thật sự lại nằm ở chỗ khác. Nhìn vào thay đổi trong chính sách quyền riêng tư của GitHub, có một mục mới liên quan đến tính năng AI
  Về cơ bản, nó cho phép GitHub và các đối tác dùng dữ liệu đầu vào (prompt) và đầu ra (output) để huấn luyện mô hình AI.
  Tôi nghĩ không nên dùng Copilot ngay từ đầu

  • OpenAI, Anthropic, Google và các bên khác cũng đều dùng dữ liệu theo cách tương tự để huấn luyện
  • Có thể tắt ở trang cài đặt bằng cách bỏ chọn “Allow GitHub to use my data for AI model training”

• Không chỉ mình tôi thấy chuyện này. Đã có khá nhiều PR tương tự xuất hiện rồi

  • Thật thú vị. Tôi tự hỏi GitHub còn là một nền tảng bền vững được bao lâu nữa. Ai còn nhớ SourceForge chắc sẽ thấy bất an
  • Nhìn dòng “START COPILOT CODING AGENT TIP” thì rõ ràng đây là do Copilot chèn vào chứ không phải Raycast
  • Hỗn loạn hoàn toàn. Cứ như một xã hội phản địa đàng nơi trước mặt người đang hấp hối nằm trong quan tài lại hiện quảng cáo “Hãy uống Diet Fanta”

• Quảng cáo thì phiền thật, nhưng may là MS đã quyết định dừng lại
  Dù vậy tôi vẫn thấy việc AI agent tự thêm mình làm đồng tác giả (co-author) trong commit message là tốt.
  Vì đó là tín hiệu giúp phân biệt mã do con người viết với mã do AI tạo ra.
  Tôi cũng để lại dấu này trong các commit do Claude viết. Tôi vẫn đang học cách dùng AI để lập trình nên sự minh bạch như vậy rất quan trọng

  • Cá nhân tôi thấy điều đó không có nhiều ý nghĩa. Chất lượng mã không phụ thuộc vào việc ai viết. Nương tay hay từ chối chỉ vì “Claude viết” đều không phù hợp
  • Ăn cắp mã có bản quyền rồi đăng lên như của mình không phải là một kỹ năng
  • Nghe khá ngây thơ khi tin rằng mục tiêu của AI là “tạo ra mã chất lượng cao”
  • Với dự án cá nhân thì PR do AI làm cũng ổn miễn là có con người can thiệp. Những câu như “Được viết với sự hỗ trợ của Copilot” khá minh bạch nên tôi thấy tốt

• GitHub được cho là đã vô hiệu hóa tính năng này
  Theo tweet chính thức, ban đầu họ thêm mẹo sản phẩm vào các PR do Copilot tạo, nhưng khi Copilot có thể chỉnh sửa cả PR khác thì vấn đề phát sinh nên họ đã tắt hoàn toàn

  • Tắt thì tốt, nhưng câu “đã vô hiệu hóa nhờ phản hồi” nghe khó chịu vì như thể “nếu không ai phàn nàn thì chúng tôi vẫn tiếp tục”
  • Nếu cứ chấp nhận nguyên xi kiểu nói giảm nói tránh của tập đoàn lớn như “mẹo sản phẩm”, thì enshittification sẽ ngày càng tệ hơn

• Tôi thật ra lại thích những quảng cáo kiểu này và cả việc Claude ghi đồng tác giả
  Chỉ cần nhìn là biết ngay đó là một PR “lười biếng copy-paste”. PR do AI tạo ra phải được đánh dấu rõ ràng
  Tôi không phản đối bản thân công cụ lập trình AI, nhưng cần biết ai mới là bên thực sự viết mã

  • Đó không phải “tự bêu xấu mình” mà là công khai trung thực. Đăng thứ do AI viết dưới tên mình mới là không trung thực
  • Tôi cũng đặt mã viết bằng ChatGPT với author là ChatGPT và committer là tôi. Minh bạch rất quan trọng
  • Ngay cả trong kho cá nhân tôi vẫn giữ dòng Co-Authored-By của Claude. Về sau nhìn lại sẽ dễ lần theo chất lượng hoặc đặc điểm logic của đoạn mã đó hơn
  • Tôi cũng từng đăng một ứng dụng do Claude viết, và thấy chẳng có lý do gì phải giấu. Thành thật ghi rõ còn tốt hơn
  • Có thể điều chỉnh hành vi này trong thiết lập attribution của .claude/settings.json. Tôi dùng nhưng bỏ emoji đi

• Đây là chèn quảng cáo trái phép dưới danh nghĩa nhà phát triển. Không phải như chương trình mail chèn vào bản nháp, mà là chui thẳng vào thông điệp thực tế. Tôi nghi ngờ tính hợp pháp của việc này

  • Những hành vi như vậy nên bị đặt ngoài vòng pháp luật. Đặc biệt trong bầu cử, nhất là bầu cử sơ bộ, nên bỏ phiếu cho ứng viên không phải đương nhiệm

• Tôi hỏi Copilot rằng “nếu AI chèn quảng cáo vào PR thì lập trình viên sẽ phản ứng thế nào?”,
  nó trả lời: “sụp đổ niềm tin, thiếu chuyên nghiệp, lo ngại bảo mật, sản phẩm suy tàn”. Đôi khi AI cũng đúng

  • Tôi tự hỏi là bạn đã hỏi Copilot nào
  • Nó làm tôi nhớ tới quảng cáo MOTD lúc đăng nhập Ubuntu. Hồi đó cũng cực kỳ khó chịu
  • Thực ra có thể xem nó gần với một dòng chữ ký kiểu “Sent from my iPhone” hơn là “quảng cáo”

• Tôi không hiểu vì sao Copilot lại làm chuyện này. Nếu muốn hiển thị quảng cáo thì chẳng phải chỉ cần tạo một khu vực quảng cáo là được sao? Hay hạ tầng GitHub bất ổn đến mức phải sửa cả nội dung PR?

  • Chưa chắc đây thực sự là từ MS Copilot. Prompt injection cũng có thể chèn kiểu quảng cáo như vậy
  • Xem chuỗi này thì có vẻ là vấn đề liên quan Raycast. Nó cũng xuất hiện trên GitLab nên tôi càng tin hơn
  • Nếu hiện quảng cáo trên github.com thì các công cụ như gh CLI sẽ không thấy, nên có thể họ mới chèn vào thân PR.
    Hơn nữa, blog chính thức của GitHub cũng từng quảng bá Raycast, nên lần này cũng hoàn toàn có thể xảy ra như vậy