GitHub Copilot hat in Pull Requests ungefragt Produkthinweise eingebaut, die deutlich nach Werbung aussehen. Die vermeintlich freundlichen Tipps finden sich nicht nur in den Pull Requests, die Copilot erstellt hat, sondern auch in solchen, die der KI-Helfer nur bearbeitet hat. Nach Verwunderung und Protesten hat GitHub das Verhalten nun deaktiviert.

Fehlerkorrektur mit Werbebonus

Der Entwickler Zach Manson hat am 30. März einen Screenshot eines Pull Request veröffentlicht, bei dem Copilot Tippfehler korrigieren sollte und der nach der Korrektur einen zusätzlichen Hinweis enthielt: „Quickly spin up Copilot coding agent tasks from anywhere on your macOS or Windows machine with Raycast“. Das Wort Raycast hat Copilot freundlicherweise direkt mit einem Link zum Produktivitätstool versehen.

Der Pull Request von Zach Manson war kein Einzelfall: Eine Suche auf GitHub zeigt denselben Hinweis in gut 11.000 Pull Requests.

Über 1,5 Millionen Pull Requests und auch GitLab betroffen

Offenbar hat Raycast die Werbung nicht einmal selbst beauftragt. Ein Artikel auf Neowin zeigt, dass sich im Markdown zum Pull Request der versteckte HTML-Kommentar „START COPILOT CODING AGENT TIPS“ findet.

Neowin hat ähnliche „Hinweise“ auf weitere Produkte in insgesamt 1,5 Millionen Pull Requests gefunden und den Raycast-Tipp nicht nur auf GitHub, sondern auch in mit Copilot bearbeiteten Merge Requests auf GitLab entdeckt. „Nützliche Hinweise“ gab es auch zu Integrationen für Slack und Microsoft Teams sowie zum Starten von Copilot-Aufgaben direkt aus Editoren wie VS Code, Visual Studio, JetBrains-IDEs und Eclipse.

Keine ungefragten Hinweise mehr

Inzwischen ist GitHub zurückgerudert. Auf Hacker News hat Tim Rogers aus dem Copilot-Coding-Agent-Team geschrieben, dass die Pull Requests nun keine Hinweise mehr enthalten. „Wir haben in den vom Copilot-Coding-Agent erstellten PRs Produkttipps eingefügt. Das Ziel war es, Entwicklern dabei zu helfen, neue Möglichkeiten für den Einsatz des Agenten in ihrem Arbeitsablauf zu entdecken. Doch angesichts des Feedbacks hier und nach reiflicher Überlegung war die Entscheidung falsch. Wir werden so etwas nicht wieder tun.“

Auf X hat Martin Woodward von GitHubs Developer-Relations-Team geschrieben, dass die Tipps ursprünglich für vollständig von Copilot erstellte Pull-Requests gedacht und da noch ganz in Ordnung waren, aber es wurde eklig, als Copilot sich in jeden PR einmischte, bei dem er mitmischte.

(rme)

In dieser Episode sprechen Richard Seidl und André Köhler über die TACON, eine Konferenz mit klarem Fokus auf Testautomatisierung. Die beiden beleuchten, warum sie entstanden ist, was sie unterscheidet und wohin sie sich entwickelt. Praxisberichte aus Unternehmen, offene Einblicke in Stolpersteine und ein lernfreundliches Format prägen das Programm. Die familiäre Größe mit rund 130 Teilnehmenden und der feste Standort Leipzig schaffen Nähe, kurze Wege und abends tiefe Gespräche. Neue Elemente wie eine Gaming Area bringen Leichtigkeit.

André Köhler ist Gründer und Geschäftsführer von summit. Das Team von summit richtet zahlreiche Fachkonferenzen, Kongresse und Community Days rund um IT-Managementthemen aus. Dazu gehört auch die TACON (Test Automation Conference), die einmal jährlich stattfindet und interessierte Personen aus dieser Domäne zusammenbringt. Köhler ist darüber hinaus Professor für IT-Management an der IU Internationale Hochschule, wo er zu IT-Servicemanagement und IT-Projektmanagement lehrt und forscht.

Software-Testing im Gespräch

Bei diesem Format dreht sich alles um Softwarequalität: Ob Testautomatisierung, Qualität in agilen Projekten, Testdaten oder Testteams – Richard Seidl und seine Gäste schauen sich Dinge an, die mehr Qualität in die Softwareentwicklung bringen.

Die aktuelle Ausgabe ist auch auf Richard Seidls Blog verfügbar: „Eine Praxis-Konferenz rund um Testautomatisierung – André Köhler“.

(mai)

Die Aufgabenverwaltung Super Productivity bringt in Version 18.0 ein regelbasiertes Automationssystem, konfigurierbare Issue-Provider, Deadline-Funktionen und Sicherheitsverbesserungen in der Electron-Basis. Das Open-Source-Projekt erscheint für Linux, macOS, Windows, Android und iOS.

Das neue Automatisierungssystem

Kern der neuen Version ist ein Automationssystem. Nutzer definieren Regeln, die bei bestimmten Auslösern automatisch Aktionen ausführen. Die Regeln unterstützen Titelabgleiche per Regex sowie eine Bedingung für Titelpräfixe („Titel beginnt mit“). Regex (Regular Expressions) sind musterbasierte Suchausdrücke, mit denen sich Titel präziser erfassen lassen als mit einfachen Textfiltern. Damit lassen sich typische Triage- oder Inbox-Abläufe automatisieren.

Die Anbindung an externe Systeme wie Jira, GitHub oder GitLab wird flexibler. Super Productivity erlaubt jetzt, das Polling-Intervall zu konfigurieren – also festzulegen, wie oft die App entfernte Dienste nach Änderungen abfragt. Importierte Vorgänge erhalten auf Wunsch automatisch Standard-Tags und Standard-Notizen. Neu sind außerdem eine Zwei-Wege-Feldsynchronisation und Erweiterungen unterstützen nun auch das Löschen entfernter Issues. Der Google-Calendar-Provider wird nun als mitgeliefertes Plugin eingebunden.

Aufgaben in der Task-Ansicht lassen sich jetzt nach Fälligkeit sortieren, gruppieren und filtern. Die Ansicht unterscheidet dabei Zeitfenster wie „heute“, „morgen“ oder „diese Woche“. Beim Ziehen einer Aufgabe in den Kalender zeigt eine Vorschau, wie lang der geplante Zeitblock wird. Unteraufgaben heben sich in Suchergebnissen visuell stärker ab.

Mobil: Wischgesten, besseres OAuth

Die Mobilversionen bekommen unter anderem ein Rechtswischen zum Abhaken, touchfreundlichere Kontextmenüs und vertikal begrenztes Drag-and-drop auf kleinen Displays. Android zeigt jetzt auch Erinnerungen aus der Hintergrundsynchronisation an.

Sicherheitsrelevant: Für Google-OAuth nutzt die App auf Mobilgeräten nun den Systembrowser statt einer eingebetteten WebView. Das entspricht der Empfehlung aus RFC 8252 für native Apps – ein externer Browser trennt Cookies und Seiteninhalt von der App. Google blockiert OAuth-Anfragen aus eingebetteten WebViews ohnehin.

Electron-Basis abgesichert

Auf dem Desktop aktiviert Super Productivity die webSecurity in Electron wieder und ergänzt einen Permission-Handler. Das ist kein kosmetischer Eingriff: Ohne webSecurity fällt die Same-Origin-Policy, und die App kann unsichere Inhalte domänenübergreifend ausführen. Electrons eigene Sicherheitsdokumentation warnt ausdrücklich davor, diese Einstellung in Produktionsanwendungen abzuschalten.

Das Preload-Skript wird nun mit esbuild gebündelt, was die Nutzung des Electron-Sandbox-Modus erleichtert. In sandboxierten Renderern gibt es keine vollständige Node.js-Umgebung; privilegierte Aufgaben laufen über IPC zum Hauptprozess. Preload-Skripte behalten dabei nur einen begrenzten Satz an Node- und Electron-APIs. Das verkleinert die Angriffsfläche.

Mehrere Sync-Fehler haben die Entwickler ebenfalls behoben: ein falscher „in sync“-Status bei Fehlern, der Verlust von Auth-Daten nach temporären Serverproblemen und Abstürze der Markdown-Synchronisation beim Anlegen von Unteraufgaben während einer Sync-Oszillation. Die Sync-Server-Bereitstellung validiert jetzt Caddyfile und Container.

Neues Theme, überarbeitetes Onboarding

Ferner bringt Version 18.0 ein minimalistisches Zen-Theme, ein überarbeitetes Onboarding mit Preset-Auswahl und lokalisierten Beispielaufgaben, klickbare Links in Aufgabentiteln, Tastenkürzel für Fett- und Kursivschrift in Kommentaren sowie ein größenverstellbares Always-on-top-Overlay. An Community-Plugins kommen eine Obsidian-Integration und ein StudyForge-Leaderboard hinzu.

Unter der Haube aktualisiert das Projekt Angular und Capacitor, behebt Speicherlecks und validiert die Formate von dueDay und deadlineDay beim Schreiben, um falsche Überfällig-Anzeigen zu verhindern. Der CSV-Export für Arbeitsprotokolle verarbeitet jetzt auch chinesische Zeichen korrekt.

Alle Informationen zu Super Productivity 18.0 finden sich in den Release Notes auf GitHub.

(fo)