GitHub Copilot で TODO(@ を打つと誰かのToDoが表示される、かもしれない

コメント中に後でやるべき課題を ToDo の形で残す、多くのプログラマがやっている習慣かと思います。

twitter で報告されたのは、GitHub のコーディング提案機能 Copilot をオンにして TODO(@ナントカ と他ユーザーを指定したコメントを書き始めると、ユーザー名とToDoの内容が提案されるというもの。

twitter.com/aeolianeth/status/1579980661464895490

どこかの誰かのToDo がユーザー名と結びついて他のプログラマから見えたとしたら…?

そこまでたいへんなことではないかもしれません。ToDo に書いたことにそこまで機密性の高いものはないかもしれませんし。そもそもオープンにされているソースコードから収集したものでしょうし。

Hacker News の議論では、「ここに出てきたユーザー名の公開リポジトリを見てみたけれど提案されたような ToDo は見当たらなかった」と言ってる人もいます。

ろくに中身が無かったり、privateリポジトリばかりだったり、存在しないユーザー名もあったようなので、「ユーザー名の提案はランダムに生成したものが出ているだけで実際のユーザー名とは偶然衝突しているだけなのでは」、とか、「万一コメントの中に API key などがあっても、それは GitHub 全体の仕組みとして警告される(ので提案されるデータには入っていないだろう)」といった意見も出ています。

提案されているのはどこかの誰かのToDoコメントではあるのでしょうけれど、それが提案されたユーザー名とは関係ないらしい、というあたりでしょう。

学習元のデータもオープンである限りは問題ないのかな。この件は実際に問題がありそうな提案例が報告されるかどうかの続報待ちでしょうね。

via Hacker News