4月24日过后,你展示给Copilot的代码会成为下一个AI模型的训练数据。默认值就是"同意"。
这是什么?
这是GitHub在2026年3月25日通过官方博客宣布的政策变更。自4月24日起,Copilot Free、Pro、Pro+用户的交互数据将被用于AI模型训练。涵盖范围包括输入代码、输出结果、光标周围的上下文、反馈评分等,几乎涉及实际开发过程中的所有数据。
关键在于默认值。这是opt-out(默认加入、需手动退出)机制,如果你不主动修改设置,数据就会自动进入训练流程。此前已经选择拒绝数据收集的用户,原有选择会被保留;但新用户或从未动过设置的人,默认状态就是"同意"。
Copilot Business和Enterprise用户不受此次变更影响。因为企业合同里本来就有数据保护条款。学生和教师也是例外。
GitHub首席产品官(CPO)Mario Rodriguez表示,"真实的开发者交互数据能提升模型的准确性、安全性和漏洞检测能力"。他援引的依据是:先用微软员工数据训练后,接受率(acceptance rate)有了明显提升。
有什么不同?
| 变更前 | 4月24日之后 | |
|---|---|---|
| 数据训练默认值 | opt-in(手动同意) | opt-out(默认收集) |
| 收集范围 | 产品改进用的遥测数据 | 含代码片段、输入输出、反馈 |
| 私有仓库 | 不用于训练 | 使用Copilot期间可能被收集 |
| 数据共享 | 限GitHub内部 | 可与Microsoft等关联公司共享 |
争议最大的是私有仓库部分。GitHub声称处于"at rest"(静态存储)状态的私有仓库内容不会被用于训练,但同时明确说明,在使用Copilot期间,私有仓库的代码可能会被收集。特意用"at rest"这个措辞,本身就意味深长。
The Register分析说,这相当于"私有仓库的含义已经变了"。其实GitHub的"私有",是带星号(*)的私有。
社区反应相当冷淡。在GitHub社区讨论区,emoji投票有59个反对、3个火箭(支持),39条评论中除了GitHub官方人员,几乎没有正面声音。欧盟方面,GDPR合规性的质疑也已浮出水面。
注意API密钥和密码
Copilot没有忽略敏感文件(.env、credentials等)的机制。社区里有人指出,只要你打开IDE,这些信息就可能被发送到Microsoft。把secret直接写进私有仓库的习惯,现在就得改。
上手指南:现在就该做的事
- 修改opt-out设置
访问github.com/settings/copilot/features → Privacy板块 → 将"Allow GitHub to use my data for AI model training"改为Disabled - 核查组织账号
除了个人账号,还要确认所在组织的Copilot策略。Business/Enterprise账号虽然不受影响,但很多人用个人Pro账号处理工作事务。 - 排查secret管理
检查.gitignore,确保.env文件和credentials没有直接放进仓库。Copilot能访问的文件里,绝对不能有secret。 - 评估替代方案
如果对数据政策不放心,可以评估Cody(Sourcegraph)、Continue(开源)、本地LLM的编码助手。Anthropic甚至对opt-in用户提供折扣。
给团队负责人
把这次变更通知给团队成员,指导每个人检查各自的设置。尤其是自由职业者或外部贡献者用个人Copilot Pro账号访问公司私有仓库的情况——公司代码可能在不经意间流入训练数据。
