#github

GitHubはCopilotアプリの技術プレビューを有料Copilot顧客全体へ広げ、ローカルとクラウドのsandboxを公開プレビューにした。焦点は新しいチャット機能ではなく、命令実行とファイル変更を担うagentの隔離と検証に移っている。

Megalodonは約6時間で5,718件の悪性commitを5,561件のGitHub repositoryに投入した。狙われたのはアプリ本体だけではなく、cloud credentialやCI secretを持つGitHub Actions workflowだった。

Githubは2026年5月20日、社内エンジニアがVS Codeマーケットプレイスに掲載されていた毒入り拡張「Nx Console」（公開からわずか11分で削除）をインストールしたことで、内部リポジトリ約3,800件が流出したと公式に認めた。脅威グループTeamPCPが犯行を認めており、1Password・Claude Code・AWSなどの認証情報が窃取されたとみられる。

Archestraチームは、単一のイシューにAIボットコメント253件・テストなしPR27件が殺到した問題を、コントリビューターオンボーディング検証とGitの--authorフラグの組み合わせで解決。AI支援の人間貢献と純粋なボットスパムを実用的に区別する手法を公開した。

HNで大きく伸びた理由は「GitHubもやられた」という刺激だけではない。普通の認証済みgit pushが内部インフラ実行につながったことで、話題は脆弱性の巧妙さよりプラットフォーム信頼の重さへ移った。

HNはこれを単なるホスティング移転として読まなかった。GitHubに強い愛着を持ってきたmaintainerがもう無理だと公に言い始めた瞬間、reliabilityとproduct focusの問題は背景ノイズではなく警告になる。

重要なのは、agentic coding のコストが見えない形では済まなくなることだ。GitHubは6月1日から全CopilotプランをAI Creditsベースへ切り替え、5月初旬には予想コストを示すpreview billを公開すると書いた。

エージェント製品は応答品質より前に待ち時間で評価される。GitHubはCopilotクラウドエージェントの起動が20%以上速くなり、3月の50%改善に続く最適化だと説明した。

問題は一時的な障害ではなく、開発トラフィックの質が変わったことだ。GitHubは2025年10月に始めた10倍増強計画を2026年2月には30倍前提へ引き上げ、4月23日の障害では230リポジトリと2,092件のPRが影響を受けた。

HNが反応したのは料金据え置きより、2026年6月1日からCopilotが実質的にトークン課金へ寄る点だった。長いエージェント実行を同じ月額で抱える時代が終わる、という読みがスレッドの中心にある。

重要なのは、Copilotが軽い補完機能の値付けでは回らなくなったことだ。GitHubは2026年6月1日から全プランをAI Creditsベースのトークン課金へ切り替え、コードレビューにはGitHub Actions minutesの消費も加える。

GitHubはCopilotのエージェント操作をJetBrainsのサイドチャットではなく、エディタ本体へ押し込み始めた。加えて、ファイル編集や端末コマンド、外部ツール呼び出しを一括承認する全体自動承認も入った。