#github

GitHub Copilot 앱 기술 미리보기가 유료 Copilot 고객 전체로 넓어지고, 로컬·클라우드 sandbox가 공개 미리보기로 붙었다. agent가 코드를 고치고 명령을 실행하는 시대의 핵심 쟁점이 모델 성능에서 실행 격리와 검증 흐름으로 이동하고 있다.

Megalodon 캠페인은 6시간 동안 5,718개 악성 commit을 5,561개 GitHub 저장소에 밀어 넣었다. 공격자는 애플리케이션 코드보다 GitHub Actions workflow를 노려 cloud credential과 CI secret을 빼내는 구조를 택했다.

해커 그룹 TeamPCP가 VS Code 마켓플레이스에 올린 독성 Nx Console 확장(게시 11분 만에 삭제)을 통해 GitHub 직원 PC를 침해하고 내부 저장소 약 3,800개를 탈취했다고 GitHub이 5월 20일 확인했다. 1Password·Anthropic Claude Code·AWS 자격증명이 유출됐으며, 공격자는 5만 달러에 데이터를 판매 시도 중이다.

Archestra 팀은 AI 봇이 생성한 저품질 기여물이 저장소를 압도하는 문제를 Git의 --author 플래그와 온보딩 검증 절차로 해결했다. 단일 이슈에 AI 봇 댓글 253개, 기능 요청 하나에 테스트 없는 PR 27개가 몰렸던 경험에서 출발한 실용적 해법이다.

이 글이 HN에서 크게 붙은 이유는 “GitHub도 뚫렸다”는 자극보다, 평범한 git push 한 번이 내부 인프라 실행으로 이어졌다는 점이었다. 댓글은 이 사건을 취약점 하나보다 코드 호스팅 전체의 신뢰 예산 문제로 읽었다.

HN은 이번 일을 단순한 호스팅 이동으로 읽지 않았다. GitHub에 애정이 깊던 maintainer가 더는 못 버티겠다고 나서는 순간, reliability와 product focus 문제는 배경 소음이 아니라 경고가 된다.

중요한 점은 agentic coding 비용이 더 이상 한 덩어리로 숨겨지지 않는다는 데 있다. GitHub는 6월 1일부터 모든 Copilot 플랜을 AI Credits 체계로 바꾸고, 5월 초에는 예상 비용을 보여주는 preview bill을 먼저 연다고 적었다.

에이전트 제품의 첫 인상은 모델 답변이 아니라 기다림에서 갈린다. GitHub는 Copilot 클라우드 에이전트 기동 시간이 20% 이상 짧아졌고, 이는 3월의 50% 개선에 이어 나온 후속 최적화라고 설명했다.

이번 이슈는 단순 장애 공지가 아니다. GitHub는 2025년 10월 시작한 10배 증설 계획을 2026년 2월 30배 규모로 다시 잡았고, 4월 23일 사고에서는 230개 저장소와 2,092개 PR이 영향권에 들어갔다.

HN은 구독료 동결보다 더 큰 신호를 읽었다. 2026년 4월 27일 GitHub가 긴 에이전트 코딩 세션의 비용을 더는 정액으로 숨길 수 없다고 인정했고, Copilot도 결국 토큰 계산대로 간다는 반응이 스레드의 중심이었다.

이 변화가 큰 이유는 Copilot이 더 이상 가벼운 자동완성 도구 가격표로는 유지되지 않기 때문이다. GitHub는 2026년 6월 1일부터 모든 Copilot 플랜을 AI Credits 기반 토큰 과금으로 바꾸고, 코드 리뷰에는 GitHub Actions minutes까지 붙인다고 적었다.

GitHub가 Copilot의 에이전트 모드를 JetBrains 채팅 패널 밖, 에디터 안으로 밀어 넣었다. 여기에 파일 수정·터미널 명령·외부 도구 호출까지 한 번에 승인하는 전역 자동승인 옵션도 추가됐다.