Sicherheit, Risiken und Einschränkungen des Copilot Cloud Agent

  • 5 Minuten

Der GitHub Copilot Cloud Agent wurde von Grund auf mit Blick auf Sicherheit und Governance entwickelt. Es entsperrt zwar neue Möglichkeiten zum Delegieren von Arbeit an einen autonomen Agenten, arbeitet aber innerhalb der vorhandenen Schutzschienen Ihrer Organisation und fügt eigene Schutzmaßnahmen hinzu. In diesem Abschnitt wird erläutert, wie der Agent Ihre Sicherheitsrichtlinien durchsetzt, welche Risiken und Abhilfemaßnahmen Sie beachten sollten und welche Einschränkungen derzeit bestehen.

Am Ende dieser Einheit können Sie:

  • Beschreiben sie das Sicherheitsmodell und integrierte Schutzmaßnahmen des Copilot Cloud Agent.
  • Identifizieren Sie die wichtigsten Risiken, die mit der Verwendung des Agents verbunden sind, und die Entschärfungen, die GitHub anwenden.
  • Erkennen Sie die bekannten Einschränkungen des Workflows und der Kompatibilität des Agents, um die Nutzung entsprechend zu planen.

Sicherheitsmodell und integrierte Schutzmaßnahmen

Sicherheit ist für den Copilot Cloud Agent von grundlegender Grundlage. Es respektiert Ihre vorhandenen Steuerelemente und wendet eigene Schutzschienen an, um Ihre Workflows sicher zu halten:

  • Vorbehaltlich der Governance – Organisations- und Unternehmenseinstellungen steuern die Verfügbarkeit; alle Ihre Sicherheitsrichtlinien gelten weiterhin für den Agent.
  • Eingeschränkte Umgebung – Der Agent wird in einem Sandkasten auf GitHub-Aktionen mit firewalliertem Internetzugriff und schreibgeschütztem Zugriff auf Ihr Repository ausgeführt.
  • Einschränkungen für Branches – Es kann nur Branches erstellen und pushen, die mit copilot/ beginnen, und alle Branch-Schutzmaßnahmen und erforderliche Prüfungen gelten weiterhin.
  • Berechtigungsbewusst – Der Agent antwortet nur auf Benutzer mit Schreibberechtigung. Kommentare von anderen werden ignoriert.
  • Regeln für externe Mitarbeiter – Entwurfs-PRs vom Agent erfordern eine Genehmigung durch einen Benutzer mit Schreibberechtigung, bevor Aktionen ausgeführt werden. Die Person, die die PR angefordert hat, kann sie nicht genehmigen.
  • Compliance und Zuordnung – Alle Commits werden gemeinsam mit dem Entwickler verfasst, der die Aufgabe zugewiesen oder den Pull-Request angefordert hat, sodass die Zuordnung klar ist. Vorhandene Regeln für "erforderliche Genehmigungen" bleiben erhalten.

Risiken und Risikominderung

Obwohl der Copilot Cloud Agent unter Berücksichtigung der Sicherheit aufgebaut ist, gibt es immer noch Risiken, die Sie planen sollten. GitHub wendet Gegenmaßnahmen an, um sie zu reduzieren:

  • Risiko: Agent schiebt Code

    Schutzmaßnahmen: Nur Benutzer mit Schreibzugriff können Agent-Arbeit auslösen. Pushes sind auf copilot/-Branches (nicht Main/Master) beschränkt. Die Zugangsdaten des Agenten erlauben nur einfaches Push (ohne direkten git push Zugriff). GitHub-Aktionen-Workflows werden erst ausgeführt, wenn ein Benutzer mit Schreibberechtigung auf "Workflows genehmigen und ausführen" klickt. Der Antragsteller kann die PR des Agenten nicht genehmigen, wobei erforderliche Genehmigungen beibehalten werden.

  • Risiko: Zugriff auf vertrauliche Informationen

    Risikominderung: Der Internetzugriff des Agenten ist standardmäßig durch die Firewall eingeschränkt. Sie können die Firewall pro Richtlinie anpassen oder deaktivieren.

  • Risiko: Prompt-Injektion

    Risikominderung: Ausgeblendete Zeichen (z. B. HTML-Kommentare) werden gefiltert, bevor Benutzereingaben an den Agenten übergeben werden. Dadurch wird die Wahrscheinlichkeit versteckter schädlicher Anweisungen in Kommentaren oder Vorgängen reduziert.

Diese Steuerelemente bieten Ihnen einen sicheren Basisplan für die Verwendung des Agents, aber Sie sollten die Ausgaben dennoch sorgfältig überprüfen, genau wie Code, der von jedem Teammitglied geschrieben wurde.

Bekannte Einschränkungen

Workflowbeschränkungen

  • Kann nur Änderungen am selben Repository vornehmen in dem sich das zugewiesene Problem oder der PR befindet.
  • Der Kontextbereich ist standardmäßig auf das zugewiesene Repository beschränkt (kann über MCP erweitert werden).
  • Öffnet genau eine Pullanforderung pro Aufgabe.
  • Man kann eine PR, die nicht von einem selbst erstellt wurde, nicht ändern. Fügen Sie sie stattdessen als Reviewer hinzu, wenn Sie Feedback benötigen, indem Sie die Codeüberprüfung von GitHub Copilot verwenden.

Kompatibilitätseinschränkungen

  • Signiert keine Commits. Wenn Sie signierte Commits benötigen, müssen Sie den Commit-Verlauf vor dem Zusammenführen neu schreiben.
  • Erfordert GitHub-gehostete Ubuntu x64-Läufer. Selbst gehostete Runner werden nicht unterstützt.
  • Nicht für persönliche Repositorys verfügbar, die im Besitz von verwalteten Benutzerkonten sind (Runner sind nicht verfügbar).
  • Berücksichtigt keine Inhaltsausschlüsse; der Agent kann ausgeschlossene Dateien anzeigen und aktualisieren.
  • Die Richtlinie „Vorschläge, die mit öffentlichem Code übereinstimmen“ wird nicht vom Agenten erzwungen; Verweise dürfen nicht bereitgestellt werden.
  • Funktioniert nur mit von GitHub gehosteten Repositorys.
  • Sie können das vom Agent verwendete KI-Modell nicht ändern; es wird von GitHub ausgewählt.

Mit klaren Leitplanken und Grenzen können Sie damit beginnen, die Arbeit zu delegieren, den Fortschritt zu verfolgen und Ergebnisse mithilfe Ihres standardmäßigen PR-Workflows zu iterieren.