Segurança, riscos e limitações do Copilot Cloud Agent

  • 5 minutos

O GitHub Copilot Cloud Agent foi concebido desde o início, tendo em conta a segurança e a governação. Ao mesmo tempo em que desbloqueia novas formas de delegar trabalho a um agente autônomo, ele opera dentro das grades de proteção existentes da sua organização e adiciona suas próprias proteções. Esta unidade explica como o agente aplica suas políticas de segurança, destaca os riscos e mitigações que você deve estar ciente e define expectativas sobre suas limitações atuais.

No final desta unidade, será capaz de:

  • Descreva o modelo de segurança e as proteções incorporadas do Copilot Cloud Agent.
  • Identifique os principais riscos associados ao uso do agente e as mitigações que o GitHub aplica.
  • Reconheça as limitações conhecidas do fluxo de trabalho e da compatibilidade do agente para planejar seu uso de acordo.

Modelo de segurança e proteções incorporadas

A segurança é fundamental para o Copilot Cloud Agent. Ele respeita seus controles existentes e aplica seus próprios guarda-corpos para manter seus fluxos de trabalho seguros:

  • Sujeito a governança - A organização e as configurações corporativas regem a disponibilidade; Todas as suas políticas de segurança continuam a ser aplicadas ao agente.
  • Ambiente restrito - O agente é executado dentro de uma sandbox no GitHub Actions com acesso à Internet protegido por firewall e acesso somente leitura ao seu repositório.
  • Limites de ramificações - Ele só pode criar e enviar para ramificações começando com copilot/, e todas as proteções de ramificação e verificações necessárias ainda se aplicam.
  • Sensível a permissões - O agente só responde aos utilizadores com permissão de gravação. Os comentários de outras pessoas são ignorados.
  • Regras de colaboradores externos - Os rascunhos de RPs do agente exigem a aprovação de um usuário com permissão de gravação antes que as Ações sejam executadas. A pessoa que solicitou o PR não pode aprová-lo.
  • Conformidade e atribuição - Todos os commits são realizados em conjunto com o desenvolvedor que atribuiu a tarefa ou solicitou o PR, garantindo assim que a atribuição seja clara. As regras existentes em matéria de «aprovações requeridas» permanecem intactas.

Riscos e mitigações

Embora o Copilot Cloud Agent tenha sido concebido com a segurança em mente, ainda existem riscos que deve planear. O GitHub aplica mitigações para reduzi-las:

  • Risco: agente faz push de código

    Mitigações: Apenas utilizadores com acesso para escrita podem iniciar o trabalho do agente. Os pushes estão restritos apenas a copilot/ ramificações, exceto principal/mestre. As credenciais do agente permitem apenas um push básico (sem acessos diretos git push). Os fluxos de trabalho do GitHub Actions não serão executados até que um usuário com permissão de gravação clique em "Aprovar e executar fluxos de trabalho". O solicitante não pode aprovar o PR do agente, mantendo as aprovações necessárias.

  • Risco: Acesso a informações sensíveis

    Atenuação: O acesso à Internet do agente é restrito por firewall de forma predefinida; você pode personalizar ou desativar o firewall de acordo com a política.

  • Risco: Injeção imediata

    Atenuação: Os caracteres ocultos (como comentários HTML) são filtrados antes de passar a entrada do usuário para o agente. Isso reduz a chance de ocultar instruções prejudiciais em comentários ou problemas.

Esses controles fornecem uma linha de base segura para usar o agente, mas você ainda deve revisar as saídas com cuidado, assim como faria com o código escrito por qualquer membro da equipe.

Limitações conhecidas

Limitações do fluxo de trabalho

  • Só pode fazer alterações no mesmo repositório que o problema atribuído ou PR.
  • O escopo do contexto é limitado ao repositório atribuído por padrão (pode ser ampliado via MCP).
  • Abre exatamente uma solicitação pull por tarefa.
  • Não é possível modificar um PR existente que ele não criou (adicione-o como revisor se precisar de feedback aproveitando a revisão do código do GitHub Copilot).

Limitações de compatibilidade

  • Não assina compromissos. Se você precisar de confirmações assinadas, deverá reescrever o histórico de confirmações antes de mesclar.
  • Requer executores Ubuntu x64 hospedados no GitHub. Não há suporte para corredores auto-hospedados.
  • Não disponível para repositórios pessoais pertencentes a contas de usuário gerenciadas (corredores indisponíveis).
  • Não respeita exclusões de conteúdo; O agente pode ver e atualizar arquivos excluídos.
  • A política de "Sugestões correspondentes ao código público" não é aplicada pelo agente; não podem ser fornecidas referências.
  • Funciona apenas com repositórios hospedados no GitHub.
  • Não é possível alterar o modelo de IA usado pelo agente; é selecionado pelo GitHub.

Com guarda-corpos e limites claros, você está pronto para começar a delegar trabalho, acompanhar o progresso e iterar os resultados usando seu fluxo de trabalho de RP padrão.