Hacker News Digest

Компании всё чаще принуждают разработчиков использовать ИИ-помощников вроде Copilot, а не оставляют это на добровольной основе. Такие решения могут отслеживаться, и от них зависит карьера. Это рискует превратить программистов в «резиновые печати» — людей, которые лишь одобряют код, сгенерированный ИИ, и несут за него ответственность, хотя не создавали его. Так компании рискуют потерять не просто сотрудников, но и саму суть программирования как творческой профессии.

• Пользователи обсуждают, что код, сгенерированный LLM, часто выглядит правильным, но на практике требует переписывания, что перекладывает бремя на коллег-ревьюверов.
• Подчеркивается, что внедрение ИИ-инструментов часто сопровождается агрессивным продвижением, даже если это идет вразрез с продуктивностью и UX.
• Участники обсуждают, что вместо того, чтобы навязывать инструменты, компании должны инвестировать в обучение и поддержку разработчиков, чтобы они могли эффективно использовать ИИ.
• Поднимается вопрос, что если ИИ-инструменты действительно так эффективны, почему бы не сделать их использование добровольным, а не навязывать.
• Участники также обсуждают, что вместо того, чтобы требовать использование ИИ, компании должны сосредоточиться на создании культуры, где разработчики могли бы выбирать, какие инструменты использовать, включая ИИ, и где они могли бы расти.

В Cursor появились три ключевые функции для улучшения работы с ИИ-агентом. Автодополнение теперь предлагает подсказки на основе недавних изменений, ускоряя написание промптов. Хуки (в бета-версии) позволяют настраивать поведение агента через кастомные скрипты — например, для аудита использования, блокировки команд или скрытия секретов. Командные правила дают возможность устанавливать глобальные настройки через дашборд, обеспечивая единообразие во всех проектах, включая интеграцию с Bugbot.

Дополнительные улучшения: делиться промптами через deeplinks для документации и рабочих процессов, мониторить агентов из менюбара и работать с изображениями напрямую из рабочей области. Ранее поддержка была только для вставленных изображений. Эти обновления повышают гибкость и контроль над ИИ-инструментами в командной среде.

• Пользователи отмечают снижение привлекательности Cursor из-за улучшения альтернатив (VSCode с Copilot, Claude Code) и проблем с ценовой политикой/стабильностью Cursor.
• Ключевым преимуществом Cursor считается удобное управление состоянием правок (чекпойнты, откаты) и, по мнению некоторых, лучшее автодополнение (Supermaven).
• Растёт интерес к использованию локальных моделей (LM Studio, Ollama) и CLI-инструментам (Claude Code) из-за проблем с квотами, стоимостью и стабильностью подключения в облачных решениях.
• Многие пользователи выражают недовольство стоимостью Cursor, сложностью отслеживания расходов и непредсказуемой скоростью ответа.
• Cursor позиционируется некоторыми как удобный «всё-в-одном» вариант для частого переключения моделей и параллельной работы нескольких агентов, но его долгосрочная актуальность ставится под сомнение.

Мы запускаем новый эксперимент Google Labs — приложение Google для Windows.

• Пользователи выражают обеспокоенность по поводу конфиденциальности и сбора данных Google, подозревая, что приложение может использоваться для обучения ИИ.
• Многие скептически относятся к долгосрочной поддержке продукта со стороны Google, ссылаясь на историю закрытия сервисов.
• Выбор горячих клавиш (Alt+Space) критикуется за конфликт с уже существующими и популярными приложениями-лаунчерами.
• Предлагаются альтернативы, такие как Everything, PowerToys Run, Keypirinha и Flow Launcher, которые считаются более быстрыми и функциональными.
• Некоторые видят в этом шаг Google towards интеграции ИИ (как Copilot от Microsoft) и ухода от традиционного веб-поиска.
• Часть пользователей положительно оценивает возможность быстрого поиска по файлам и интеграцию с сервисами Google (Lens, Фото, Gmail).
• Поднимается вопрос о необходимости раздельного поиска по локальным файлам и интернету, а не их смешивания в одном запросе.
• Отмечается путаница с призывом к действию ("опробуйте в Лабораториях") и недоступность функции для некоторых аккаунтов.
• Обсуждается проблематика масштабирования интерфейса для доступности и конфликты с системными настройками Windows.

• GitHub Copilot продолжает работать в штатном режиме, несмотря на постоянные жалобы сообщества на ошибки, утечки кода и нарушение лицензий.
• Пользователи критикуют качество сгенерированного кода, отмечают повторяющиеся уязвимости и требуют прозрачности обучения модели.

• GitHub/Microsoft навязывают Copilot повсюду: кнопки нельзя убрать, в настройках отключение не работает, счётчики «20 млн пользователей» получаются из принудительно включённых аккаунтов.
• Поток спама растёт: репозитории получают сгенерированные issue/PR и автокомментарии, которые блокируют автослияние; разработчики просят фильтр «без ИИ», но GitHub игнорирует самый популярный запрос в своём форуме.
• Люди уходят: кто-то мигрирует на GitLab, Codeberg или ставит self-host, кто-то переходит с VS Code на Emacs, чтобы избавиться от встроенного «помощника».
• Причина давления — не качество, а метрика и деньги: надо отбить инвестиции и показать рост перед конкурентами; если продукт был бы действительно полезен, его не пришлось бы впихивать силой.

• Microsoft предложила федеральным ведомствам США бесплатный доступ к Copilot for Government.
• Пакет включает Copilot Chat, Teams Premium и обновлённые инструменты безопасности.
• Цель — ускорить внедрение ИИ в госаппарате и обойти Google, который пока не предлагает аналогичных льгот.
• Бесплатный период продлится до 30 июня 2025 года, после чего цена вернётся к $30/пользователь/мес.
• Предложение действует для всех 4 млн федеральных сотрудников, включая госслужащих и военных.

• Участники считают, что Microsoft продолжает получать прибыль, несмотря на провалы в безопасности и приватности, поскольку рынок «слишком велик, чтобы рухнуть».
• Основная претензия — vendor lock-in: «бесплатный» первый год для госорганов и корпораций скрывает будущие огромные расходы.
• Некоторые утверждают, что конкуренты Google, Apple и FOSS-сообщество существуют десятилетиями, но переход слишком дорог и требует переобучения персонала.
• Предлагается, что государство должно финансировать альтернативы, чтобы снизить цены и разорвать монополию.

Уязвимость Copilot: доступ к файлам без записи в журнал аудита
Автор: Zack Korman, 19.08.2025

Суть проблемы

M365 Copilot может читать файлы и не фиксировать это в журнале аудита, если попросить «не давать ссылку на файл». Это позволяет скрытно скачивать данные, нарушая безопасность и требования к соответствию.

Как обнаружил

Исследуя логику аудита для новой функции Pistachio, автор заметил пропуски в журнале. Проверка показала: достаточно добавить фразу «без ссылки» — запись исчезает. Это может произойти случайно, поэтому у многих организаций журналы уже искажены.

Реакция Microsoft

• Уязвимость признали «важной» и исправили.
• Клиентов не уведомили; официального бюллетеня нет.
• Процесс MSRC занял 45 дней, ответы были формальными, без деталей.

Вывод

Журналы аудита M365 Copilot ненадёжны, а Microsoft не планирует информировать пользователей. Организациям стоит перепроверить свои логи и усилить контроль доступа к чувствительным данным.

• Copilot читает индексированные данные от имени привилегированного сервиса, поэтому не фиксирует в журнале доступ к самому файлу.
• Это приводит к утечкам: пользователь видит содержимое, но в аудите нет записи о нарушении прав.
• Исправление Microsoft ограничилось «автоматическим обновлением» без CVE и без изменения архитектуры.
• Участники считают проблему классической «confused deputy» и указывают, что фильтрация по правам в векторной БД вполне масштабируется.
• Советуют подключить Legal/Compliance и готовиться к регуляторным разбирательствам, особенно в HIPAA-окружении.

• GitHub теряет независимость: уходит CEO Томас Домке; платформу переводят в состав CoreAI — новой инженерной группы Microsoft по ИИ.
• Причина: Microsoft хочет ускорить интеграцию GitHub-сервисов (Copilot, Models) в экосистему Azure и Office.
• Что меняется: GitHub больше не будет дочерней компанией; команды перейдут под руководство вице-президента по ИИ Джейсона Ханджера.

• GitHub переходит под полное управление команды CoreAI Microsoft, что символизирует конец «крутого» периода Microsoft и независимости GitHub.
• Пользователи опасаются, что акцент на AI приведёт к деградации качества и навязыванию продуктов Microsoft.
• Многие уже рассматривают альтернативы: GitLab, Codeberg, Forgejo, SourceHut, Tangled и другие.
• Сообщество критикует GitHub за снижение стабильности, навязчивую интеграцию Copilot и отсутствие прозрачности.
• Наблюдается общее разочарование AI-хайпом и желание вернуть фокус на надёжные инструменты разработки.

• AI & ML: генеративный ИИ, Copilot, LLM, машинное обучение
• Навыки разработчика: разработка приложений, карьера, GitHub, образование, языки и фреймворки
• Инженерия: архитектура, принципы, инфраструктура, безопасность, UX
• Корпоративное ПО: автоматизация, CI/CD, коллаборация, DevOps, DevSecOps

• Томас Домке уходит с поста CEO GitHub; должность замещать не будут — сервис полностью переходит под крыло Microsoft CoreAI.
• Прощальная фраза «So long, and thanks for all the fish» вызвала споры: кто-то увидел намёк на «разрушение» старого GitHub, кто-то считает это просто внутренним мемом.
• Пользователи критикуют превращение GitHub в «AI-платформу» и обвиняют его в использовании opensource-кода для Copilot без согласия авторов.
• Некоторые разработчики уже мигрируют на GitLab, Codeberg, Gitea или собственные серверы, чтобы избежать участия в обучении ИИ.
• Сообщество также жалуется на отсутствие IPv6, тормоза интерфейса и «геймификацию» платформы.