GitHub trenuje modele na repozytoriach bez wyraźnej zgody. Dlaczego przenieśliśmy się na GitLab

25 marca 2026 roku GitHub zaktualizował Politykę prywatności i Warunki korzystania z usługi. Główna zmiana: dane interakcji użytkowników Copilot Free, Pro i Pro+ — wejścia, wyjścia, fragmenty kodu i towarzyszący kontekst — będą używane do trenowania modeli AI GitHuba domyślnie, począwszy od 24 kwietnia 2026 roku. Jeśli nie podjąłeś działań przed tą datą, Twój kod jest już w pipeline. Ten artykuł wyjaśnia co dokładnie się zmieniło, jak sprawdzić swoje ustawienia i dlaczego przenieśliśmy projekty klientów na GitLab.

Co dokładnie GitHub zbiera — i do czego używa?

GitHub posługuje się precyzyjnym językiem. Polityka obejmuje dane interakcji: to co piszesz do Copilota, co Copilot zwraca i kontekst kodu użyty do wygenerowania odpowiedzi. GitHub oświadcza, że kod przechowywany w spoczynku w prywatnych repozytoriach nie jest używany do trenowania. HaČzyk: za każdym razem gdy Copilot jest aktywny, przetwarza Twój prywatny kod jako kontekst interakcji. Te dane sesji podlegają polityce interakcji, nie polityce przechowywania w spoczynku.

W zespół, w którym każdy developer ma otwarty Copilot podczas pracy nad kodem klienta, to rozróżnienie znika w praktyce.

Kogo dotyczy zmiana

• Użytkownicy Copilot Free, Pro i Pro+ — objęci domyślnie od 24 kwietnia
• Copilot Business i Copilot Enterprise — zwolnieni na mocy warunków umownych
• Studenci i nauczyciele korzystający z GitHub Education — również zwolnieni

Większość indywidualnych developerów i małych zespół korzysta z Free, Pro lub Pro+. Zwolnienie dla enterprise jest handlowo sensowne — duży klienci negocjują warunki dotyczące danych. Oznacza to jednak, że zwolnienie jest niedostępne dla większości contributorów open-source, freelancerów i małych agencji.

Jak się wyrejestrować (jeśli jeszcze nie to zrobiłeś)

Przejdź do github.com/settings/copilot/features. W sekcji Prywatność znajdź opcję "Allow GitHub to use my data for AI model training" i wyłącz ją. Przełącznik domyślnie jest włączony — musisz go jawnie wyłączyć. Dotyczy to tylko Twojego osobistego konta; administratorzy organizacji kontrolują osobno ustawienie dla członków.

Dlaczego model opt-out to zły domyślny

Branże regulowane — finanse, ochrona zdrowia, obronność, sektor publiczny — działają według jasnej zasady: dane nie idą nigdzie bez wyraźnego zezwolenia. To samo dotyczy pracy na zlecenie objętej NDA. "Może być używane do trenowania, o ile się nie wyrejestrujesz" to framework niezgodny z tymi wymaganiami. Przenosi ciężar zgodności na dewelopera, a nie na platformę.

Sama analiza GitLaba określiła tę sytuację jako „boardźenie dla ładu informacyjnego” — i nie bez powodu. Opt-out technicznie istnieje. Ale poleganie na tym, że każdy developer w organizacji znajdzie właściwą stronę ustawień przed deadlinem, to nie jest mechanizm kontroli. To nadzieja, że nic się nie wydarzy.

Pozycja GitLaba: AI opt-in, zero trenowania domyślnie

GitLab nie trenuje modeli AI na kodzie klientów na żadnym poziomie. Funkcje AI są opt-in, nie opt-out. Co kluczowe, GitLab ma politykę zerowej retencji danych ze swoimi partnerami infrastruktury AI (Fireworks AI, AWS, Google): dane wejściowe i wyjściowe są usuwane natychmiast po dostarczeniu odpowiedzi. Brak przechowywania, brak logów monitoringu nadużyć, brak pipeline trenowania.

Dla instancji GitLab self-hosted sytuacja jest jeszcze prostsza: GitLab Inc. w ogóle nie ma dostępu do Twoich repozytoriów. To nie zobowiązanie polityczne — to fakt architektoniczny.

Jak wyglądała migracja

Przenieśliśmy wszystkie repozytoria projektów klientów na GitLab. Wewnętrzne narzędzia trafiły na instancję GitLab CE self-hosted na własnej infrastrukturze. Migracja zajęła około trzech dni roboczych, z czego większość na przepisanie plików pipelineów CI z składni GitHub Actions na YAML GitLab CI.

• GitLab CI/CD zastępuje GitHub Actions — równoważny funkcjonalnie dla naszych workflow build, test i deploy
• GitLab Container Registry zastępuje GitHub Container Registry
• GitLab Issues i Milestones zastepują GitHub Issues i Projects
• Integracja z Vercel działa bez zmian przez webhooks i Vercel CLI

Czy to przesadna reakcja?

Możliwe. GitHub nie opublikował danych o pochodzeniu zbiorów treningowych, więc niemożliwe jest stwierdzenie, czy konkretny kod został faktycznie wykorzystany. Ale "może być używany" w polityce prywatności oznacza brak gwarancji, że nie był. Dla projektów osobistych rachunek ryzyka jest Twoją decyzją. Dla kodu klienta objętego NDA — lub kodu należącego do infrastruktury klienta — nie pracujemy na gwarancjach. Pracujemy na kontrolach. GitLab daje nam kontrole, gdzie GitHub daje nam nadzieję.