GitHub tränar AI på din kod: Vad du behöver veta innan 24 april

Den 24 april 2026 ändrar GitHub sina villkor. Från och med det datumet används din interaktionsdata från Copilot — prompts, kodsnippets, förslag du accepterar, filnamn, repostruktur — för att träna AI-modeller. Inte bara GitHubs egna. Även Microsofts. Och det är aktiverat som standard.

Om du inte gör något innan den 24 april är du med. Det är inte dystopi — det är en checkbox i Settings du behöver hitta. Men implikationerna för europeiska utvecklare, öppen källkod och den juridiska gråzonen kring AI-träning är värda att förstå.

Vad GitHub faktiskt samlar in

GitHub skiljer mellan kod ”at rest” och kod som aktivt skickas till Copilot. Dina privata repon ligger kvar orörda på servern — det är inte hela repot som sugs upp. Men allt du interagerar med via Copilot fångas:

• Inputs och prompts — det du skriver i Copilot Chat och inline
• Accepterade förslag — kodsnippets du behåller eller modifierar
• Kodkontext — raderna runt markören, importstatements, typdefinitioner
• Filnamn och repostruktur — hur ditt projekt är organiserat
• Navigationsmönster — vilka filer du hoppar mellan
• Feedback — tumme upp/ner på förslag

Det där sista är subtilt. Din repostruktur — mappnamn, filnamn, hur du organiserar moduler — säger överväldigande mycket om ett projekt även utan själva koden.

Vem påverkas (och vem slipper)

Policyn gäller Copilot Free, Pro och Pro+. Om du betalar för Copilot Business eller Enterprise är du undantagen — Microsoft vill inte förlora företagskunder över detta. Studenter och lärare som använder Copilot genom GitHub Education undantas också.

Det betyder att det är exakt de utvecklare som har minst förhandlingskraft — hobbyutvecklare, frilansare, småföretag — vars data tränar modellerna. Enterprise-kunder med juridiska avdelningar slipper.

Så stänger du av det: 30 sekunder

GitHub har gjort opt-out möjligt, men inte direkt uppenbart. Så här gör du:

# 1. Gå till GitHub Settings
#    https://github.com/settings/copilot

# 2. Under "Copilot" → hitta sektionen "Privacy"

# 3. Stäng av:
#    ☐ "Allow GitHub to use my Copilot data for product improvements"
#    ☐ "Allow GitHub to use my Copilot data to train AI models"

# 4. Spara

# Alternativt via GitHub CLI:
gh api -X PATCH /user/copilot   -f allow_training=false

Om du redan hade opt-out aktiverat från tidigare behålls ditt val. Men om du aldrig rört inställningen är standardvärdet nu true.

GDPR-problemet: Opt-out i en opt-in-värld

Här blir det intressant för oss i Europa. GDPR kräver normalt opt-in för databehandling som går utöver vad som är nödvändigt för tjänsten. GitHub lutar sig på legitimate interest — en legal grund som tillåter behandling utan samtycke, men som ger användare rätt att invända.

Problemet: att begrava opt-out-knappen i inställningsmenyn, med default på, har redan kallats ett dark pattern av integritetsjurister. EU AI Act ställer dessutom krav på transparens kring träningsdata som kan tvinga GitHub att erbjuda mer granulär kontroll framöver.

Om du jobbar med klienter i EU, hanterar persondata i koden (och det gör fler än man tror — databaskonfigurationer, API-nycklar i context, testdata med riktiga namn), bör du ställa dig frågan: vill jag att det här hamnar i en träningsdataset?

Community-reaktionen: ”Forced authorization”

När nyheten nådde Hacker News och r/programming var reaktionen skarp. De vanligaste argumenten:

”Det här är inte öppen källkod, det är datautvinning”

Många utvecklare påpekade skillnaden mellan att göra sin kod publik (med en licens som styr användningen) och att få den använd som träningsdata för kommersiella AI-modeller. Open source-licenser skrevs innan AI-träning var en användningsform — GPL, MIT och Apache 2.0 säger inget om det.

”Microsoft gör samma sak överallt”

GitHub är inte ensamma. I oktober 2025 fick Microsoft backlash för Gaming Copilot, som tog skärmdumpar av användarnas spelsessioner — också med opt-out som standard. Mönstret är konsekvent: samla först, låt motståndarna hitta avstängningsknappen.

”Business-kunder är undantagna — det säger allt”

Det kanske stärkaste argumentet: om datan är så harmlös att samla in, varför undantar man betalande företagskunder? Svaret är uppenbart — företag med jurister hade aldrig accepterat villkoren. Då bör man fråga sig varför individer ska göra det.

Det juridiska landskapet: Oklart är en underdrift

Tre rättsfall definierar gråzonen just nu:

• Doe v. GitHub (2022–) — Det mest betydelsefulla målet. De flesta DMCA- och copyrightanspråken avvisades, men breach of contract ochlicensöverträdelse lever kvar mot GitHub och Microsoft. Domstolen behandlade open source-licenser som verkliga avtal, inte förslag.
• Bartz v. Anthropic — Domare Alsup kallade AI-träning ”transformative — spectacularly so” och jämförde det med mänskligt läsande. Positivt för AI-företagen.
• GEMA v. OpenAI (Tyskland, 2025) — En tysk domstol slog fast att när ChatGPT ”memorerar” innehåll och kan reproducera det utgör kodningen i modellvikterna en kopiering i upphovsrättslig mening. Negativt för AI-företagen.

Notera: Bartz och GEMA pekar åt rakt motsatta slutsatser. Det här är inte ett löst område. Det innebär att ditt val att opta in eller ut inte bara handlar om preferens — det är en rättslig risk som ingen kan kvantifiera ännu.

Vad det innebär för öppen källkod

Open source-rörelsen har en premiss: du delar din kod under villkor du väljer. GPL kräver att derivatverk också är öppna. MIT kräver attribution. Apache ger patentskydd.

Ingen av dessa licenser är skrivna för ett scenario där din kod mals ner till statistiska vikter i en modell. Frågan som Doe v. GitHub ställer är: räknas en modellvikt som ett derivatverk? Om ja, bryter varje AI-modell tränad på GPL-kod mot licensen. Om nej, är öppen källkod-licenser i praktiken tandlösa mot AI-företag.

Oavsett utfall förändrar det förhållandet mellan utvecklare och plattformar. Att pusha till GitHub har alltid betytt att din kod lagras på deras servrar. Nu betyder det potentiellt att din kod förbättrar en kommersiell produkt du betalar för.

Praktiskt: Vad borde du göra?

1. Stäng av träningsdata om du är osäker

Det tar 30 sekunder och kostar ingenting. Du kan alltid slå på det igen. Copilot fungerar likadant oavsett inställningen.

2. Granska vad du skickar till Copilot

# Saker som hamnar i Copilots kontext (och potentiellt träningsdata):

# ✗ API-nycklar i .env-filer som är öppna i editorn
# ✗ Databaskonfigurationer med credentials
# ✗ Testdata med riktiga kundnamn/personnummer
# ✗ Interna systemnamn och infrastrukturdetaljer

# Bästa praxis:
# → Stäng känsliga filer innan du använder Copilot Chat
# → Använd .copilotignore för att exkludera mappar
echo ".env" >> .copilotignore
echo "config/secrets/" >> .copilotignore
echo "test/fixtures/real-data/" >> .copilotignore

3. Överväg vilken plan du är på

Om du jobbar med känslig kod och inte vill att den används för träning är Copilot Business ($19/månad) det enda alternativet med kontraktsbunden garanti. Free och Pro-planerna skyddas bara av en toggle i inställningarna.

4. Se över dina öppna repon

Publika repon på GitHub har redan använts för träning — det är så Copilot byggdes från början. Den nya policyn handlar ominteraktionsdata, inte repokod. Men om du inte var medveten om det: ja, din publika kod är redan i modellen.

Det större perspektivet

Det här handlar inte bara om GitHub. Det är en fråga om vem som äger värdet som utvecklare skapar. Varje gång du löser ett problem i Copilot Chat, tränar du potentiellt en modell som säljs tillbaka till dig. Det är inte ont uppsåt — det är affärsmodellen för varje AI-företag just nu.

Men till skillnad från sociala medier, där det du delar är personliga åsikter, handlar det här om professionell kompetens. Din problemlösningsförmåga, dina arkitekturmönster, dina unika lösningar — det är det som tränar modellen.

Det minsta vi kan begära är att valet är informerat. Och det börjar med att veta var checkboxen sitter.