GitHub kunngjorde i sin changelog 5. mai at hemmelighetsskanning i GitHub MCP Server er flyttet ut av public preview, der den har ligget siden mars 2026. Funksjonen krever GitHub Secret Protection på repoet, og fungerer i alle MCP-kompatible IDE-er. I praksis betyr det Copilot CLI og Visual Studio Code med advanced-security-pluginen.
Poenget er enkelt nok: når Copilot eller en annen KI-agent skriver kode på vegne av deg, oppdager den selv at den nettopp limte inn et AWS-token eller en Stripe-nøkkel før du kjører git commit. Push protection-reglene du allerede har satt på org-nivå arves direkte, så bypass-oppførsel er konsistent med det resten av teamet ser.
«Detections and bypass behavior stay consistent with what you've already set up at the repository or organization level.» — GitHub Changelog
For utviklere som lar agenter operere fritt mot ekte repoer, flytter dette en hel klasse av feil fra «hendelse» til «advarsel». Det er den samme grunnlogikken som push protection ga commits manuelt i 2023, bare flyttet ett steg lengre opp i kjeden.
Hva bør du gjøre?
- Slå på GitHub Secret Protection på repoer der agenter har skrivetilgang.
- I Copilot CLI: kjør
/plugin install advanced-security@copilot-pluginsfor å aktivere skanneverktøyet i agentens verktøykasse. - I VS Code: installer advanced-security-agent-pluginen, og bruk
/secret-scanningi Copilot Chat før du lar agenten committe.