今や多くの開発者にとって欠かせない存在となった GitHub Copilot。そのコードレビュー機能は徐々に優秀になり、日々の開発業務を助けてくれています。しかし、そんな頼れる相棒が、時々お茶目で微笑ましい提案をしてくれることがあります。

今回は、GitHub Copilot とのそんな一幕をご紹介します。

脆弱性対応での GitHub Copilot コードレビューでの出来事

ある日、私は脆弱性（CVE-2025-55182）を修正する作業を行っていました。対応策として、package.json に pnpm.overrides を追記し、脆弱性が存在する next のバージョンを、修正済みの 16.0.7 に強制的に上書きすることにしました。

Pull Request を作成し、しばらくすると GitHub Copilot (bot) からレビューが届きました。

引用元: fix: upgrade React and react-email to resolve CVE-2025-55182 by shige · Pull Request #2357 · giselles-ai/giselle · GitHub

The override pins [email protected] for @react-email/preview-server, but the CVE description states the vulnerability is in [email protected]. While Next.js 16.0.7 may address the issue, consider verifying that this version specifically resolves CVE-2025-55182 or if a more recent 15.x or 16.x patch version is recommended. Document the rationale for choosing 16.0.7 in comments or commit messages.

  		// Pinning [email protected] for @react-email/preview-server to address CVE-2025-55182.
  		// See: https://github.com/vercel/next.js/security/advisories/GHSA-xxxx-xxxx-xxxx
  		"@react-email/preview-server>next": "16.0.7",

「なぜバージョン16.0.7を選んだのか、その根拠をコメントに残すべきだ」という指摘です。これは非常に的確で、コードの保守性を高める上で重要なプラクティスです。

しかし、提案されたコードを見て、私は思わずクスッとしてしまいました。

JSON にコメントは書けない

お気づきでしょうか。Copilotが提案してきたのは // から始まるコメントを package.json ファイルに追記するというものでした。

ご存知の通り、JSON の仕様ではコメントはサポートされていません。もしこの提案をそのまま適用すれば JSON パーサーがエラーを吐いてしまいます。

私は Copilot に（そしてレビューを読む他の開発者に向けて）次のように返信し、提案の意図を汲んでコミットメッセージに理由を追記しました。

JSON files don’t support comments, so I’ve documented the rationale in the commit message.

For additional context:

• @react-email/[email protected] depends on [email protected]

• The patched version for CVE-2025-55182 on Next.js 16.x is 16.0.7

• Reference: https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp

Fixed in:

• Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

AI と人間の協業

今回の出来事は、GitHub Copilot が優秀である一方で、まだ完璧ではないことを示す面白い例でした。ファイルの構文という基本的なコンテキストを完全には理解できていなかったようです。

しかし重要なのは、Copilot の指摘の本質である「変更の意図をドキュメント化する」という部分は、完全に正しかったという点です。AI の提案を鵜呑みにするのではなく、人間がその意図を正しく解釈し、適切な形で反映させる。これが、AI と協業していく上での一つの形なのだと感じました。

AI の的確ながらもお茶目な一面に、少し和まされた開発現場の一コマでした。

以上、JSON ファイルにコメントを残したかった、現場からお送りしました。

参考情報

• Moderate severity vulnerability that affects next.js · GHSA-9qr9-h5gf-34mp