Copilot 코드 리뷰가 AGENTS.md를 읽는다, PR 지시문의 새 기준
GitHub가 Copilot code review에 루트 AGENTS.md 지원을 추가했습니다. PR 리뷰 에이전트가 저장소 지시문을 읽을 때의 실무 경계를 짚습니다.
- 무슨 일: GitHub가 2026년 6월 18일 Copilot code review에 저장소 루트
AGENTS.md지원을 추가했습니다.- 루트 파일이 있으면 Copilot review가 관련 지시문을 읽고 PR 피드백에 반영합니다.
- 의미: 에이전트 지시문이 로컬 코딩 도구 안내문을 넘어 GitHub PR 리뷰의 입력으로 들어옵니다.
- 주의점:
.githubinstructions, 조직 instructions,AGENTS.md가 충돌하면 리뷰 품질보다 운영 책임이 먼저 흔들립니다.- GitHub Docs의 지원표는 확인 시점에 일부 표면별 지원 범위를 다르게 적고 있어, 실제 적용 표면을 PR로 검증해야 합니다.
GitHub Changelog가 2026년 6월 18일 Copilot code review에 새 기능을 추가했습니다. 핵심은 저장소 루트 AGENTS.md 지원의 일반 제공입니다. 저장소 루트에 AGENTS.md가 있으면 Copilot code review는 그 파일을 워크플로 문맥으로 사용해 리뷰 피드백을 만듭니다. 같은 발표에는 draft pull request에서 reviewer picker의 Request 버튼으로 Copilot review를 바로 요청하는 변화와, pull request timeline의 Copilot review event를 묶어 표시하는 변화도 들어갔습니다.
이 업데이트는 겉으로 보면 작은 편의 기능입니다. 그러나 PR 리뷰 에이전트를 실제 팀에 넣어 본 조직에는 입력 경계가 바뀌는 사건입니다. AGENTS.md는 Codex, Claude Code, Gemini, GitHub Copilot CLI 같은 코딩 에이전트에게 "이 저장소에서는 이렇게 작업하라"는 규칙을 주는 파일로 쓰여 왔습니다. 이제 GitHub는 그 루트 파일을 pull request 리뷰 피드백에도 연결했습니다. 지시문 파일이 개발자의 로컬 세션을 넘어, 저장소의 공식 리뷰 표면으로 내려온 것입니다.
최근 devlery는 6월 13일 Copilot 코드 리뷰 통제 확대, PR 에이전트의 새 승인선에서 GitHub의 6월 12일 업데이트를 다뤘습니다. 그때의 핵심은 조직 runner 잠금, content exclusion, .github/copilot-instructions.md와 .github/*.instructions.md의 4000자 제한 제거였습니다. 이번 6월 18일 발표는 같은 Copilot code review 이야기지만 축이 다릅니다. 실행 위치와 제외 경로가 아니라, 저장소 루트의 에이전트 지시문이 리뷰 판단 기준으로 들어온다는 점이 새롭습니다.
GitHub 발표문은 Copilot code review가 루트 AGENTS.md를 읽고, 그 파일의 관련 지시문을 리뷰 피드백 생성에 사용한다고 설명합니다. 기존에 팀이 .github/copilot-instructions.md에 리뷰 기준을 적어 왔다면, 이제 질문은 더 복잡해집니다. "Copilot 전용 instructions와 여러 에이전트가 함께 읽는 AGENTS.md 중 어디에 무엇을 둘 것인가"가 운영 결정이 됩니다. 보안 규칙, 테스트 명령, 금지 패턴, 코드 스타일, 변경 범위 기준이 여러 파일에 흩어지면 Copilot review는 같은 PR에서도 서로 다른 지시를 받을 수 있습니다.
GitHub Docs도 이 경계를 보여줍니다. repository custom instructions 문서는 repository custom instructions가 프로젝트 이해, 빌드, 테스트, 검증 방식에 추가 문맥을 준다고 설명합니다. 같은 문서는 Copilot code review에서 custom instructions가 기본적으로 켜져 있다고 적습니다. repository settings의 Copilot code review 영역에서 이 기능을 끄거나 다시 켤 수도 있습니다. 또 pull request를 리뷰할 때 Copilot은 대상 branch가 아니라 base branch의 custom instructions를 사용한다고 설명합니다.
Base branch 기준은 실무에서 꽤 중요합니다. 기능 branch에 AGENTS.md나 .github/copilot-instructions.md를 고쳐도, pull request가 main으로 들어간다면 Copilot review는 main에 있는 기준을 따르는 식으로 설계해야 합니다. 이 방식은 공격자가 PR 안에서 리뷰 기준을 느슨하게 바꾸는 문제를 줄입니다. 반대로 새 규칙을 도입하는 팀은 "지시문 변경 PR"과 "그 지시문으로 리뷰받을 코드 PR"을 분리해야 합니다. 규칙 파일을 바꾼 PR이 merge되기 전에는 새 기준이 리뷰에 안정적으로 반영됐다고 보면 안 됩니다.
| 표면 | 확인된 지시문 | 운영 포인트 |
|---|---|---|
| Copilot code review | AGENTS.md, .github/copilot-instructions.md, path instructions | 리뷰 기준과 에이전트 작업 규칙이 충돌하지 않게 분리합니다. |
| Copilot cloud agent | AGENTS.md, CLAUDE.md, GEMINI.md, repository instructions | 리뷰 코멘트 구현 PR까지 이어질 수 있어 실행 규칙을 더 구체화합니다. |
| 조직 설정 | organization instructions, model policy, runner settings | 저장소 파일이 조직 정책을 우회하지 않는지 검증합니다. |
GitHub Docs의 custom instructions 지원표는 2026년 6월 19일 확인 시점에 약간 다른 그림을 보여줍니다. GitHub.com의 Copilot cloud agent는 AGENTS.md, CLAUDE.md, GEMINI.md를 agent instructions로 지원한다고 적혀 있습니다. 반면 같은 표의 Copilot code review 항목에는 .github/copilot-instructions.md, .github/instructions/**/*.instructions.md, organization instructions만 보입니다. 6월 18일 changelog가 Copilot code review의 루트 AGENTS.md 지원을 발표했으므로, 문서 표가 아직 업데이트되지 않았거나 표면별 적용 방식이 더 세분화됐을 가능성이 있습니다.
이 차이는 단순 문서 흠집이 아닙니다. 에이전트 지시문은 "무엇을 읽는가"가 곧 제품 동작입니다. 팀이 AGENTS.md에 "테스트 없이 커밋하지 말 것", "마이그레이션은 rollback을 포함할 것", "고객 식별자는 로그에 남기지 말 것"을 적었다면, Copilot review가 실제로 어느 PR에서 그 규칙을 읽는지 확인해야 합니다. GitHub Changelog만 보고 모든 표면이 같은 방식으로 동작한다고 가정하면, 리뷰 코멘트 누락을 제품 결함인지 지시문 구조 문제인지 구분하기 어렵습니다.
Draft pull request의 Request 버튼도 같은 맥락입니다. GitHub는 이미 draft pull request에서 Copilot review를 요청할 수 있었지만, 이제 reviewer picker에서 Copilot 옆에 버튼을 보여줘 검색 없이 직접 요청할 수 있게 했습니다. 이 변화는 초기 리뷰를 더 앞당깁니다. 개발자는 PR을 ready for review로 바꾸기 전에 Copilot에게 첫 번째 pass를 맡길 수 있습니다. 이때 AGENTS.md가 읽힌다면, 팀 규칙은 merge 직전 체크리스트가 아니라 draft 단계의 설계 피드백으로 이동합니다.
PR timeline event 묶음 표시도 작지만 운영 경험에 영향을 줍니다. Copilot review가 자주 돌면 Conversation tab은 사람이 남긴 코멘트, CI event, review request, Copilot event가 섞입니다. GitHub는 일부 Copilot code review timeline event를 한 문장으로 접어 표시해 소음을 줄인다고 설명합니다. 자동 리뷰가 늘어날수록 중요한 것은 리뷰 품질뿐 아니라 사람이 pull request에서 무엇을 빨리 찾아야 하는가입니다. 사람이 봐야 할 피드백과 자동화 event가 같은 공간에 쌓이면, UI 정리는 기능의 일부가 됩니다.
GitHub Docs의 Copilot code review 문서는 리뷰 코멘트가 수정 실행으로 이어질 수 있는 경로도 적고 있습니다. Copilot feedback에는 가능한 경우 suggested changes가 포함되고, 개발자는 몇 번의 클릭으로 이를 적용할 수 있습니다. 더 나아가 review comment에서 Implement suggestion을 누르면 Copilot cloud agent가 그 제안을 적용한 새 pull request를 만들 수 있습니다. 이때 Copilot code review와 Copilot cloud agent의 tools가 모두 켜져 있어야 합니다.
여기서 AGENTS.md의 성격이 더 뚜렷해집니다. 리뷰 에이전트가 읽는 지시문은 단순 문체 가이드가 아닙니다. 같은 리뷰 코멘트가 cloud agent의 수정 PR로 이어질 수 있다면, AGENTS.md는 "어떤 코멘트를 남길 것인가"와 "그 코멘트를 구현할 때 어디까지 바꿀 것인가"를 함께 간접 통제합니다. 예를 들어 리뷰 지시문에는 "테스트 추가를 제안하라"가 필요할 수 있지만, 실행 지시문에는 "스냅샷을 임의로 갱신하지 말라"가 필요합니다. 두 문장이 같은 파일에 있을 때 어떤 문맥에서 어떻게 해석되는지 팀이 알아야 합니다.
실무적으로는 AGENTS.md를 세 구역으로 나누는 방식이 안전합니다. 첫째는 저장소 공통 계약입니다. 패키지 매니저, 테스트 명령, 생성 파일 경계, 보안 금지 사항처럼 모든 에이전트가 따라야 하는 규칙을 둡니다. 둘째는 리뷰 전용 기준입니다. PR에서 반드시 지적해야 할 위험, 승인자가 확인해야 할 변경, 성능과 접근성 체크를 적습니다. 셋째는 실행 전용 제한입니다. 자동 수정이 만지면 안 되는 파일, migration과 seed data 처리, 외부 API mock 규칙, 대량 포맷팅 금지를 적습니다.
반대로 AGENTS.md를 회사 위키처럼 쓰면 실패할 가능성이 큽니다. 긴 배경 설명, 모호한 원칙, 예외가 많은 문장, 여러 도구 이름이 뒤섞인 지시는 리뷰 품질을 떨어뜨립니다. Copilot review가 PR diff를 보며 실행 가능한 코멘트를 만들려면 규칙은 관찰 가능한 문장이어야 합니다. "코드를 깨끗하게 유지한다"보다 "API handler는 tenant id를 검증하고, 실패 시 403을 반환한다"가 낫습니다. "보안을 고려한다"보다 "secret, token, customer payload는 로그 메시지와 snapshot fixture에 남기지 않는다"가 낫습니다.
조직 instructions와 repository instructions의 우선순위도 확인해야 합니다. GitHub Docs는 personal instructions, repository instructions, organization instructions가 함께 제공될 수 있고, 충돌을 피하라고 설명합니다. 개인 instructions는 사람의 Chat 응답에서 중요하지만, code review 운영에서는 조직과 저장소 기준이 더 큰 책임을 집니다. 조직 보안팀이 "PII 로깅 금지"를 적고, 저장소 AGENTS.md가 "디버깅을 위해 request body를 남겨도 된다"고 쓰면 자동 리뷰는 어느 쪽을 따르는지 예측하기 어렵습니다.
이 업데이트는 GitHub가 같은 주에 내놓은 다른 Copilot 변화와도 이어집니다. 6월 17일 GitHub는 Agent finder를 발표하며 Copilot이 MCP servers, skills, canvases, agents, tools를 작업에 맞춰 찾을 수 있다고 설명했습니다. 6월 18일에는 MAI-Code-1-Flash를 더 많은 Copilot 표면에 배포했고, auto model selection과 Copilot app 일반 제공도 관련 항목으로 묶였습니다. 각각은 별도 changelog지만 방향은 같습니다. Copilot은 모델 하나가 아니라 PR, CLI, app, cloud agent, 도구 발견, 리뷰 지시문을 묶는 개발 작업면이 되고 있습니다.
경쟁 구도에서도 AGENTS.md 지원은 작지 않습니다. Claude Code는 CLAUDE.md, Gemini 생태계는 GEMINI.md, Cursor는 rules 파일, Codex와 여러 에이전트는 AGENTS.md를 씁니다. 도구마다 파일 이름과 해석 방식이 다르면 팀은 같은 정책을 여러 번 복사하게 됩니다. GitHub가 Copilot code review에서 루트 AGENTS.md를 읽기 시작하면, 저장소 루트의 에이전트 지시문은 특정 CLI 도구의 안내문을 넘어 공통 운영 문서가 됩니다. 이 장점은 동시에 위험입니다. 한 파일을 여러 도구가 읽을수록 모호한 문장이 여러 방식으로 실행됩니다.
개발팀이 바로 점검할 항목은 다섯 가지입니다. 첫째, 루트 AGENTS.md와 .github/copilot-instructions.md가 같은 규칙을 중복하거나 충돌하지 않는지 봅니다. 둘째, draft PR에서 Copilot review를 요청해 AGENTS.md 기준이 실제 코멘트에 반영되는지 작은 테스트 PR로 확인합니다. 셋째, base branch의 지시문이 사용된다는 점을 release branch 운영 문서에 적습니다. 넷째, Implement suggestion으로 만들어진 PR을 누가 리뷰하고 승인할지 정합니다. 다섯째, GitHub Docs의 지원표와 changelog가 다르게 보이는 동안에는 "공식 발표를 봤다"에서 멈추지 말고 저장소별 동작을 기록합니다.
이번 발표를 과장할 필요는 없습니다. GitHub가 사람 리뷰어를 제거한 것도 아니고, AGENTS.md가 모든 리뷰 품질 문제를 해결하는 것도 아닙니다. 그러나 PR 리뷰 에이전트가 저장소 루트 지시문을 읽기 시작했다는 변화는 개발 조직의 문서 위치를 바꿉니다. 에이전트에게 줄 규칙은 더 이상 개인 프롬프트나 로컬 설정에만 머물지 않습니다. GitHub pull request 안에서 리뷰 코멘트로 나타나고, 경우에 따라 cloud agent의 수정 PR로 이어집니다. 그래서 AGENTS.md는 README보다 더 운영적인 문서가 됩니다. 읽는 주체가 사람이 아니라 리뷰 에이전트라면, 좋은 지시문은 길고 친절한 설명이 아니라 짧고 검증 가능한 계약이어야 합니다.