Deine Git-History gehört dir. Oder?
Anfang Mai 2026 fiel Entwicklern auf GitHub etwas Merkwürdiges auf: In ihren Git-Commits tauchte eine Zeile auf, die sie nie selbst geschrieben hatten. Co-Authored-by: GitHub Copilot <copilot@github.com>. Unsichtbar im normalen Commit-Fenster in Visual Studio Code, aber im Git-Log eindeutig vorhanden. Und das, obwohl manche dieser Entwickler Copilot komplett deaktiviert hatten.
Das ist kein technisches Versehen. Es ist eine Grundsatzfrage über Kontrolle, Transparenz und Vertrauen.
Was ist genau passiert?
Microsoft hatte in VS Code stillschweigend eine Funktion eingeführt, die automatisch einen Co-Authored-by-Tag für GitHub Copilot in Git-Commits einbaut — auch dann, wenn der Code gar nicht von Copilot stammte, und auch dann, wenn der Entwickler Copilot bewusst abgeschaltet hatte.
Die Änderung kam von einer Microsoft-Produktmanagerin, wurde von einem Principal Engineer ohne Beschreibung durchgewinkt und sofort gemerged. Im Commit-Fenster von VS Code war die Zeile unsichtbar — sie wurde erst sichtbar, wenn man das Git-Log direkt analysierte.
Als die Entdeckung auf GitHub und Hacker News bekannt wurde, brach ein Sturm der Kritik los. Der zuständige Entwickler Dmitriy Vasyura räumte den Fehler schließlich ein: Die Funktion hätte nie aktiv sein dürfen, wenn KI-Features deaktiviert sind. Er kündigte an, die Standardeinstellung in VS Code 1.119 zurückzusetzen. Die GitHub-Diskussion dazu wurde kurz danach als „Spam” gesperrt — was die Wogen natürlich nicht glättete.
Warum ist das mehr als ein Bug?
Lass mich erklären, warum mich das mehr als ein normaler Software-Fehler beschäftigt.
Erstens: Urheberrechtliche Konsequenzen. Git-Commits sind kein Tagebuch. Sie sind die Grundlage für Fragen wie: Wer hat diesen Code geschrieben? Wer trägt die Verantwortung? Wenn ein Commit automatisch als „Co-Authored-by Copilot” markiert wird, obwohl kein einziges Zeichen von Copilot stammt, ist das eine falsche Aussage — mit potenziell rechtlichen Folgen. Viele Unternehmen haben strikte Richtlinien, welche KI-Werkzeuge im Code verwendet werden dürfen. Ein automatisch gesetzter Tag könnte interne Compliance-Regeln verletzen, ohne dass der Entwickler davon weiß.
Zweitens: Statistische Verzerrung. Viele Entwickler vermuteten das eigentliche Motiv: Microsoft will zeigen, wie viel Code weltweit mit Copilot-Beteiligung entsteht. Ein fälschlich gesetzter Tag bläht diese Statistiken künstlich auf. Das wäre — selbst wenn es nicht beabsichtigt war — ein erhebliches Problem für die Glaubwürdigkeit der Nutzungsdaten.
Drittens: Das Prinzip der Kontrolle. Wenn ich ein Feature deaktiviere, erwarte ich, dass es deaktiviert ist. Das ist keine hohe Erwartung. Es ist die Grundvoraussetzung für Vertrauen in Software-Werkzeuge. Wenn Microsoft eine Änderung ohne Changelog, ohne Sichtbarkeit im UI und ohne Opt-in einführt — selbst wenn es ein Fehler war — dann ist das ein Zeichen für eine problematische Kultur im Umgang mit Entwickler-Autonomie.
Was sagt das über die Richtung von KI-Tools?
Das Copilot-Incident ist kein Einzelfall. Es ist symptomatisch für eine Tendenz, die ich in letzter Zeit öfter beobachte: KI-Features werden zunehmend als Standard eingebaut, nicht als Opt-in. OpenAI aktivierte Ende April für kostenlose ChatGPT-Nutzer Marketing-Cookies standardmäßig. Microsoft integriert Copilot als zwingende Komponente in Microsoft 365 E7. Auch mein Lieblings-Editor VS Code bekommt immer mehr KI-Features, die erst deaktiviert werden müssen, anstatt dass man sie aktiv aktiviert.
Das ist kein zufälliges Muster. Dahinter steckt eine klare Geschäftsstrategie: Nutzungszahlen maximieren, Gewöhnung erzeugen, Deaktivieren schwerer machen als Nutzen. Für zahlende Nutzer und Endverbraucher ist das unangenehm. Für Entwickler, die ihren Code-Output und ihre Commit-History verstehen und kontrollieren müssen, ist es inakzeptabel.
Was kann ich dagegen tun?
Ehrlich gesagt, die direkten Optionen sind begrenzt. Du kannst:
- VS Code regelmäßig updaten und Changelogs lesen (ich weiß, niemand macht das wirklich — ich auch nicht immer).
- Git-Commits vor dem Push kurz prüfen:
git log --oneline -5reicht, um unerwartete Co-Author-Tags zu sehen. - Open-Source-Alternativen in Betracht ziehen: Neovim, Helix, JetBrains-IDEs — keine davon ist immun gegen ähnliche Tendenzen, aber sie sind transparenter in ihren Update-Prozessen.
- Firmenrichtlinien für KI-Tools formalisieren, wenn du in einem Unternehmenskontext arbeitest. Was ist erlaubt? Was muss dokumentiert werden? Diese Fragen gehören in Policy-Dokumente.
Und grundsätzlich: Misstrauen als gesunde Grundhaltung kultivieren. Nicht paranoid, aber wachsam. Software, die du täglich nutzt, hat Interessen — die nicht immer deckungsgleich mit deinen sind.
Fazit & Ausblick
Der Copilot-Git-Incident ist behoben. Das Feature wird deaktiviert. Ende Geschichte — zumindest oberflächlich.
Aber die dahinterliegende Frage bleibt offen: Wie viel Kontrolle haben wir noch über die Werkzeuge, die unsere tägliche Arbeit prägen? KI wird tiefer in Entwicklungsumgebungen, Office-Software und Betriebssysteme integriert — oft auf eine Art, die für den einzelnen Nutzer schwer zu überblicken ist. Als Entwickler ist es unsere Aufgabe, genau hinzuschauen: Was läuft hier im Hintergrund? Was wird in meinem Namen getan? Und wen informiere ich, wenn etwas nicht stimmt?
Das ist keine Aufforderung zur Tech-Skepsis. Ich nutze Copilot, Claude Code und alle möglichen KI-Tools täglich und produktiv. Aber offene Augen gehören dazu.
Fragen, die mich nach diesem Vorfall beschäftigt haben:
Hast du deine eigenen Git-Commits mal auf unerwartete Tags oder Metadaten geprüft?
Wie gehst du damit um, wenn Software-Tools Entscheidungen „für dich” treffen — akzeptierst du das in der Regel, oder deaktivierst du aktiv, was du nicht nutzt?
Glaubst du, dass Microsoft das wirklich aus Versehen gemacht hat — oder riecht das für dich nach gewollter Statistik-Optimierung?
Wo ist für dich die Grenze zwischen „nützliche KI-Integration” und „Kontrollverlust über mein eigenes Werkzeug”?
Du willst mehr zu KI, Indie Dev und digitalen Produkten? Abonniere den Newsletter — jede Woche neue Insights, kein Spam.
Oder lies weiter: Claude Design: Anthropic greift Figma und Canva frontal an
Du willst mehr zu KI, Indie Dev und digitalen Produkten? Abonniere den Newsletter — jede Woche neue Insights, kein Spam.
Oder lies weiter: Claude Design: Anthropic greift Figma und Canva frontal an