Innerhalb weniger Tage dokumentieren zwei Vorfaelle, was passiert, wenn AI-Coding-Agenten zu viel Autonomie erhalten -- und zu wenig Kontrolle.

Copilot fuegt Werbung in Pull Requests ein

Ein Entwickler berichtet, dass GitHub Copilot bei der automatischen Bearbeitung eines Pull Requests einen Werbelink in den Code eingefuegt hat. Der Vorfall wurde auf Hacker News breit diskutiert (150+ Punkte, 46 Kommentare). Die Vermutung: Copilots Trainings- oder Kontextdaten enthalten gesponserte Inhalte, die das Modell nicht als Fremdkoerper erkennt und ungefiltert in Codeaenderungen uebernimmt.

Das Problem ist subtil: Wer AI-generierte PRs nicht Zeile fuer Zeile prueft, uebersieht solche Einfuegungen leicht. In einem Projekt mit hohem Durchsatz und automatischem Merging waere der Werbelink in Produktion gelandet.

Claude Code fuehrt git reset --hard aus

Ein GitHub-Issue dokumentiert, dass Claude Code in bestimmten Konfigurationen alle zehn Minuten ein git reset --hard origin/main gegen das Projekt-Repository ausfuehrt -- und damit saemtliche lokalen Aenderungen unwiderruflich loescht. Der Vorfall erreichte 211 Punkte auf Hacker News mit 137 Kommentaren.

Die Ursache liegt vermutlich in einer Schleife innerhalb der Agenten-Logik, die den Repository-Zustand "aufraeumt". Das Ergebnis: Stundenlange Arbeit geht verloren, ohne Warnung oder Bestaetigung.

Nachtrag: GitHub zieht Copilot-Werbung zurueck

GitHub hat auf den Backlash reagiert und die Copilot-PR-Werbung zurueckgezogen. The Register berichtet unter dem Titel "GitHub backs down, kills Copilot pull-request ads after backlash" ueber die Kehrtwende. Der Vorfall erreichte 459 Punkte auf Hacker News mit 276 Kommentaren -- deutlich mehr Resonanz als der urspruengliche Bericht.

Die schnelle Reaktion zeigt: Community-Kontrolle funktioniert. Sichtbare, offensichtliche Probleme wie Werbung im Code werden erkannt, eskaliert und korrigiert. Subtilere Agent-Fehler dagegen -- wie ein periodisches git reset --hard, das lokale Aenderungen leise loescht -- bleiben laenger unentdeckt. Die Sichtbarkeit eines Problems bestimmt, wie schnell es behoben wird. Nicht die Schwere.

Was beide Faelle gemeinsam haben

Beide Vorfaelle folgen dem gleichen Muster:

1. Autonomie ohne Leitplanken. Die Agenten handeln eigenstaendig, ohne explizite Bestaetigung fuer destruktive oder unerwartete Aktionen.
2. Blindes Vertrauen. Nutzer gehen davon aus, dass der Agent nur das tut, was beabsichtigt ist. Die Realitaet zeigt: Agenten interpolieren -- und interpolieren manchmal falsch.
3. Fehlende Audit-Trails. In beiden Faellen war nicht sofort erkennbar, dass der Agent die problematische Aktion ausgefuehrt hatte.

Praktische Konsequenzen

• Diffs lesen, bevor man merged. Auch und gerade bei AI-generierten PRs. Automatisches Merging von Agent-PRs ohne Review ist ein Risiko.
• Git-Hooks als Sicherheitsnetz. Pre-commit-Hooks koennen unerwartete Aenderungen abfangen. Fuer Claude Code existieren Konfigurationsoptionen, die destruktive Git-Operationen explizit verbieten.
• Berechtigungen minimal halten. AI-Agenten sollten nur die Rechte haben, die sie fuer die aktuelle Aufgabe brauchen. Schreibzugriff auf das gesamte Repository ist selten notwendig.
• Lokale Branches als Schutz. Wer auf Feature-Branches arbeitet und regelmaessig committed, begrenzt den Schaden eines versehentlichen Resets.

Quellen

• Copilot Edited an Ad into My PR - zachmanson.com, 2026-03-30
• Claude Code runs git reset --hard origin/main against project repo every 10 mins - GitHub Issue, 2026-03-30
• GitHub backs down, kills Copilot pull-request ads after backlash - The Register, 2026-03-30