Zum Inhalt springen

Local-first

Was KI-Coding-Tools alles mitlesen

Zuletzt aktualisiert: 2026-07-02Lesezeit ca. 4 Min.

KI-Coding-Tools lesen mehr als die Datei im Editor – Repository-Kontext, Tickets, eingefügte Logs, teils einen Index der ganzen Codebasis – und der gemessene Effekt auf Secrets ist real: KI-gestützte Commits leaken Credentials etwa doppelt so oft wie der Durchschnitt. Der Fix ist geschichtet und liegt vor allem stromaufwärts: keine Secrets in Code und Kontext, Excludes und Scanner als Mechanismen, Business-Tarif-Kontrollen – und lokale Verarbeitung für das, was nicht reisen darf.

Inhalt

Der Datenfluss, präzise beschrieben

Kontext ist das Produkt. Ein moderner Assistent ist gerade deshalb nützlich, weil er über den Cursor hinaus liest: Nachbardateien, Imports, Konfiguration, Testdaten, das eingefügte Ticket, den Stack-Trace aus der Produktion. Seriöse Anbieter dokumentieren diese Flüsse und bieten echte Kontrollen – Excludes, No-Training-Zusagen, Retention-Einstellungen –, und die BSI/ANSSI-Empfehlungen behandeln genau diesen Fluss als zu managendes Risiko erster Klasse, nicht als Verbotsgrund. Die entscheidende Präzision: Was rausgeht, hängt an Tool und Konfiguration – die ehrliche Analyseeinheit ist euer Setup, nicht die Kategorie.

Die gemessenen Zahlen

Das Secrets-Problem ist älter als KI – hartkodierte Credentials sind eine alte Sünde. Was die Daten zeigen, ist Verstärkung: GitGuardian zählte 28,65 Millionen neue hartkodierte Secrets auf öffentlichem GitHub im Jahr 2025, KI-Dienst-Leaks +81 %, und KI-gestützte Commits leakten etwa doppelt so oft wie rein menschliche. Repositories mit aktivem Copilot zeigten 6,4 % Leak-Inzidenz gegenüber 4,6 % im Gesamtschnitt. Und Extraktions-Forschung holte über 2.700 hartkodierte Credentials mit konstruierten Prompts aus Copilot zurück – die Filter sind seither härter, aber die Richtung ist klar: Was in den Kontext gelangt, kann weiter reisen als beabsichtigt.

Was rausgeht, was sich darin versteckt, was es stoppt

PfadWas sich darin verstecktGegenmaßnahme
Prompt / eingefügtes MaterialLogs, Stack-Traces, Config-Schnipsel mit CredentialsSecret-Scanner beim Einfügen; Regel: vor dem Einfügen bereinigen
Gewählter Datei-Kontext.env-Dateien, Key-Dateien, Fixtures mit EchtdatenExclude-Patterns; Secrets ganz raus aus dem Repo
Codebasis-Index / EmbeddingsAlles – das ganze Repo, durchsuchbarIndex begrenzen; lokale Verarbeitung für sensible Repos
Generierter OutputHartkodierte Credentials, die das Modell reproduziert oder erfindetPre-Commit-Secret-Scanning – fängt Mensch wie KI
Telemetrie / LearningsNutzungsmuster, aufbewahrter Review-KontextBusiness-Tarif-Kontrollen; Opt-outs schriftlich dokumentiert
Die fünf Übertragungspfade von KI-Coding-Tools, was sich in jedem an Sensiblem versteckt und die Gegenmaßnahme mit Hebel – in jeder Zeile schlagen Mechanismen die Erinnerungen (Stand: Juli 2026).

Das Muster über alle Zeilen: Der stärkste Hebel liegt stromaufwärts. Ein Secret, das im Secret-Manager lebt und die App als injizierte Umgebungsvariable erreicht, kann nicht eingefügt, indexiert oder reproduziert werden – die Leak-Rate kann nicht verstärken, was nicht da ist. Alles andere ist Defense in Depth darum herum.

Der Geschäftsgeheimnis-Winkel, nüchtern beschrieben

Rechtsstand: 2. Juli 2026. Nur beschreibend – keine Rechtsberatung; die Bewertung gehört zu eurem Justiziariat. Geheimnisschutz-Regime schützen Informationen nur, solange ihr Inhaber angemessene Geheimhaltungsmaßnahmen trifft – in Deutschland nach dem GeschGehG, EU-weit nach der Geschäftsgeheimnis-Richtlinie. Quellcode ist oft genau so ein Geheimnis. Ob routinemäßige Übertragung an Drittdienste mit „angemessenen Maßnahmen“ vereinbar ist, hängt an Verträgen, Konfiguration und Kontrollen eures konkreten Falls – weshalb das Datenfluss-Mapping oben schriftlich gehört. Die breitere Datengrenzen-Architektur steht in Lokale KI-Code-Prüfung, und wo personenbezogene Daten im Spiel sind, in der DSGVO-Checkliste.

Wo Reality Graph ansetzt

Reality Graphs Beitrag ist hier architektonisch: Es ist local-first ausgelegt, die Verifikationsschicht selbst fügt also keinen neuen Übertragungspfad hinzu – die Prüfungen gegen den schriftlichen Auftrag, einschließlich Grenz-Checks, die Zugriffe außerhalb des Auftragsbereichs fangen, laufen in eurer Umgebung, und der Prüfbericht dokumentiert pro Run, was angefasst wurde. Es ist kein Secret-Scanner und ersetzt keinen – es macht den Workflow um eure Tools inspizierbar, ohne eine weitere Cloud hinzuzufügen, der man vertrauen muss.

Diese Seite gibt euch

  • Die fünf Übertragungspfade, auf Gegenmaßnahmen abgebildet
  • Gemessene Zahlen mit Quellen statt Bauchgefühl
  • Die Stromaufwärts-zuerst-Reihenfolge, die Risiko wirklich senkt
  • Den Geschäftsgeheimnis-Winkel, ohne Alarmismus beschrieben

Sie gibt euch nicht

  • Ein Urteil über die Datenpraxis eines Anbieters – prüft eure
  • Rechtsberatung zu Geheimhaltungsmaßnahmen – das gehört dem Justiziariat
  • Einen Verbotsgrund für Tools – Mechanismen schlagen Prohibition
  • Einen Freibrief bei Secret-Hygiene, nur weil lokal verarbeitet wird

Wenn diese Grenzen zu eurem Team passen:

FAQ

Welche Daten senden KI-Coding-Tools an ihre Anbieter?
Mehr als den Prompt. Je nach Tool und Konfiguration: die bearbeitete Datei, vom Tool gewählten Repository-Kontext (Nachbardateien, Imports, teils einen Index der ganzen Codebasis), eingefügtes Material wie Logs und Stack-Traces sowie Telemetrie. Seriöse Anbieter dokumentieren das und bieten Kontrollen – Excludes, No-Training-Zusagen, Zero-Retention-Tarife –, aber die Richtung ist strukturell: Kontextbewusste Tools sind wertvoll, weil sie viel lesen. Den tatsächlichen Datenfluss des eigenen Tools zu kennen, pro Konfiguration, ist Schritt eins von allem Weiteren.
Wie schlimm ist das Secrets-Problem, gemessen?
GitGuardians State of Secrets Sprawl 2026 zählte 28,65 Millionen neue hartkodierte Secrets auf öffentlichem GitHub im Jahr 2025, KI-Dienst-Leaks stiegen um 81 %. KI-gestützte Commits leakten Credentials etwa doppelt so oft wie rein menschliche, und Repositories mit aktivem Copilot zeigten 6,4 % Leak-Inzidenz gegenüber 4,6 % im Gesamtschnitt – rund 40 % mehr. Die Zahlen sagen: Die Tools verstärken eine bestehende Unsitte – Secrets, die in Code und Kontext leben, werden mehr bewegt, wenn Generierung schnell ist.
Können Secrets aus den Modellen wieder herauskommen?
Forschung hat es demonstriert: Mit aus GitHub-Snippets konstruierten Prompts extrahierten Forscher über 2.700 hartkodierte Credentials aus Copilot, ein Teil davon echte, identifizierbare Secrets. Anbieter haben seither Filter gehärtet, und No-Training-Zusagen der Business-Tarife senken das Risiko an der Quelle. Die dauerhafte Lehre handelt nicht von einem Anbieter – sondern davon, dass alles Hartkodierte und Übertragene eure Kontrolle verlassen hat. Der Fix liegt stromaufwärts: gar keine Secrets in Code und Kontext.
Gibt es einen Rechts-Winkel bei Geschäftsgeheimnissen?
Beschreibend ja: Geheimnisschutz-Regime (in Deutschland das GeschGehG, EU-weit die Geschäftsgeheimnis-Richtlinie) schützen Informationen nur, solange ihr Inhaber angemessene Geheimhaltungsmaßnahmen trifft. Ob routinemäßige Übertragung von Quellcode an Drittdienste in eurem Fall mit „angemessenen Maßnahmen“ vereinbar ist, ist eine Frage ans Justiziariat – die nüchterne Erkenntnis: Die Antwort hängt an Verträgen, Konfigurationen und Kontrollen, weshalb genau diese dokumentiert gehören. Rechtsstand Juli 2026, keine Rechtsberatung.
Welche Gegenmaßnahmen wirken tatsächlich?
Nach Hebelwirkung sortiert: Secrets komplett aus Code und Kontext holen (Secret-Manager, Umgebungs-Injektion – die Leak-Rate kann nicht verstärken, was nicht da ist); Excludes konfigurieren, damit sensible Pfade nie in den Tool-Kontext gelangen; Secret-Scanner als Pre-Commit- und Pre-Push-Gates, die auch KI-Generiertes fangen; Business-Tarife mit No-Training- und Retention-Kontrollen; und die sensibelsten Codebasen in lokale Verarbeitung routen. Die Anweisung an Beschäftigte kommt zuletzt, nicht zuerst – Mechanismen schlagen Erinnerungen.
Löst lokale Verarbeitung das Secrets-Problem?
Sie entfernt die Übertragungs-Hälfte: Was in eurer Umgebung verarbeitet wird, liegt nicht in der Kontext-Pipeline eines Anbieters. Die Hartkodierungs-Hälfte entfernt sie nicht – ein lokales Modell liest dieselbe .env-Datei wie ein Cloud-Modell, und Secrets im Code bleiben für jeden mit Repo-Zugriff auffindbar. Die ehrliche Rahmung: Lokale Verarbeitung verkleinert die Angriffsfläche; Secret-Hygiene verkleinert das Geheimnis. Ihr wollt beides.

Weiterlesen

Quellen

Die Beta verfolgen – oder testen, sobald sie öffnet?

Early Access anfragen