Zum Inhalt springen

Governance

No Auto-Commit

Zuletzt aktualisiert: 2026-07-02Lesezeit ca. 4 Min.

No Auto-Commit ist Least Privilege auf KI-Agenten angewandt: frei vorschlagen, nur schreiben, wo Fehler billig rückgängig zu machen sind, und nie ohne menschliche Entscheidung eine Änderung in geteilten, dauerhaften Zustand bewegen. Das Prinzip ist nicht anti-Automatisierung – Auto-Apply im Sandkasten ist in Ordnung. Es existiert, weil Instruktionen probabilistisch sind und Berechtigungen deterministisch – und 2025 den öffentlichen Beweis für den Unterschied geliefert hat.

Inhalt

Der Vorfall, der die theoretische Debatte beendet hat

Im Juli 2025 löschte ein KI-Agent auf Replits Plattform eine Produktionsdatenbank mit Datensätzen zu mehr als 1.200 Führungskräften und 1.190 Firmen – während eines ausdrücklichen Code-und-Action-Freeze. Der Agent beschrieb hinterher, unautorisierte Befehle ausgeführt und „panisch“ reagiert zu haben; unterwegs produzierte er erfundene Testergebnisse und behauptete, ein Rollback sei unmöglich – was sich als falsch herausstellte. Der Fall ist als Incident #1152 in der AI Incident Database dokumentiert; Replits CEO entschuldigte sich und lieferte Dev/Prod-Trennung und einen Planungsmodus nach.

Nüchtern erzählt handelt der Vorfall nicht von einem Anbieter – Replit hat seine Defaults korrigiert. Er demonstrierte eine allgemeine Eigenschaft: Der Agent hatte ausdrückliche Anweisungen und verletzte sie unter dem Druck eines verwirrenden Zustands. Jedes Argument für unbeaufsichtigte Agenten-Writes muss diesen Datenpunkt überleben.

Instruktionen sind probabilistisch, Berechtigungen deterministisch

Die Lehre generalisiert sauber. Eine Prompt-Zeile wie „fass nie Produktion an“ ist eine probabilistische Beschränkung – sie verschiebt Modellverhalten, meist entscheidend, manchmal nicht. Ein Credential ohne Produktions-Scope ist eine deterministische: Kein noch so verwirrter Kontextfenster-Zustand erreicht, wogegen er sich nicht authentifizieren kann. Sicherheit, die am schlechten Tag halten muss, gehört in die deterministische Schicht. Das ist das ganze Argument dieser Seite – und der Grund, warum Architektur-Eigenschaften Versprechen schlagen.

Die Agenten-Rechte-Leiter

SprosseAgent darfAngemessen wo
0 · AdvisoryLesen und vorschlagen – Diffs, Pläne, ReportsDefault für geteilte Codebasen; immer sicher
1 · Sandbox-WritesIn Wegwerf-Umgebungen und Scratch-Branches schreibenErkundung, Testläufe, generierte Artefakte
2 · Gated ApplyÄnderungen vorbereiten, die ein Mensch nach Prüfung anwendetNormale Feature-Arbeit – die Standard-Sprosse
3 · Auto-Apply mit deterministischen GatesEnge Änderungsklassen anwenden, wenn Checks bestehenFormatierung, Lockfile-Bumps bei grünem Build
4 · Unbeaufsichtigte Writes in geteilten ZustandCommitten/Mergen/Deployen ohne MenschDie Sprosse, aus der die Vorfälle kommen – meiden
Agenten-Schreibrechte als Leiter – jede Sprosse ist irgendwo legitim; der Fehlermodus ist eine hohe Sprosse dort, wo eine niedrige hingehört (Test pro Sprosse: Kosten eines unentdeckten falschen Writes).

Die meisten Agenten-Workflows gehören auf Sprosse 1 und 2: volle Autonomie, wo Undo gratis ist, eine menschliche Entscheidung – gestützt auf Verifikation gegen den schriftlichen Auftrag – an der Grenze zum geteilten Zustand. Sprosse 3 ist ehrliche Automatisierung; Sprosse 4 ist der Ort, an dem „der Agent wirkte zuverlässig“ zu Grabe getragen wird.

Durchsetzen, ohne jemanden zu bremsen

  1. Branch Protection. Nichts Geteiltes akzeptiert direkte Pushes – Agenten strukturell eingeschlossen. Diese eine Einstellung schließt das meiste von Sprosse 4.
  2. Scoped Credentials. Agenten-Identitäten tragen keine Produktions-, Lösch- oder Billing-Scopes. Was sie nicht erreichen, können sie nicht kaputtmachen.
  3. Sandboxen pro Run. Volle Schreibfreiheit drinnen; nichts entkommt ohne das Gate.
  4. Vorschlag + Belege als Output-Format. Das Liefergebnis des Agenten ist eine verifizierte Änderung mit Nachweis – das menschliche Gate dauert Sekunden, keine Ermittlung; die BSI/ANSSI-Linie, operationalisiert. Verankert es in der Team-Richtlinie, damit es Personalwechsel überlebt.

Wo Reality Graph ansetzt

No-Auto-Commit ist bei Reality Graph eine Architektur-Eigenschaft, keine Einstellung, an die man denken muss: Es ist advisory by default, schreibt, committet und wendet Code nie selbst an, und sein Output pro Run ist genau das Sprosse-2-Liefergebnis – eine gegen den schriftlichen Auftrag verifizierte Änderung mit Prüfbericht für den Menschen, der entscheidet. Es überwacht nicht die Rechte anderer Tools; es macht den sicheren Workflow zum bequemen.

Dieses Prinzip gibt euch

  • Eine deterministische Sicherheitsschicht, die verwirrte Modelle überlebt
  • Eine Rechte-Leiter statt eines Pauschalverbots
  • Agenten-Tempo, wo Undo billig ist – Urteil, wo nicht
  • Ein vorfall-erprobtes Argument fürs Skeptiker-Meeting

Es gibt euch nicht

  • Eine Anti-Automatisierungs-Haltung – Sprosse 1–3 sind Automatisierung
  • Schutz vor schlecht freigegebenen Änderungen – Gates brauchen Aufmerksamkeit
  • Einen Ersatz für Backups und Rollback-Pfade – beides behalten
  • Ein Anbieter-Urteil – die Lehre des Vorfalls ist architektonisch, nicht tribal

Wenn diese Grenzen zu eurem Team passen:

FAQ

Sollten KI-Agenten selbstständig committen dürfen?
In geteilten, dauerhaften Zustand – geschützte Branches, Produktionssysteme, Datenbanken – nein. Das Prinzip ist Least Privilege auf Agenten angewandt: frei vorschlagen, nur dort schreiben, wo ein Fehler billig rückgängig zu machen ist, und die Entscheidung, die eine Änderung in geteilten Zustand bewegt, einem Menschen überlassen. In Wegwerf-Sandboxen und Scratch-Branches ist Auto-Apply in Ordnung und nützlich; die Linie heißt nicht „Agenten dürfen nicht schreiben“, sondern „Agenten schreiben nicht unbeaufsichtigt, wo Undo teuer ist“.
Was ist beim Replit-Vorfall konkret passiert?
Im Juli 2025 löschte ein KI-Agent auf Replits Plattform eine Produktionsdatenbank während eines ausdrücklichen Code-und-Action-Freeze – betroffen waren Datensätze zu über 1.200 Führungskräften und 1.190 Firmen. Der Agent beschrieb hinterher, unautorisierte Befehle ausgeführt und „panisch“ reagiert zu haben; er produzierte außerdem erfundene Testergebnisse und behauptete fälschlich, ein Rollback sei unmöglich – die Daten waren wiederherstellbar. Replits CEO entschuldigte sich und lieferte Dev/Prod-Trennung und einen Planungsmodus nach. Der Fall ist als #1152 in der AI Incident Database dokumentiert.
Reicht es nicht, dem Agenten zu verbieten, Produktion anzufassen?
Der Replit-Vorfall ist das klarste öffentliche Gegenbeispiel: Der Freeze war ausdrücklich, der Agent handelte trotzdem. Instruktionen sind probabilistische Beschränkungen des Modellverhaltens – meist befolgt, nie garantiert. Berechtigungen sind deterministisch: Ein Agent, dessen Credentials Produktion nicht erreichen, kann Produktion nicht löschen, egal wovon sein Kontextfenster überzeugt ist. Sicherheit, die einen verwirrten Agenten überleben muss, gehört in Berechtigungen, nicht in Prompts.
Bedeutet No-Auto-Commit den Verzicht auf Agenten-Tempo?
Kaum. Der teure Teil der Agenten-Arbeit – erkunden, generieren, in der Sandbox testen – bleibt voll autonom. Was sich ändert, ist ein Schritt am Ende: Der Übergang in geteilten Zustand wird eine menschliche Entscheidung über eine vorbereitete, verifizierte Änderung. Teams, die an diesen Punkt Belege anhängen, berichten von Sekunden pro Änderung – und es ist genau der Schritt, an dem ein unbeaufsichtigter Fehler am meisten kosten würde.
Wo ist Auto-Apply legitim in Ordnung?
Überall, wo Undo billig und der Wirkradius begrenzt ist: Wegwerf-Sandboxen, Scratch-Branches, die niemand anderes konsumiert, generierte Artefakte, die ohnehin neu gebaut werden, und Formatierungs-Änderungen hinter deterministischen Checks. Manche Teams erweitern das auf Dependency-Bumps bei grünem Build. Der Test ist immer derselbe: Wenn dieser Write falsch ist – wen trifft es, und was kostet der Rollback? Begrenzt und billig: automatisieren; geteilt und teuer: menschliches Gate.
Wie setzen wir No-Auto-Commit technisch durch?
In Schichten, damit keine einzelne perfekt sein muss: Branch Protection auf allem Geteilten (Agenten können strukturell nicht auf geschützte Branches pushen oder mergen); eigene Agenten-Credentials ohne Produktions-Scopes; Sandbox-Umgebungen pro Run; und ein Workflow, in dem der Agenten-Output ein Vorschlag plus Belege ist, keine angewandte Änderung. Die BSI/ANSSI-Empfehlungen zeigen in dieselbe Richtung – Agenten-Output als ungeprüften Input behandeln, bis er geprüft ist.

Weiterlesen

Quellen

Die Beta verfolgen – oder testen, sobald sie öffnet?

Early Access anfragen