Microsoft hat in Visual Studio Code unbemerkt die Zeile Co-Authored-by: Copilot <copilot@github.com> in Git-Commits eingefügt — und das auch bei Entwicklern, die die KI-Funktionen vollständig deaktiviert hatten. Ein Microsoft-Produktmanager stieß die Änderung an, ein leitender Ingenieur winkte sie ohne Beschreibung durch, und sie wurde sofort gemergt. Nach massiver Kritik auf GitHub und Hacker News räumte der beteiligte Microsoft-Entwickler Dmitriy Vasyura den Fehler ein: Die Funktion hätte bei deaktivierten KI-Features schlicht nicht greifen dürfen — und sie hätte niemals Commits als KI-generiert kennzeichnen sollen, wenn keine KI beteiligt war. Vasyura kündigte an, die Standardeinstellung in Version 1.119 zurückzunehmen.
- Microsoft hat in VS Code heimlich und standardmäßig "Copilot" als Co-Autor in Git-Commits eingefügt, selbst wenn die KI deaktiviert war.
- Nach massiver Kritik aus der Entwickler-Community rudert Microsoft zurück und entfernt diese Opt-out-Funktion in Version 1.119.
- Die ungefragte KI-Autorenschaft birgt enorme rechtliche Risiken für Open-Source-Projekte und Unternehmen mit strengen Compliance-Vorgaben.
Die Änderung war opt-out statt opt-in: Wer VS Code per Auto-Update aktualisierte — also die große Mehrheit der Nutzer — war automatisch betroffen, ohne je gefragt worden zu sein. Die Auslöseschwelle war dabei bemerkenswert niedrig. Laut dem betroffenen Code reichte es aus, einen einzigen Autocomplete-Vorschlag zu akzeptieren, damit Copilot als Co-Autor in den Commit-Metadaten auftauchte. Triviale Korrekturen — ein fehlendes Komma, ein Tippfehler — qualifizierten sich ebenfalls. Besonders heikel: Die Zeile war im Commit-Fenster verborgen und fiel vielen Entwicklern erst auf, als sie nachträglich ihre Git-Logs oder CI-Ausgaben prüften.
Rechtliche Grauzonen und Compliance-Risiken
Der Pull Request auf GitHub, über den die Änderung eingeflossen ist, löste unmittelbar nach seiner Entdeckung eine breite Diskussion aus — die inzwischen von Microsoft als Spam gesperrt wurde. Auf Hacker News lief zeitgleich ein Thread mit deutlich kritischeren Tönen.
Viele Entwickler vermuten, Microsoft habe versucht, die Nutzungszahlen von Copilot künstlich aufzubessern. Das bleibt Spekulation — der Schaden für das Vertrauen ist aber real und unabhängig von der Motivation. Denn die versteckte Co-Autorenschaft hat handfeste rechtliche Implikationen: Unternehmen mit strikten KI-Richtlinien — etwa im Finanz- oder Verteidigungsbereich — könnten durch automatisch getaggte Commits gegen interne Compliance-Vorgaben verstoßen, ohne es zu wissen. Open-Source-Lizenzen wie MIT, GPL oder Apache setzen menschliche Urheberschaft voraus; eine KI als Co-Autor einzutragen erzeugt hier Graubereiche, die juristische Teams nicht ignorieren können. Der EU AI Act, dessen Hochrisiko-Bestimmungen ab August 2026 greifen, stellt zudem erhöhte Anforderungen an Transparenz und Nachvollziehbarkeit von KI-Einsatz — wer nicht weiß, dass Copilot in seinen Commits steckt, kann diese Anforderungen kaum erfüllen.
Bemerkenswert ist auch der Kontrast zum restlichen Markt: Cursor setzt seinen optionalen PR-Footer standardmäßig auf aus. Claude Code verlangt explizite Zustimmung. Sourcegraph Cody verzichtet ganz auf automatische Commit-Attribution. Microsoft ist mit diesem Opt-out-Ansatz ein Ausreißer — und das in die falsche Richtung.
Bis Version 1.119 ausgerollt ist, können Entwickler die Funktion manuell deaktivieren: In den VS Code Settings einfach "git.addAICoAuthor": "off" setzen. Wer prüfen möchte, ob bereits vergangene Commits betroffen sind, kann mit git log --grep="Co-authored-by: Copilot" das eigene Repository durchsuchen. Teams mit strikten KI-Richtlinien sollten das jetzt tun — nicht erst, wenn der nächste Audit ansteht. Das setzt Microsoft unter Zugzwang, künftige Copilot-Integrationen deutlich transparenter zu gestalten.
❓ Häufig gestellte Fragen
✅ 12 Claims geprüft, davon 7 mehrfach verifiziert
📚 Quellen
