GitLab 19.2 stellt der wachsenden Menge an KI-generiertem Code eigene, geprüfte Agenten entgegen. Sie schließen Sicherheitslücken selbst, dokumentieren aber jeden Schritt. Für Entscheider zählt dabei weniger das Tempo als die lückenlose Nachweiskette.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenMit GitLab 19.2 reagiert der Plattformbetreiber auf ein Problem, das die KI selbst geschaffen hat: Assistenten liefern inzwischen mehr Code und mehr Abhängigkeiten, als ein Team von Hand prüfen kann. Der Berg aus ungeprüftem und unsicherem Code wächst dadurch schneller, als klassische Reviews ihn abtragen.
Das Wichtigste in Kürze
- GitLab bündelt in Version 19.2 mehrere KI-Agenten, die Abhängigkeiten patchen, Sicherheitslücken aufspüren und ganze Arbeitsabläufe automatisieren.
- Jede Aktion der Agenten landet in einem unveränderlichen Audit-Protokoll; die Sicherheitsprüfung gibt Code nie eigenständig frei.
- Rund 63 % der aktuellen Maven-Pakete tragen laut GitLab Schwachstellen über transitive Abhängigkeiten ein.
- GitLab Duo CLI und Custom Flows sind allgemein verfügbar, die Sicherheits-Features starten in der öffentlichen Beta.
Warum türmt sich der KI-Code so schnell?

Generative Assistenten schreiben in vielen Teams heute einen Großteil des Codes. Das verschiebt den Engpass vom Tippen hin zum Prüfen und Absichern.
GitLab beschreibt das in der Ankündigung zu Version 19.2 unverblümt: KI erzeuge „mehr Code, Abhängigkeiten und Änderungen, als Entwicklerinnen und Entwickler bewältigen können“.[1] Ein ähnliches Muster hat sich gezeigt, als GitHub bei Dependabot eine dreitägige Wartezeit gegen manipulierte Pakete eingeführt hat: Die Branche zieht Leitplanken ein, weil das Tempo der Automatik das der Kontrolle überholt hat.
Was leisten die neuen Agenten konkret?
Der erste Agent überwacht die Abhängigkeiten eines Projekts. Findet er ein verwundbares Paket, öffnet er selbst einen Merge Request mit der passenden Version und arbeitet Folgefehler im selben Vorgang ab. Diese Auto-Remediation greift ein reales Ärgernis auf, denn laut GitLab bricht jede achte Aktualisierung einer Abhängigkeit den Build.
Ein zweiter Agent liest Code-Änderungen nach ihrer Absicht, nicht nach bekannten Signaturen. So findet er Rechte- und Logikfehler, die statische Scanner übersehen, etwa fehlende Objektberechtigungen oder Race Conditions. Genau an solchen Lücken hat zuletzt der ShinyHunters-Angriff auf Salesforce-Daten angesetzt. Freigeben darf der Agent nichts, er schlägt nur vor.
Beide Agenten laufen in einem Rahmen, der jeden Schritt als unveränderliches Protokoll festhält. Diese Nachweiskette entkräftet zugleich die Kritik am Vibecoding, wonach autonome Agenten das gemeinsame Verständnis im Code aushöhlen.
Die eigentliche Neuerung ist nicht der Agent, der Code schreibt, sondern das Protokoll, das jede seiner Entscheidungen nachvollziehbar macht. Ohne diese Beweiskette bleibt automatisierter KI-Code für regulierte Unternehmen ein Haftungsrisiko.
— Markus Seyfferth, Chefredakteur Dr. Web
Der Rückstand in Zahlen
Was bedeutet das für Unternehmen in der DACH-Region?
Für regulierte Branchen wiegt das Audit-Protokoll schwerer als die Zeitersparnis. Der EU AI Act und die NIS2-Richtlinie verlangen nachvollziehbare Software-Lieferketten und dokumentierte Verantwortung, und genau die liefert eine revisionssichere Protokollierung jeder Agenten-Aktion.
GitLab Duo CLI und die Prüf-Flows laufen auch in selbstverwalteten und dedizierten Installationen. Europäische Firmen behalten ihren Code damit im eigenen Haus, statt ihn an eine fremde Cloud zu reichen, was der Datenhoheit unter der DSGVO zugutekommt. Wie sich solche Werkzeuge einordnen, zeigt die Übersicht im KI-Bereich von Dr. Web.
Zwei Schritte lohnen sich vor dem Einsatz: die menschliche Freigabe für jeden Merge verbindlich verankern und die Audit-Logs so archivieren, dass sie einer Prüfung standhalten. Dass KI die Sicherheitsarbeit ohnehin nach oben treibt, hat zuletzt auch Microsofts Rekord-Patchday mit 570 Lücken gezeigt.
Quelle
[1] GitLab: „GitLab 19.2 released“ ↩
Mehr Newshunger?
- Kimi K3 ist da: 2,8 Billionen Parameter und ein Bruch mit dem Billig-Image
- Grok Build ist jetzt Open Source: xAI legt den Code seiner Coding-KI offen
- LM Studio Bionic: der KI-Agent für offene Modelle
- Nicht das Modell bringt das Geld: Anthropics 1,3-Milliarden-Wette auf die KI-Umsetzung
- 570 Sicherheitslücken an einem Tag: KI treibt Microsofts Patchday auf Rekordniveau