Das unabhängige Browser-Projekt Ladybird nimmt ab sofort keine öffentlichen Pull Requests mehr an. Gründer Andreas Kling begründet den Schnitt mit KI-Werkzeugen, die das Vertrauen in fremde Code-Beiträge ausgehöhlt haben. Für jedes Team, das auf Open-Source-Komponenten baut, steckt darin eine unbequeme Lektion.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Am 5. Juni 2026 hat Ladybird die Annahme öffentlicher Pull Requests beendet, mitten in der Vorbereitung auf die erste Alpha-Version. Code-Änderungen am Browser stammen künftig ausschließlich von den Projekt-Maintainern. Den Auslöser benennt Gründer Andreas Kling klar: KI hat die Ökonomie der Beiträge gekippt.
Das Wichtigste in Kürze
- Ladybird ist einer von über 20 verschiedenen Browsern am Markt
- Ladybird schließt alle offenen öffentlichen Pull Requests und nimmt keine neuen mehr an.
- Nur noch Maintainer dürfen Code in den Browser einbringen.
- Begründung: KI-Tools machen es billig, seriös wirkende Beiträge zu fälschen.
- Ladybird bleibt quelloffen; Bug-Reports, Tests und Sicherheitsmeldungen sind weiter willkommen.
Warum traut Ladybird einem Pull Request nicht mehr?
Über Jahrzehnte funktionierte Open Source nach einem einfachen Prinzip. Beitragende, die brauchbaren Code lieferten, dabei blieben und Verantwortung übernahmen, bauten sich Vertrauen auf. Ein umfangreicher Patch stand für echten Aufwand, und dieser Aufwand galt als Beleg für gute Absichten. Kling schreibt, genau diese Annahme trage nicht mehr. KI-Werkzeuge erzeugen heute schnell und günstig etwas, das wie ein ernsthafter Beitrag aussieht, ohne dass dahinter die entsprechende Arbeit oder Bindung an das Projekt stehen muss.
Warum ist das gerade für einen Browser brisant?
Ein Browser verarbeitet nicht vertrauenswürdige Inhalte aus dem gesamten Netz direkt auf dem Rechner der Nutzer. Eine einzige gut getarnte Schwachstelle reicht einem Angreifer. Die Open-Source-Welt erlebte 2024 mit der xz-Hintertür bereits einen Fall, in dem sich ein Angreifer über Monate Maintainer-Vertrauen erarbeitete und es dann missbrauchte. KI verkürzt diesen Weg, weil sich überzeugend wirkende Beiträge nun in Serie produzieren lassen. Ob eine Zeile von Hand getippt wurde, spielt dabei keine Rolle. Entscheidend ist, wer am Ende für den Code im Browser geradesteht. Wie schnell aus blindem Vertrauen ein echtes Risiko wird, zeigte zuletzt der Fall, in dem ein KI-Agent eine Produktivdatenbank löschte, und ein Browserspiel über Permission Fatigue führt dieselbe Sorglosigkeit in 60 Sekunden vor.
Bleibt Ladybird überhaupt noch Open Source?
Der Quellcode bleibt öffentlich unter einer Open-Source-Lizenz verfügbar. Einen Ersatzkanal für Patches soll es ausdrücklich nicht geben, weder über Issues und Kommentare noch über E-Mail oder Forks. Mitarbeit von außen zählt weiterhin, nur eben anders. Gefragt sind klare Fehlerberichte, das Reduzieren von Bugs auf reproduzierbare Fälle, das Testen von Webseiten und das Melden von Sicherheitslücken. Den vollständigen Beschluss hat Kling im Ladybird-Blog veröffentlicht.
Für deutsche Entwicklungsteams ist der Schritt mehr als eine Randnotiz aus der Browser-Szene. Prüfen Sie, woran Sie die Vertrauenswürdigkeit externer Beiträge heute festmachen. Solange echter Aufwand als stiller Beleg galt, genügte ein Blick auf den Patch. Dieser Maßstab wackelt, und parallel verschiebt sich durch KI-Coding-Agenten die Last vom Schreiben zum Prüfen, während die schiere Menge an Beiträgen die eigene Prüfkapazität sprengt. Eine saubere Einordnung der Werkzeuge liefert der LLMs-Ratgeber.
Mehr #Ladybird News
Mehr zu Ladybird Browser
Mehr Newshunger?
