Dein Code-Review-Tool untersucht jeden PR mit demselben Playbook. Formatierung? Check. Naming Conventions? Check. Bekannte CVEs? Check. Ob ein Junior-Dev den Code um 2 Uhr nachts geschrieben hat oder ein autonomer Agent ihn aus einer Slack-Nachricht generiert hat — gleiche Regeln, gleiche Heuristiken, gleicher grüner Haken. Das ist, als würdest du einen Metalldetektor benutzen, um Geister zu finden. Technisch gesehen scannst du. Praktisch gesehen bist du nutzlos.
Am 18. April hat CodeRabbit Multi-Repo-Analyse ausgeliefert — ihr Reviewer verfolgt jetzt Abhängigkeiten über Repositories hinweg. Netter Trick. Aber hier ist die Frage, die er immer noch nicht stellt: Wer hat diesen Code geschrieben? Copilot Review stellt sie auch nicht — das am 5. März mit seiner Agentic Architecture in GA ging. Cursor 3 stellt sie auch nicht — das am 2. April sein Agent-First Interface gelauncht hat. Nichts anderes auf dem Markt stellt sie. Kein einziges Tool passt seine Review-Strategie daran an, ob der Autor kohlenstoff- oder siliziumbasiert ist.
Das ist keine philosophische Feinheit. Das ist ein struktureller blinder Fleck. CodeRabbits eigene Studie vom Dezember 2025 mit 470 PRs zeigt es schwarz auf weiß: KI-generierte PRs haben 75% mehr Logik- und Korrektheitsfehler und produzieren 3x mehr Lesbarkeitsprobleme. Aber die Bugs, die KI-Reviewer tatsächlich finden — Formatierung, Import-Reihenfolge, Naming — sind die Bugs, die Menschen machen. KI-Code halluziniert syntaktisch perfekte API-Calls zu Endpoints, die nicht existieren. Er schreibt Test-Suiten, die die Annahmen der eigenen Implementierung validieren statt die Spec. Er produziert Business-Logik, die kompiliert, jeden automatisierten Check besteht und leise das Falsche tut. Der Fehlermodus und die Erkennungsmethode sind nicht mal im selben Gebäude.
Die Cloud Security Alliance berichtete am 4. April, dass CVEs, die auf KI-Coding-Tools zurückgeführt werden, von 6 im Januar auf 35 bis März gestiegen sind — ein 6-facher Anstieg in einem Quartal. Gleichzeitig hat Qodo am 30. März $70 Mio. eingesammelt für 'Code-Verifikation". Alle bauen schnellere Pattern-Matcher. Niemand baut das eine Feature, das zählt: dem Reviewer zu sagen, welche Art von Code er sich ansieht, bevor er anfängt zu schauen.
So würde authorship-aware Review tatsächlich aussehen. Ein Agent-generierter PR landet. Das Tool sieht den Author-Tag — cursor-agent, copilot-workspace, wie auch immer dein Bot signiert — und wechselt komplett das Playbook. Statt Style zu prüfen, prüft es Semantik: Entspricht diese Funktion der Spec? Verifiziert dieser Test Verhalten oder spiegelt er nur die Implementierung wider? Referenziert dieser API-Call etwas, das tatsächlich existiert? Das ist die Lücke zwischen 'sieht richtig aus" und 'ist richtig" — und gerade arbeitet jedes Review-Tool auf dem Markt ausschließlich auf der 'sieht aus"-Seite.
Du kannst das heute manuell faken. Label deine Agent-PRs. Trainiere Reviewer, die Formatierungs-Nits zu überspringen, wenn sie das Label sehen, und direkt zum Intent-Check zu gehen. Frag 'Macht das, was im Ticket steht?" statt 'Folgt das unserem Style Guide?" Es ist umständlich. Es ist auch der einzige Ansatz, der funktioniert, bis jemand das echte Ding ausliefert.
Die Ironie ist saftig: Die Branche hat gerade Milliarden ausgegeben, damit KI Code schreibt und KI Code reviewt, und das fehlende Feature ist ein einzelnes Metadaten-Feld. Mensch oder Maschine? Ein Boolean. Jeder Reviewer auf dem Markt überspringt es. Jeder einzelne bewertet Code, ohne zu wissen, wer der Autor ist — wie Aufsätze benoten, ohne zu wissen, ob ein Schüler oder ChatGPT sie geschrieben hat. Wir haben gesehen, wie gut das in der Bildung funktioniert.
Das nächste Review-Tool, das relevant wird, ist nicht der smarteste Pattern-Matcher. Es wird das erste sein, das ehrlich genug ist zu fragen, wer der Autor ist — und seinen gesamten Ansatz basierend auf der Antwort zu ändern.
