Claude Code opent zelf pull requests, developers eisen een uitknop
Tools & Apps

Claude Code opent zelf pull requests, developers eisen een uitknop

· 8 min leestijd

Sinds 1 juli opent Claude Code zelf een pull request op GitHub zodra een achtergrondtaak klaar is. Geen pop-up die om toestemming vraagt, geen tussenstap waarin je de code bekijkt. De agent commit, pusht naar je remote en opent een draft-PR. Versie 2.1.198 maakte die workflow de standaard voor zo'n 235.000 Claude Code-gebruikers wereldwijd. Handig als je snel wilt itereren, maar developers die liever zelf bepalen wat er naar hun repository gaat, ontdekten al snel dat een uitknop ontbreekt.

Wat is er veranderd in versie 2.1.198?

Tot 30 juni werkten achtergrondagents in Claude Code volgens een simpel patroon: je gaf een opdracht, de agent werkte in een geïsoleerde worktree, en als de code klaar was stopte hij en vroeg om goedkeuring. Jij bekeek de wijzigingen, deed zelf een commit en opende eventueel een pull request. De mens had het laatste woord.

Sinds 1 juli is die tussenstap verdwenen. Een achtergrondagent die klaar is met zijn werk doet nu drie dingen automatisch: committen, pushen naar origin, en een draft-PR openen op GitHub. De PR krijgt de status "draft", dus hij wordt niet automatisch gemerged. Maar de code staat wel op je remote repository. Iedereen in je team kan die branch zien.

Er veranderde nog iets. In dezelfde update gaan subagents nu standaard in de achtergrond draaien. Claude werkt gewoon door terwijl de subagent zijn taak uitvoert. De subagent meldt zich pas als hij klaar is. Gecombineerd met het auto-PR-gedrag betekent dat: je stuurt een opdracht, gaat koffie halen, en als je terugkomt staan er drie nieuwe draft-PRs op GitHub. Zonder dat je iets hebt goedgekeurd.

Twee dagen later, op 3 juli, bracht Anthropic versie 2.1.200 uit. Die veranderde de standaard permission mode naar "Manual". Klinkt als een rem, maar het raakt het auto-PR-gedrag niet. De achtergrondagent commit en pusht nog steeds zelfstandig.

Hoe werkt een achtergrondagent in een worktree?

Even voor de beeldvorming: een worktree in git is een aparte werkmap naast je hoofdproject. Denk aan een extra tabblad in een spreadsheet waar je een formule uitprobeert zonder de originele data aan te raken. Je hoofdbranch blijft ongewijzigd terwijl de worktree een eigen versie van de code bevat.

Claude Code's achtergrondagents werken exclusief in zo'n worktree. Ze klonen je branch, maken hun wijzigingen, en tot voor kort was dat het. Nu gaat de agent na afloop een stap verder: hij maakt een commit, pusht een nieuwe branch naar je remote en opent een draft-PR met een beschrijving van wat hij heeft gedaan.

Het voordeel is concreet. Je kunt vijf taken parallel uitzetten zonder dat je na elke taak moet terugkomen om te committen en te pushen. De agent levert een reviewbaar resultaat af. Voor solo-developers die snel willen itereren is dat een productiviteitswinst. Maar er zit een aanname in die niet voor elk team klopt: dat pushen naar de remote oké is zonder expliciete toestemming.

Waarom eisen developers een uitknop?

Op 2 juli, één dag na de release, opende ontwikkelaar FelixBC een issue op GitHub met een heldere boodschap: geef ons een instelling om dit uit te zetten.

"Pushing branches and opening PRs is outward-facing. For workflows where the human is the only one allowed to publish, a default-on publish step needs an off switch."

FelixBC, GitHub issue #73197

Het probleem zit in het woord "default". Teams die werken met een propose-only workflow, waarin de ontwikkelaar elk pull request handmatig opent na review, verliezen controle. De agent publiceert naar de remote repository zonder dat iemand het expliciet heeft goedgekeurd.

FelixBC vroeg om drie gescheiden schakelaars: een voor auto-commit, een voor auto-push en een voor auto-PR. Liefst instelbaar via settings.json en via het /config-commando in Claude Code zelf. Als tussenoplossing stelde hij voor dat bestaande permission deny-regels (zoals Bash(git push:*)) het gedrag zouden blokkeren.

Geen van beide opties bestaat op dit moment. Er is geen backgroundAgents.autoCreatePr: false in de settings, geen optie in /config, en geen documentatie over hoe je het uitzet. Anthropic heeft op het moment van schrijven niet publiekelijk gereageerd op het issue.

Het is overigens niet de eerste keer dat dit punt opkomt. Al eerder opende een gebruiker een bug report over Claude Code op het web, waar de task-agent system prompt hardgecodeerde commit-en-push-instructies bevatte die de eigen CLAUDE.md-configuratie van de gebruiker overschreven. Het patroon is steeds hetzelfde: de agent neemt een stap die je niet expliciet hebt gevraagd, en er is geen gedocumenteerde manier om dat te voorkomen.

Twee vertrouwensincidenten in één week

Het auto-PR-gedrag komt op een gevoelig moment. Vijf dagen eerder ontdekte een Reddit-gebruiker verborgen code in Claude Code die detecteerde of een gebruiker in China zat. Anthropic bevestigde het en noemde het een vergissing. De code is inmiddels verwijderd, maar het feit dat die er drie maanden onopgemerkt in zat, raakte het vertrouwen van de community.

Twee keer in één week ongedocumenteerd gedrag in dezelfde tool. Het patroon is herkenbaar voor iedereen die AI-tools in een team uitrolt: de tool kan steeds meer, maar de transparantie houdt niet altijd gelijke tred. In een eerder artikel beschreven we al hoe je voorkomt dat AI-gebruik op kantoor een rommeltje wordt. De auto-PR-update onderstreept dat advies: weet wat je tools doen voordat je ze aan je team geeft.

Overigens is Claude Code niet de enige tool die deze richting opgaat. Claude Agent for Jira opent sinds juni ook zelf pull requests op basis van Jira-tickets. Codex Remote van OpenAI schrijft code in de achtergrond terwijl jij in een vergadering zit. De trend is duidelijk: AI-agents gaan van suggereren naar publiceren.

Wat kost Claude Code en wie wordt geraakt?

Claude Code zit inbegrepen in het Claude-abonnement. Claude Pro kost 20 euro per maand, Claude Max begint bij 100 euro per maand en biedt aanzienlijk meer capaciteit. De achtergrondagents die nu automatisch PRs openen zijn beschikbaar voor alle betalende gebruikers.

Dat maakt de impact breed. Het gaat niet om een nichefunctie voor enterprise-teams met een apart contract. Elke developer met een Pro-abonnement van 20 euro per maand die achtergrondtaken start in een worktree, krijgt nu auto-PRs. Volgens de AI-adoptiecijfers van TheAIDaily gebruikt twee op de drie Nederlandse bedrijven inmiddels AI-tools, maar slechts een minderheid heeft afspraken over hoe die tools met gedeelde systemen als git-repositories omgaan.

Voor Nederlandse teams die Claude Code inzetten voor klantprojecten is de vraag extra relevant. Een draft-PR op een verkeerd moment in een klant-repository kan verwarring veroorzaken, vooral als het team niet weet dat de agent zelfstandig publiceert.

Vijf minuten werk die je repository beschermen

Branch protection rules in GitHub zijn je eerste verdedigingslinie. Ze kosten vijf minuten om in te stellen en voorkomen dat welke agent dan ook code naar je hoofdbranch pusht zonder menselijke goedkeuring.

Dit stel je in via GitHub, onder Settings, Branches, Add rule:

  • Vereis een pull request voor merges naar main
  • Vereis minstens één goedkeuring van een teamlid
  • Blokkeer force pushes
  • Vereis dat statuscontroles (CI/CD) slagen voor een merge

Met deze regels actief kan Claude Code's achtergrondagent een draft-PR openen, maar de code bereikt je productieomgeving pas na menselijke goedkeuring en geslaagde tests. De draft-PR wordt dan wat hij hoort te zijn: een voorstel, geen publicatie.

Solo-developers denken soms dat branch protection overbodig is als je alleen werkt. Maar met AI-agents verandert "alleen" in "samen". Je hebt de code niet regel voor regel geschreven. Je hebt een opdracht gegeven en de agent heeft honderden regels geproduceerd. Er zit een reëel verschil tussen "ik weet wat ik heb geschreven" en "ik heb gecontroleerd wat de agent heeft geschreven". Dat verschil alleen al rechtvaardigt een reviewstap, ook als je de enige mens in het project bent.

Voor teams die ook de push naar de remote willen voorkomen: dat vereist een pre-push hook in je repository of een CI-check die ongeautoriseerde branches weigert. Complexer, maar het is de enige manier om te garanderen dat er niks op je remote belandt zonder menselijk akkoord.

Waar stopt de agent en begint je team?

Claude Code's achtergrondagents zijn in een half jaar van "schrijf code en wacht" naar "schrijf code, commit, push en open een PR" gegaan. Elke stap apart is logisch. Samen verschuiven ze de grens van waar de mens begint en de machine stopt.

Het is een patroon dat breder speelt dan alleen Claude Code. Elke AI-tool die je in een werkproces integreert, wordt autonoom in stapjes. Het begint met suggesties, gaat naar acties, en eindigt bij publicatie. Zes maanden geleden suggereerde Claude Code codewijzigingen. Vandaag publiceert het ze naar je gedeelde repository. Over zes maanden vraag je je af wie die PR heeft gemerged. Dat is geen doemscenario, dat is de logische volgende stap als je nu geen grenzen instelt.

Claude Code's auto-PR is een helder voorbeeld: de functie zelf is prima, het ontbreken van een uitknop niet. Anthropic zal waarschijnlijk reageren met een instelling, net zoals het bedrijf de verborgen China-code snel verwijderde na de ontdekking. Tot die tijd ligt de verantwoordelijkheid bij het team dat de tool inzet.

Controleer vandaag je instellingen in Claude Code, stel branch protection in als je dat nog niet hebt gedaan, en bespreek met je team waar de agent stopt en de mens begint. Die vijf minuten gesprek zijn meer waard dan welke AI-functie dan ook.

Michael Groeneweg
Geschreven door Michael Groeneweg AI-consultant bij Digital Impact en oprichter van UnicornAI.nl

Michael is AI-consultant bij Digital Impact in Rotterdam en oprichter van UnicornAI.nl, waar hij AI-oplossingen en SaaS-integraties bouwt voor bedrijven. Al tien jaar ondernemer, en sinds een paar jaar weigert hij iets te doen waar geen AI in verweven zit, zakelijk noch privé, tot mild ongenoegen van zijn omgeving. Zijn reizen door de wereld zijn inmiddels een serie experimenten in wat AI wel en niet kan vanaf een terrasje in Lissabon of een treinstation in Tokio. Hij test obsessief nieuwe tools, bouwt oplossingen voor klanten, en vindt dat niemand de hype moet geloven, maar ook niemand meer kan doen alsof AI niet alles verandert. Houdt van goede koffie, lange vluchten en mensen die met AI bouwen in plaats van er alleen over praten.

Gemaakt door een mens, met AI als assistent bij research en redactie. Meer over onze werkwijze in de AI-disclosure en het redactiestatuut.