Quantifizieren Sie zunaechst die Lage. Commit-Volumen: COO Kyle Daigle und CTO Vlad Fedorov bestaetigten im April, dass KI-Agenten woechentlich rund 275 Mio. Commits auf GitHub schreiben – Tendenz: 14 Mrd. fuer 2026, das 14-Fache des Vorjahresgesamtwerts. Request-Volumen: KI-erstellte Pull Requests stiegen von ca. 4 Mio. pro Monat (September 2025) auf 17 Mio. pro Monat (Maerz 2026). Compute: Die woechentlichen GitHub-Actions-Minuten kletterten von 500 Mio. (2023) auf 2,1 Mrd. in einer einzigen Woche (April 2026). Verfuegbarkeit: Allein im Februar verzeichnete GitHub 37 Plattformvorfaelle; vom 9. bis 13. April erreichten Agent-Sessions Wartezeiten von 54 Minuten statt der ueblichen 15–40 Sekunden, mit Fehlerquoten bis 97,5 Prozent; am 6. Mai erreichte die Fehlerquote der Actions-Runner waehrend des Copilot-Cloud-Agents-Vorfalls ca. 17,1 Prozent.

GitHub hat die Lage offen kommuniziert: Fedorov schrieb den Kapazitaetsplan von 10x auf 30x neu, portiert performancekritische Pfade von Ruby nach Go, isoliert Git- und Actions-Dienste, fuehrt Stacked PRs ein und prueft die Option, PRs auf Repository-Ebene komplett zu deaktivieren. Die Massnahmen wirken erst mittelfristig. Fuer iOS-Pipelines auf gehosteten macOS-Runnern bleiben Queue-Latenzen und sporadische Fehlschlaege bis weit ins Jahr 2027 der Normalfall, nicht eine voruebergehende Stoerung.

Zusammen ergibt sich: Die Bindung der Pipeline-Stabilitaet an einen einzelnen zentralen Runner-Pool wird im Zeitalter der KI-Agenten neu bepreist. Die naechsten Abschnitte zeigen, warum macOS-Runner zuerst betroffen sind und welche neue Sicherheitsachse durch KI-Agenten entsteht.

Gehostete Linux-Runner laufen auf grossen, weitgehend fungiblen x86_64-Pools. macOS-Runner sind durch die physische Verfuegbarkeit von Apple Silicon und Software-Lizenzbedingungen begrenzt, der Pool ist deutlich kleiner und der Minutenpreis liegt rund eine Groessenordnung ueber Linux. Bis 2025 absorbierte das Modell Schwankungen durch Queue-Awareness und Retries. Mit KI-Agenten kippt die Annahme: Eine einzige naechtliche Refaktorierung erzeugt mehrere Dutzend PRs innerhalb weniger Stunden; jeder PR triggert Lint, Unit, Integration, Archive und Notary nacheinander. Die Auslastung ρ des macOS-Pools naehert sich Eins; in der Warteschlangentheorie eskaliert die Wartezeit lange bevor ρ den Wert Eins erreicht. P50 steigt von Sekunden auf Minuten, P95 in den zweistelligen Minutenbereich.

Schwieriger zu beherrschen ist das Zusammenspiel aus Retry-Sturm und Cold Start. Ein flakiger Test schlaegt fehl, der Agent fordert automatisch einen erneuten Runner an, mehrere Agents drehen gleichzeitig in der „Anforderung – Fehlschlag – Wiederholung"-Schleife. Die zentrale Allokation sieht einen Thundering Herd. Cold Start auf gehosteten macOS-Runnern liegt bei 60–120 Sekunden: fuer Lint und PR-Checks ist das prohibitiv, fuer Archive- und Notary-Jobs entsteht der Eindruck einer halbstuendigen Pause, weil sie zusaetzlich in der Queue warten. Die Tabelle vergleicht Linux, gehostetes macOS und dediziertes Self-Hosted-macOS unter KI-Agent-Last und kann direkt in eine Spezifikation oder ein Beschaffungsdokument uebernommen werden.

Wer den GitHub Actions Self-Hosted-Runner-Leitfaden bereits umgesetzt und Concurrency Groups auf Org-Ebene aufgesetzt hat, sollte als naechstes Schritt KI-Agent-PRs und menschliche PRs auf getrennten Runner-Labels betreiben. Wer noch vollstaendig auf gehosteten Runnern arbeitet, prueft die Schwellwerte in §4.

Im Mai 2026 brachen zwei Lieferkettenangriffe die unausgesprochene Annahme, automatisierte Commits seien vom Review ausgenommen. Mini Shai-Hulud, ein npm-Wurm, stahl GitHub-Actions-OIDC-Token, faelschte damit gueltige SLSA-/Sigstore-Provenance und persistierte ueber boesartige Hooks in ~/.claude/settings.json und .vscode/tasks.json – jenen Konfigurationsdateien, die KI-Coding-Tools als vertrauenswuerdige Instruktionsquelle behandeln. Auf Linux wurde ergaenzend ein gh-token-monitor.service installiert, der bei Rotation des GitHub-Tokens das Home-Verzeichnis zerstoerte. Megalodon agierte direkter: am 18. Mai zwischen 11:36 und 17:48 UTC – binnen sechs Stunden – pushte ein Angreifer 5.718 Commits in 5.561 Repositories. Verwendet wurden gefaelschte Identitaeten wie build-bot, auto-ci, ci-bot und pipeline-bot. Die Commits injizierten GitHub-Actions-Workflows zur Exfiltration von OIDC-Token, SSH-Schluesseln, Docker-Credentials und Cloud-Geheimnissen an die C2-Adresse 216.126.225.129:8443. Gemeinsam ist beiden Kampagnen, dass Commit-Message und Author wie reguläre CI-Wartung wirkten und gezielt Zeitfenster mit niedriger Aufmerksamkeit ausgesucht wurden.

Fuer iOS-/macOS-Teams ist die Aussage eindeutig: Match-Keychains, App-Store-Connect-API-Keys, Notary-Credentials sowie Profile und Provisioning leben genau dort, wo OIDC- und Workflow-Injection-Angriffe ansetzen. „Ein Reviewer schaut sich den PR an" ist als letzte Verteidigungslinie nicht mehr tragfaehig. Reviewer sehen hunderte Agent-PRs pro Woche; auch legitime KI-Agenten editieren routiniert .github/workflows/*.yml (Action-Versionen, Cache-Keys), so dass die visuelle Trennung zwischen legitim und boesartig verschwindet. Die folgenden sechs Massnahmen verschieben die Sicherheitslinie aus dem Review in die Pipeline selbst; sie gehoeren in jede Platform-Engineering-Quartalsplanung. Hinweis zur DSGVO: Token, OIDC-Subjects, Author-E-Mails und Workflow-Logs gelten als personenbeziehbare Daten und sind entsprechend zu schuetzen.

Jede dieser Massnahmen ist fuer sich nicht neu. Neu ist, dass sie im KI-Zeitalter von „Best Practice" zur Pflicht werden. Auf vollstaendig gehosteten Runnern fehlt die Tiefe; auf einem dedizierten Self-Hosted-Knoten bilden Sie jede Zeile in macOS-Keychain, launchd, pf-Firewall-Regeln und Actions-Runner-Labels konkret ab.

Nicht jedes Projekt muss gehostete macOS-Runner sofort verlassen. Pruefen Sie vier quantitative Schwellwerte: (1) liegt die monatliche Hosted-Rechnung ueber den Kosten eines dedizierten Mac Mini, (2) ueberschreitet die P95-Queue-Wartezeit 10 Minuten in den Werktagsspitzen, (3) ist die Credential-Konzentration hoch (mehrere Workflows nutzen denselben Keychain und breite OIDC-Scopes), (4) hat der Anteil der KI-Agent-PRs die 30-Prozent-Marke ueberschritten. Zwei oder mehr „Ja" bedeuten: dedizierte macOS-Runner gehoeren in den Quartalsplan. Der folgende Entscheidungsbaum ist fuer die Uebernahme in Planungsdokumente vorgesehen.

name: ios-ci
on: [pull_request]
permissions: {}
jobs:
  lint-and-unit:
    runs-on: [self-hosted, macos, agent]
    permissions:
      contents: read
    steps:
      - uses: actions/checkout@v4
      - run: ./scripts/lint.sh
      - run: ./scripts/test-unit.sh
  archive-and-notary:
    if: github.event.pull_request.user.type != 'Bot'
    runs-on: [self-hosted, macos, human]
    permissions:
      id-token: write
      contents: read
    environment: prod-signing
    steps:
      - uses: actions/checkout@v4
      - run: ./scripts/archive.sh
      - run: ./scripts/notarize.sh

Das Skelett oben kapselt drei Richtlinien: top-level permissions: {} als Deny-by-default, label-basierte Trennung von Lint/Unit und Archive/Notary sowie ein if-Guard, der Signing fuer Bot-PRs verweigert. Auf gehosteten Runnern liesse sich der Syntax abbilden, die wirksame Durchsetzung gelingt aber nur auf einem dedizierten Knoten zusammen mit macOS-Keychain-Grenzen, launchd-Isolation und pf-Egress-Allowlist. Kombinieren Sie das Schema mit den Plaetzen und Queue-Namen aus Multi-Seat-SSH-Governance, um Mensch, KI-Agent und mehrere Entwickler auf einem Knoten sicher zu betreiben.

Zur Dimensionierung: Mittelgrosse iOS-Repositories mit wenigen Entwicklern und gelegentlichem Agent-Aufkommen kommen mit M4 16GB·256 oder 24GB·512, monatlicher Baseline und Tagespitzen aus. Bei Simulator-Matrix, naechtlicher KI-Regression und co-hostendem OpenClaw Gateway empfiehlt sich direkt M4 Pro 64GB·2TB. Fuer globale Teams orientieren Sie sich an den RTT- und Same-Region-Regeln in Sechs-Regionen-Latenzen und Mietkonditionen; wenn das Budget erlaubt, kommt ein zweiter Knoten in einer Ausweichregion als Failover hinzu, um einzelne Regionsausfaelle abzufangen.

Verdichten Sie die vorausgegangenen Abschnitte in drei beschaffungstaugliche Saetze. (1) Agent-Runner erhalten eigene Labels, Accounts und Keychains, niemals gemeinsam mit menschlichen Entwicklern. (2) OIDC-Scopes und PATs sind kurzlebig, eng gefasst und rotiert; Produktiv-Signing-Jobs sind ueber GitHub Environments getrennt. (3) Agent-Commits muessen verifizierte Author-Identitaeten besitzen; .github/workflows/*.yml liegen hinter Protected Branches und Vier-Augen-Review. Faellt einer der drei Bausteine weg, steigt die Wahrscheinlichkeit eines Mini-Shai-Hulud- oder Megalodon-aehnlichen Vorfalls geometrisch.

Vergleichen Sie die Alternativen ehrlich. Volle Bindung an gehostete Runner: Rechnungen und Queue-Tail wachsen mit dem Agent-Aufkommen, Credential-Isolation bleibt auf Workflow-Ebene haengen, ein Megalodon-aehnlicher Vorfall laesst Ihnen nur das Warten auf eine Plattformankuendigung – das ist mit DSGVO-Pflichten zur Begrenzung von Schaden und zur Meldung von Vorfaellen schwer vereinbar. Mac mini im Schrank: physische Instabilitaet, kein launchd-faehiges Management, Feiertagsausfaelle stoppen die Auslieferung. macOS auf generischer Cloud-VM: verstoesst gegen Apples Lizenzbedingungen und liefert spuerbar weniger Leistung. Fuer iOS-/macOS-Pipelines, die mit KI-Agenten im produktiven Betrieb koexistieren muessen, ist KVMNODE Mac Mini Cloud-Mietangebot die in der Regel bessere Antwort – dedizierte Apple Silicon, 7×24-Betrieb, sechs Regionen, tages-/wochen-/monatsweise Elastizitaet, plus Spielraum fuer Twin-Queues, Credential-Sandbox und OIDC-Verschaerfung im selben Change-Ticket. SKUs auf der Preisseite, Anleitungen im Hilfezentrum, Bestellung ueber die Bestellseite.