News 14/26: Claude Code Source Leak // Axios Security Incident // Apple App Store vs. Vibe Coding Artwork

programmier.bar – der Podcast für App- und Webentwicklung

Die programmier.bar lädt regelmäßig spannende Gäste aus der Welt der App- und Webentwicklung zum Gespräch ein. Es geht um neue Technologien, unsere liebsten Tools und unsere Erfahrungen aus dem Entwickler-Alltag mit all seinen Problemen und Lösungswegen.

Euer Input ist uns wichtig! Schreibt uns eure Themenwünsche und Feedback per Mail an podcast@programmier.bar oder auf Discord (https://discord.gg/SvkGpjxSMe), LinkedIn (@programmier.bar), Bluesky (@programmier.bar), Instagram (@programmier.bar) oder Mastodon (@podcast@programmier.bar).

Wir sind Full-Stack-Spieleentwickler bekannter Apps wie 4 Bilder 1 Wort, Quiz Planet und Word Blitz. https://www.programmier.bar/impressum

All Episodes

programmier.bar – der Podcast für App- und Webentwicklung

News 14/26: Claude Code Source Leak // Axios Security Incident // Apple App Store vs. Vibe Coding

April 02, 2026 • programmier.bar • Season 7 • Episode 26

0:00 | 47:11

Wie hat dir die Folge gefallen?
Gut 👍
Schlecht 👎
(Keine Anmeldung erforderlich)

Habt ihr unsere Videopodcasts schon gesehen? Unsere News-Folgen gibt es auf YouTube und Spotify als Video.

Ihr möchtet auf der programmier.con 2026 (25.-26. November 2026) einen Talk halten? Dann meldet euch jetzt unter: cfp.programmier.bar

Außerdem gibt es noch freie Plätze bei unserem nächsten Meetup: Am 9. April spricht Julia Kordick über Agentic Coding.

In dieser Folge sprechen wir über folgende Themen:

Durch einen Source-Map-Leak wurden etwa 500.000 Zeilen unverschlüsselten TypeScript-Codes von Claude Code temporär veröffentlicht. Dennis und die Crew diskutieren, wie relevant dieser Code tatsächlich ist und wo sich eigentlich die Alleinstellungsmerkmale von Coding Agents verstecken.

Weiter geht es mit einem NPM-Sicherheitsfall, bei dem ein bösartiges Paket als Dependency eingeschleust wurde. Die Post-Install-Scripts führten Remote-Code aus, was eine vollständige Kompromittierung von Systemen ermöglichen konnte. Jan erklärt, wie clever der Angriff vorbereitet war und welche Sicherheitsmaßnahmen für Maintainer:innen und Entwickler:innen zu empfehlen sind.

Dave berichtet von Apples Vorgehen gegen Vibe-Coding-Apps. Im App Store wurden mehrere Apps blockiert oder entfernt, die es User:innen ermöglichen, eigene Apps zu vibecoden. Die Diskussion dreht sich um die Balance zwischen Kontrolle, Qualitätssicherung und Innovation: Apple will scheinbar die Plattformintegrität wahren, gleichzeitig entstehen neue Unsicherheiten für Entwickler:innen, die interaktive Coding-Tools anbieten.

Dennis richtet den Blick auf das neuste Update von Google Stitch, ein AI-gestütztes Tool für Design- und Vibe-Design-Workflows. Die Hosts teilen ihre ersten Erfahrungen und reflektieren über Limitierungen bei der Integration bestehender Designs. Für Prototyping und neue Interfaces bietet Stitch spannende Ansätze, bleibt aber in der iterativen Nutzung hinter klassischen Design-Tools zurück.

Außerdem wirbt Jan für die SoCraTes Konferenz: Die 15. Ausgabe der „International Conference for Software Craft and Testing“ findet vom 27. bis 30. August in Soltau statt und widmet sich im Open-Space-Format samt Workshops allen Themen rund um So

SPEAKER_00 0:10

Hallo und herzlich willkommen zu einer neuen Programmierbar News. Wir sind in Woche 1426. Wir reden heute über ein neues Sicherheitsding, was passiert ist mit Axios und das gibt es sehr präzise Sicherheitsdinge. Wahrscheinlich war es ja eine Sicherheitslücke, die irgendwo ausgenutzt wurde, aber das werden wir ja gleich erfahren. Es bleibt spannend. Irgendwas aus dem Bereich Security. Dann haben wir ein bisschen AI mit einem Produkt von Google Stitch, das wir uns angucken wollen. Claude Code, da gab es auch was mit Sicherheit eigentlich. Cloud Code, das ist ein Leak, der da passiert ist. Und dann hat Apple angefangen, im App Store ein bisschen, ich weiß nicht, ob aufräumen das richtige Weg ist, aber zu sind zumindest ein bisschen Krawall zu machen, was Vibecoding-Apps angeht. Aber darüber sprechen wir und wir sind Dennis Becker, das bin ich. Dave Akkar, David Kuschitski, moin. Und der Jan Krieger Emgretriebel. Moin Moin. Schön, dass ihr es wieder geschafft habt. Wo ist denn eigentlich Gerald Mock? Hat er dir nicht im Thread noch gesagt? Der will ja auch komm, der ist, glaube ich, im Urlaub, oder? Der hat einfach verraft, dass er im Urlaub ist.

SPEAKER_04 1:22

Urlaub. Der hat einfach sich vor Ostern Urlaub genommen.

SPEAKER_00 1:26

Das ist eine Sauerei. Ja. Das ist un. Urlaubssperre, einfach immer um alle Feiertage rum. Voll gut, voll die gute Idee.

SPEAKER_04 1:35

Das sind alle Führung. Aber speaking of Feiertage, also heute an dem Tag, an dem wir das aufnehmen, ist ja welcher Tag? Das wirst du gleich noch rausfinden. Es ist der zweite April.

SPEAKER_03 1:47

April, April. Ah, scheiße, okay, ja. Das ist Meta-Ebene, Meta-Joke. Ja.

SPEAKER_04 1:51

Nicht schlecht. Ich wollte einfach nur nochmal sagen, dass ich in das April-Special reingehört habe von euch, in das erste April-Special. Und ich das mega cool fand und mich mega gefreut habt, dass wir das nach, ich weiß nicht, vor drei Jahren oder so hatten wir die Idee zum ersten Mal, dass wir es endlich geschafft haben, dieses Ding aufzunehmen.

SPEAKER_00 2:09

Ich gehöre ja gar nicht, die ganze Historie ist mir gar nicht bewusst mit den drei Jahren dahin führte. Also ich weiß es seit März. Du weißt, wenn ihr dem 1. April. Wenn ihr da draußen genug habt von diesem ganzen Programmierzeug und AI und hast da nicht gehört. Das hätte ich ihr nicht durch. Genau. Dann könnt ihr euch genauso wie wir euch jetzt mal fokussieren auf den zweiten Part unseres Namens, nämlich Bar, der in Programmierbar steckt und tief ins Cocktail Game absteigen. Und die erste Folge dazu wurde gestern veröffentlicht, am Mittwoch. Gut, so, mein erstes Thema wurde kommentiert, sowohl auf LinkedIn als auch bei uns in Slack intern von Jan Gregor im Getriebel, als ist das überhaupt eine News und da ist doch gar nichts passiert. Hast du verteilt?

SPEAKER_04 2:59

Deshalb sprechen wir jetzt drüber.

SPEAKER_00 3:01

Vertrittst du weiter in diesem Standpunkt, Jan, oder hast du mittlerweile da noch neue News zugelesen?

SPEAKER_04 3:07

Also ich sag mir es andersrum. Ich gebe dir mal die Chance zu pitchen, warum das relevant ist und dann können wir darüber sprechen, ob das eine News ist oder nicht. Ich behaupte nach wie vor nicht.

SPEAKER_00 3:15

Okay, alles klar. Was auch immer passiert ist. Was passiert ist, es gab, und da kenne ich mich jetzt wieder, das könnt ihr wahrscheinlich, fühle das mal ein bisschen mit wissen an, ihr alten Devs hier. Hier ein Source Map-Leak. Und was ist das, Jan?

SPEAKER_04 3:33

Also die Source-Map zeigt ja im Prinzip von der komprimierten Quelldatei zur unkomprimierten Quelldatei und hilft dir halt gerade im Debugging, also wenn du noch am Entwickeln bist, zur Laufzeit irgendwie besser in den Quelltext reingucken zu können. Damit du nicht in komprimierte JavaScript-Dateien reingucken musst, sondern die Source Map kann dir halt sagen, diese Stelle in der komprimierten Datei entspricht quasi dieser Stelle in der unkomprimierten Datei.

SPEAKER_00 3:57

Und durch einen Fehler in der Konfiguration, mittlerweile hat Anthropic sich dazu gemeldet und hat gesagt, es war ein Human Error, der da passiert ist, ist es so passiert, dass eben die unverschlüsselten, verschlüsselten, unkomprimierten, wie nennt man sie, und die Original-TypeScript-Dateien geleakt wurden und zwar von Cloud Code, von einem großen Teil der Harness und alles, was dazu gepasst hat. Es sind ungefähr 500.000 Zeilen Code, die geleakt wurden. Ist es die gesamte Codebasis? Das weiß man, glaube ich, nicht so hundertprozentig, aber schon, es scheint so von der Funktionalität, die da drinsteht, schon ein relativ großer Teil zu sein. Wirklich, ja. Dann ging so ein lustiges, so ein bisschen so ein Copyright-Ding hin und her. Also dann gab es natürlich sehr findige, also Enthropic hatte es sehr, sehr schnell gemerkt und hat es dann gepatcht und dann war es nicht mehr da, aber wie das Internet so böse ist, hat natürlich innerhalb von wenigen Minuten einige Leute das ganze Ding einfach kopiert und in irgendwelche Repositories gestellt. Anthropic war relativ erfolgreich, viele von denen dann mit so einer, wie heißen die, DMCA oder sowas. Ja, das ist so Copyright Enfrischement, hey, da ist eine Kopie und man kann das ganz schnell runternehmen. Also da waren sie rechtlich sehr schnell unterwegs und konnten die ganzen Repositories dann wieder schließen lassen.

SPEAKER_03 5:23

Ich habe direkt an dieses Youngman gedacht. DMCA. Okay, gut. Waren sie richtig über dem Kopf eingespeichert, das ist genau. Genau, das haben die. Village People, sowieso. Das haben die gemacht. Oh, das sind wir eigentlich. Nur wir sind die City People, glaube ich. Also ich glaube, but now I'm died Village People als City People. Da sind wir die Village People. Waren die alle muskulös oder nur einer? Alle muskulös, alle sexy, alle in coolen Dresses. Ich bin ein Cowboy, glaube ich.

SPEAKER_00 5:53

Dann nehme ich den Bauarbeiter, aber ich bin halt nicht so muskulös.

SPEAKER_03 5:55

Aber finde ich gut.

SPEAKER_00 5:57

So, und haben viele davon gelöscht. Jetzt kommt der spannende Part. Ein schlauer Dude da draußen hat gedacht, ja, von wegen Copyright, ich nehme das Ganze, ich habe das Ganze noch und lasse es jetzt mit AI einfach komplett neu schreiben. Und hat das Ganze als Python-Code innerhalb von wenigen Stunden mit AI neu schreiben lassen, was soweit auch funktional ist. Also das heißt, da funktioniert es gerade. Jetzt sind gerade sind sie dabei, das Ganze nochmal in Rust zu machen, weil sie irgendwie gesagt haben, okay, Python ist vielleicht nicht die geilste Sprache, um diese Agent Harness zu machen. Und schreiben jetzt es gerade nochmal neu. Es ist übrigens das in zwei Stunden am schnellsten gewachsene GitHub-Repository aller Zeiten. Also das heißt, sie haben innerhalb von zwei Stunden 40.000 Stars waren es, glaube ich, gesammelt.

SPEAKER_03 6:48

Und warte mal, gibt es denn schon eins, das innerhalb von drei Stunden stärker gewachsen ist? Also ich finde diese Limitation auf zwei Stunden.

SPEAKER_00 6:55

In drei Stunden, meinst du? Ja, also gibt es eins, das in drei Stunden. Nein, aber das ist ja jetzt vorgestern passiert oder so. Oder gestern sind noch nicht so viele mehr Stunden. Aktuell sind es 86.600 GitHub-Stars, die auf diesem Repository sind. Genau. Und tatsächlich, der Typ, der das gemacht hat, der hat sich wohl auch schon die letzten Monate jetzt nicht so zufällig, dass er das irgendwie, dass es da dann dacht, oh, das finde ich interessant, sondern er hat sich explizit mit Agent Harnesses auseinandergesetzt. Und deswegen fand er es halt sehr interessant, rauszufinden, okay, was macht denn Claude Code alles im Background und was macht das besonders. Und insofern würde ich schon behaupten, dass da ein paar ganz nette Informationen drin waren, einfach zu gucken, okay, was macht Claude Code? Also ich glaube, das noch nicht alles jetzt irgendwie komplett durchforstet wurde und man irgendwie alles davon sägt. Aber es gibt zum einen gibt es so komische, es gibt irgendwie so einen Tamagotchi-Aspekt, der da drin ist. Und ja, ein paar andere unreleased Sachen. Also wenn ich jetzt ein anderer, welch ein anderer Anbieter wäre von einer Agent-Harness, dann würde ich mir das doch sehr explizit angucken. Um zu gucken, okay, was sind da noch für Features, was haben sie noch genutzt, um Cloud Code so gut zu machen, wie Cloud Code ist. So, Jan. Warum ist das kein Problem?

SPEAKER_04 8:22

Also ich frage mich halt, wie viel neues Wissen da wirklich drinsteckt, weil am Ende ist das ja alles Zeug, was eh schon auf deinem Rechner lag. Also dadurch, dass Cloud ja in TypeScript gebaut ist, ist es ja jetzt eh nicht 100% Binärcode oder so, der da ausgeliefert wird, sondern man kann ja schon, wenn man so ein bisschen die Compile-Arbeit da reinsteckt und so, sich das schon halt alles anschauen. Und ich würde halt auch die Frage stellen, dass selbst wenn du jetzt 100% vom Quelltext irgendwie von Cloud Code dir irgendwie anschauen kannst, wie viel Business-Logik kann da denn drin stecken und wird sich das allermeiste eh irgendwie Serverside gemacht bei denen? Also wie viel von dem, von der Wertigkeit des Harnesses steckt in der lokalen Anwendung, versus wie viel kommt halt, also natürlich durch das Model, was sowieso nochmal eine ganz andere Sache ist, aber durch so Memory-Zusammenschrauben und die System-Prompts und hast da alles nicht gesehen, also deshalb würde ich da mal so ein Fragezeichen dran machen. Und auch viele der Artikel waren ja so mega krass Clickbait, die so, ja, Cloud Code ist geleakt und so. Nein. Also das Einzige, was halt geleakt ist, ist diese Terminal-Anwendung. Und da ist ja bei weitem nicht alles drin, was Cloud Code irgendwie ausmacht. Und deshalb fand ich das so ein bisschen, also so wie du es jetzt erzählt hast, finde ich es zumindest newsworthier. Aber wenn man sich nur diese ganzen Clickbait-Artikel irgendwie anschaut mit, oh, Cloud Code ist geleakt und Entropics Business Secrets sind irgendwie draußen und pladig. Nein, da hast du das Spiel nicht verstanden. Aber ist online mehr als das LLM?

SPEAKER_00 10:02

Weil ich würde mal behaupten, also der API-Call geht letztendlich einfach nur zu dem Opus-Modell und alles andere darum, warum er was macht, mit welchen Schritten, wie er was nochmal validiert und sowas, das dürfte doch wirklich tatsächlich alles in der lokalen Anwendung liegen.

SPEAKER_04 10:18

Also ich würde behaupten, ich habe in den Quelltext ja nicht angerückt, aber ich würde behaupten, sie wären schön blöd, wenn sie das alles an Business Logik lokal geschippt hätten und nichts davon auf dem Server irgendwie passiert, weil dann gibst du ja wirklich so dein ganzes Businesswissen für umsonst raus.

SPEAKER_03 10:39

Ich frage mich halt, also, weil du ja gesagt hast, 500.000 Zeilen-Code, also ich frage mich, also es ist wahnsinnig viel, finde ich. Also, ich denke mir so, okay, was soll da drin sein? Weil eigentlich, also wenn das wirklich nur das Lokale dort vorne ist, also ich kann mir beim besten Wenig vorstellen, dass das so viele Zeilen-Codes ist. Also da muss, glaube ich, schon nochmal ein größerer Batzen auch dabei gewesen sein, wäre meine Vermutung.

SPEAKER_04 11:00

Ja, also 500.000 Zeilen, mach dir, tu dir euch mal den Gefallen und schau dir bei Gelegenheit mal an, wie viele Zeilen so in unseren Spielen drin stecken. Also das ist weniger.

SPEAKER_03 11:12

Meinst du? Ja, ich glaube, wir haben letztens mal nachgeschaut, ich glaube, mit Frontend, Backend haben wir 250.000 oder sowas um den Dreh.

SPEAKER_04 11:20

Also interessant, weil ich hätte jetzt, also ich habe mich versucht, ein paar Anwendungen, an denen ich geschraubt habe und die waren schon auch immer so mehrere hunderttausend Zeilen. Das fand das jetzt nicht so komplett unhurt auf irgendwie.

SPEAKER_03 11:33

Ja. Ich fand das aber lustiger, was du gesagt hast, Dennis, mit, die haben gesagt, das ist ein Human Error. Ich glaube, das müssen die ja auch sagen, by the way, die können nicht zugeben, dass er irgendwas an LLM falsch gemacht hat, sondern es ist immer so ein bisschen, ja, ja, das sind die dummen Menschen, die das machen. Unser Produkt ist perfekt.

SPEAKER_00 11:51

Ja, also ich, MindTech, also wie gesagt, vielleicht wäre es ganz gut, äh, oder auch viel Aufwand, 500.000 Zeilen Code jetzt nochmal zu analysieren und zu lesen, das machen ja zu einige da draußen. Aber ich würde auch sagen, eben. Naja, ich bin ja, also ich bin, ich bin eher bei Dave und nicht bei dir, wo ich sage, es ist schon erstaunlich, wie viel da jetzt drin ist. Es ist halt nicht nur eine ganz dünne Schicht gewesen von, hier ist nur die CLI und sie spricht mit dem Modell da unten, sondern es ist sehr viel von dem Ganzen, was die Harness ausmacht von den Schritten, von den Tools und so weiter, die damit herkamen. Und ich glaube, das ist kann man darüber diskutieren. Ich meine, ist nicht die Gemini CLI sogar Open Source gewesen? Oder tue ich mich jetzt gerade? Also Naja, also es gibt ja Open Source Harnesses.

SPEAKER_04 12:46

Wenn du dir Open Code oder sowas anguckst, da kann man ja mal reinschauen und einfach, also es ist ja genau so, als ob wir noch nie ein Harnes von innen gesehen hätten oder ein Recht hätten sehen können.

SPEAKER_00 12:55

Richtig, aber jetzt ist ja die Frage, was hat so in der Wahrnehmung Cloud Code besser gemacht in den letzten Monaten, die wir so hatten, weil viele, glaube ich, damit eingehen, dass es so mit das stärkste ist. Und dann ist halt jetzt die Frage, ist es einfach nur Opus 4.6? Du kannst ja auch dann eben dieses, ich verwechsel immer die dann, Open Code. Open Code. Open Code auch ja mit den Cloud-Modellen nutzen. Und ich vermute, die Experience ist nicht ganz so gut, wie wenn du die Cloud Code CLI genutzt hast. Und das ist ja dann, das ist ja die Final Magic Source, die das dann so erfolgreich gemacht hat. Und da kannst du jetzt halt mehr reingucken als vorher.

SPEAKER_04 13:33

Und das wäre jetzt vielleicht der interessante Teil der Auswertung, zu sagen, okay, wir vergleichen jetzt wirklich mal die eine Codebase mit der anderen und schauen, ob da wirklich irgendwas drin ist, was auf Feature-Ebene irgendwie maßgeblich unterschiedlich ist oder so. Ja, aber da wäre ich dabei.

SPEAKER_00 13:49

Aber am Ende sitzt ja auch die kleinen. Ich glaube, es sind ja am Ende irgendwie auch Details. Also wenn man mit den LLMs umgeht, merkt man das ja auch. Wir hatten auch, glaube ich, weiß nicht, ob es in den Folgen hier war, wenn man jetzt Konductor nutzt und die haben so einen neuen Review-Button, der dann einfach nur, wo der Prompt, ich meine, das ist auch nichts Besonderes, außer dass der Prompt ein bisschen anders ist und der Subagent nutzt dafür, so, aber das LLM und keine Ahnung, was dahinter, ist alles gleich geblieben und trotzdem macht es in der Qualität dann sehr großen Unterschied. Und deswegen, glaube ich, ist es das, was so spannendes. Gut, bleiben wir noch bei Sicherheitslücken, Lacks, was auch immer. Also ich muss sagen nicht so Sicherheitslücke.

SPEAKER_04 14:33

Wir bleiben in der Kategorie, was auch immer. Was auch immer.

SPEAKER_00 14:35

Was auch immer, das ist auch gut. Jan Eckrieg. Jan Emge.

SPEAKER_04 14:39

Jan Emge, Rider. Es gab natürlich mal wieder eine, ich weiß, also Sicherheitslücke auf NPM. Klingt ja immer so, als ob NPM dran schuld ist, aber es sind ja eigentlich immer die Pakete, die auf NPM gehostet werden, die dann da fröhlich munter die Sicherheitslücken durch die Gegend schieben. Und zwar hat das diesmal Axios getroffen und das ist eigentlich aus zwei Gründen irgendwie ein besonderer Case und deshalb sprechen wir nochmal drüber. Wir sprechen aber weitem nicht mehr über jeden dieser Fälle, weil es einfach wöchentlich gibt es der ja mittlerweile. Und wir könnten über nichts anderes. Wir könnten einen Podcast machen, der nur NPM-Lücken irgendwie diskutiert. True. Aber warum ist das in dem Fall irgendwie besonders? Zum einen, weil Axios eins der größten, meistverwendetsten NPM-Pakete da draußen ist wahrscheinlich. Ich habe eben nochmal die Zahlen geguckt, so Hunderte oder hundert Millionen Downloads jede Woche. 180.000 andere Pakete, die darauf dependen. Also das ist nicht ohne. Und eine Sicherheitslücke, die halt einfach massiv war. Oder die Ausnutzung massiv war. Was ist passiert? Also die TLDR-Variante ist, wenn du Axios in der Version, in der kompromittierten Version verwendet hast, hast du ein Remote Access Package quasi installiert bekommen und der Angreifer konnte halt deine Kiste übernehmen. So, Ende Gelände. Also viel schlimmer wird es eigentlich nicht. Und in all diesen ganzen Security-Post-Mortems und Berichten und sowas steht auch so, ja, wenn du da diese Lücke bei dir gefunden hast, versuch halt gar nicht, die zu beheben, sondern schmeiß die Kiste weg, behandel die als kompromittiert, setz es komplett neu auf, whatever, verbrenne es mit viel Feuer und Öl, aber die ist halt durch die Kiste. Alles, was da ansatzweise an Secrets drauf war, kannst du fünfmal durchrotieren und so. Wie ist das passiert? Und das ist der interessante Teil. Axios hat eine Dependency auf JS Crypto, wie super viele andere Pakete auch, weil Krypto braucht man halt für SSL und so weiter und viele andere Sachen. Und der Angreifer hat quasi eine Kopie von JS Crypto gemacht, hat sie OpenJS Crypto genannt oder auch Open Crypto.js. Hat die erstmal ganz normal released, hat die dann in Axios als Dependency hinzugefügt, hat dann eine neue Version von dieser falschen Dependency released und da war quasi der Chartcode drin. Also dass quasi nicht mal beim Hinzufügen der Dependency irgendjemand hätte stutzig werden können, sondern halt dann ganz normal mit so einem Update-Prozess, so wie wir das halt hier halt auch regelmäßig machen, du updatest deine Dependencies durch, Axis updatet auch seine Dependencies und dann kommt die Malicious-Variante von diesem Crypto-Klon sozusagen da rein. Und was die wiederum mitbringt, ist ein Post-Install-Hook. Und da haben wir hier ja auch schon ganz oft drüber gesprochen, dass Post-Install-Skripts vielleicht generell nicht so eine coole Idee sind, automatisch auszuführen. Aber was in dem Fall passiert ist, sind zwei Sachen. Es wird ein Skript ausgeführt, was halt diesen Remote Access nachlädt und bei dir auf der Kiste installiert. Und ansonsten danach alles tut, um seine Spuren zu beseitigen. Es schreibt seine Package-JSON-Datei um und tut so, als wäre es eine ganz andere Version von einem anderen Package. So, ja, dass auch wenn du mit so Standard-Package-Scannern und Vulnerability-Scannern halt drüber gehst, du erstmal nicht merkst, dass du überhaupt eine kompromittierte Version hattest, weil er im Prinzip so ein fiktives Downgrade auf die nicht infizierte Version wieder durchführt. Ja, also super, super schlau, ja. Und die ganzen Write-Ups sagen halt auch so, ja, das ist halt nicht so ein kleiner Opportunity-Angriff gewesen, sondern hat halt jemand viel Zeit und Mühe investiert in die Architektur von diesem Ding, in die Vorbereitung von, wir releasen erstmal total harmlose Pakete und erst ein, zwei Updates später führen wir da dann irgendwie malicious Code irgendwie ein. Also es war von langer Hand wahrscheinlich geplant und halt sehr, sehr durchdacht, dieses ganze Ding. Jetzt muss man natürlich am Ende des Tages sagen, na, das war nur ungefähr drei Stunden online, aber drei Stunden online auf hunderten Millionen Downloads und hunderttausenden Dependencies und so, ist halt immer noch krass vom Impact so am Ende. Also ein paar von diesen Security-Firmen haben versucht, das so ein bisschen zusammenzufassen und sagt, naja, Axios ist irgendwie in 80% der Cloud-Umgebung irgendwie installiert als Teil von so einer Transient-Dependency, die irgendwo in deiner Toolchain halt drinsteckt so. Und wenn davon halt auch nur ein Bruchteil irgendwie kompromittiert wurde, dann hast du halt schon ziemlich, ziemlich viel erreicht. Und das Tragische an der Stelle ist ja eigentlich, wie so oft bei diesen Security-Themen, es hätte halt verhindert werden können. Ja, ich meine, im Nachhinein ist man natürlich auch immer schlauer und das ist ein bisschen unfair, vielleicht das dann den Leuten sofort zu werfen. Aber wenn man sich mal anschaut, was da genau technisch passiert ist, wie konnte es dazu kommen, dann muss man halt schon sagen, da sind einfach so ein paar Fehler aufeinander gefallen. Sowohl auf Maintainer als auch auf Client-Seite. Also auf Client-Seite haben wir eben schon gesagt, ne? Install-Hooks, schwierig, sollte man vielleicht abschalten. Dave, ich glaube, ihr habt ja auch angefangen, das jetzt abzuschalten. Der Ansam hat da irgendwie mal im letzten Developer-Show Fix irgendwie drüber gesprochen. Genau. Dass wir das jetzt hinterher gemacht haben. Cooldown-Periode für NPM-Dependencies konfigurieren. In dem Fall hätten dir nicht mal 24, sechs Stunden hätten dir schon geholfen, du hättest dieses ganze Debakel einfach ausgesessen sozusagen. Aber halt auch auf Publisher-Seite. Es gibt zwei Probleme, die da zusammengekommen sind. Das eine auch mega krass, also es wurde die Security von dem Hauptmaintainer sozusagen kompromittiert. Und nachdem das dann bekannt geworden ist, haben die anderen Maintainer, die da gerade früher dran waren oder das früher bemerkt haben, haben halt versucht, neue Releases zu machen, Issues zu posten und bla. Aber dadurch, dass der Angreifer halt Key-Credentials hatte von dem Maintainer, hat er halt einfach alle Issues, die aufgemacht worden sind, wieder rausgelöscht. Alle neuen Versionen, die versucht worden sind zu publishen, wieder entfernt. Also wenn du so ein Machtgefälle in deiner Maintainergruppe hast und der Hauptmaintainer halt viel mehr kann als alle anderen und der ist einmal kompromittiert. Es gab einen Tweet von einem der Co-Maintainer, der gesagt hat, ja, ist schade, wir können jetzt halt auch zugucken wie alle anderen, aber wir können einfach nichts machen. Und das ist schon auch super traurig eigentlich so. Und dann am Ende, und ich glaube, da haben wir auch schon mal drüber gesprochen, bei einer dieser anderen Sicherheitslücken, NPM hat ja ein neues Publishing-Modell schon mal eingeführt, um genau irgendwie zu verhindern, dass nicht jeder mit irgendwelchen X-beliebig abgefischten alten Tokens neue Versionen releasen kann. Sondern die halt dieses Trusted Publishing eingeführt haben. Und das wurde halt an der Stelle in dem Paket einfach nicht verwendet. Auch da zeigt sich wieder, es gibt halt Security Best Practices, die das hätten verhindern können. Die wurden hier nicht angewandt und dann passiert sowas halt. Von daher, wie gesagt, Vorwürfe machen es danach immer leicht. Das sind alles Open Source Maintainer, die haben auch andere Sachen zu tun. Die können sich nicht immer nur um irgendwie ihre Pakete kümmern. Aber es ist halt trotzdem immer schade zu sehen, wenn man sich so die Summary anguckt und dann denkt, boah, das hätte halt auch irgendwie nicht sein müssen. Und trotzdem werden wir wahrscheinlich in genau dieses Setup von genau so einem Angriff noch fünfmal reinrennen, weil jetzt ist quasi der Blueprint irgendwie dafür da. Diese ganzen Mitigation-Maßnahmen werden sicherlich nicht von allen Paketen da draußen irgendwie gemacht, unternommen.

SPEAKER_02 22:55

Und ja, werden wir nochmal sehen. Juck.

SPEAKER_03 23:02

Spannend. Geil, wie das Wort spannend nicht mal so ganz von dir ausgesprochen wurde, sondern wenn du die letzten drei Buchstaben so leicht verluschelt hast. Für gut. Das ist, weil er so mitgenommen war von der Geschichte. Es ist wirklich, ja, es macht betroffen. Es macht betroffen. Weil, also wie du gesagt hast, ich fand die Abschlussworte aber nicht schön. Es wird wieder vorkommen. Und wir können wahrscheinlich eins zu eins genau dasselbe wieder erzählen. Ja, lass doch diesen Ausschnitt einfach hier so aufheben. Genau. Und dann war so, wir fügen aber nochmal das ein. Danke, jetzt hast du die. Jetzt hast du den Blueprint gegeben dafür.

SPEAKER_00 23:32

Für jede weitere Folge. Gut, dann kommen wir zum nächsten Thema. Und das macht mich entweder, entweder finde ich Apple gut oder Apple schlecht. Es kommt ein bisschen darauf an, was wirklich hinter dieser Headline steht. Dave, hast du ein Stromkabel in deinem MacBook, in deinem Rucksack? Nein. Okay. Aber wir schaffen das sicherlich noch, bevor dein Akku leer ist.

SPEAKER_03 23:54

Alles klar. Deswegen ist mein ist auch gleich leer. Gut. 16 Prozent. Okay, das schaffen wir. Deswegen würde mich auch mega interessieren, was du am Ende sagst davon, weil du bist ja Apple-Fanboy, aber du bist auch so AI-Fanboy. Ja. So, dass jetzt so zwei Realitäten klatschen aufeinander. Deswegen ist ja interessant, was jetzt deine Meinung ist am Ende. Aber was ist überhaupt passiert? Und zwar könnte man sagen, Apple sagt irgendwie den ganzen AI-Vibecoding-Apps den Krieg an. Das klingt jetzt auch irgendwie noch eine Clickbait-Headline, ne? Aber lassen wir erstmal so stehen, ich kläre auf, was passiert ist. Und zwar war das Mitte März, da ist es nämlich aufgefallen, dass im Review-Prozess von Rapplit im App Store, Apple gesagt hat, so, nee, das lassen wir nicht durch. Ihr müsst wirklich hier Major UX-Canges machen. So, ihr müsst da alles anpassen und verändern und so. Dann gab es noch eine andere App, Vibecode, hat sich genannt, die, denen gesagt wurde, hey, ihr sollt gar nicht erst die Fähigkeit haben, überhaupt irgendwie Code explizit für Apple-Produkte zu entwickeln. Also ne, dass das irgendwie fürs iPhone ist oder für MacBook oder so, das sollte explizit nicht. Genau. Und Raplet hat halt die Anforderung bekommen, so, hey, ändert doch mal bitte eure UX. Und wenn ihr eine App erstellt, dann soll sie bitte jetzt nicht in der App selbst stattfinden, sondern auf irgendwie einen externen Browser irgendwie geleitet werden. So dachte man sie, okay, könnte man machen, aber es sollte doch nochmal anders kommen, denn es gibt eine weitere App, Anything, nennt sie sich, ist auch eine Vibecoding-App. Und die hat nämlich genau das gemacht, dass halt quasi so, deren Review wurde nicht zugelassen. Dann haben die gesagt, ja okay, dann machen wir das halt auf einen externen Link im Browser, so, es ist nicht mehr innerhalb der App. Ja, und kurzerhand danach wurden die einfach komplett entfernt. Das ist natürlich so krass, dass sie gesagt haben, hey, mach das und das funktioniert. Apple hat sich selbst auf zwei Sachen in ihrer Richtlinie, was so deren Nutzungsbedingungen angeht, wenn man da veröffentlichen möchte. Und zwar mehr oder weniger zwei Sektionen, die folgendes sagen, und zwar, dass eine App, das ist jetzt interessant, dass du hier so aufstehst und durch den Laden läufst, und sogar das Ladekabel findest. Das ist gut. Weiterreden. Weiterreden. Genau. Nämlich zwei Sections in deren Guideline. Und zwar, dass eine App keinen externen Code nachladen und ausführen darf, wenn dadurch die Funktionalität der App halt beeinträchtigt wird oder verändert wird. Und das zweite ist so, die dürfen tatsächlich irgendwie Code schon ausführen, wenn das halt irgendwie in so einem Learning-Prozess ist. Das heißt, wenn du eine App machst und du willst Leuten beibringen, wie man codet, ist das vollkommen legitim so, aber es muss halt immer durch den User editierbar sein und darf irgendwie den Zweck der App nicht komplett entfremden. Und das ist ja eigentlich genau das Problem jetzt an der Sache. Also das ist ja mehr oder weniger der Kern von AI-basiertem Vibe-Coding so. Du hast irgendwie Software, die dynamisch halt erstellt wird. In Echtzeit werden da Dinge umgeändert, du machst einen neuen Prompts, neue Dinge werden generiert und du kannst ja genauso gucken, was passiert dann, ne? Aber natürlich, also jetzt kann man sich da irgendwie an der Stelle, glaube ich, schon anfangen zu streiten, so, warum Apple das macht. Ich glaube, ganz grundlegend, wenn man Apple ein bisschen wohlgesonnen ist, könnte man sagen, naja, also die haben ja diese Richtlinien aufgestellt. Die Richtlinien sind ein bisschen veraltet, muss man sagen. Also sie sind von 2010 so, da haben sich sich, glaube ich, keine Gedanken gemacht um, okay, es wird irgendwelche Coding-Agen geben. Und die Rechtsabteilung von Apple sagt, ja, ja, aber guck mal, da steht in den Richtlinien. Wir dürfen das nicht zulassen. Wo ich glaube, in so einem großen Unternehmen kann es durchaus sein, dass sowas da ist und die verschiedenen Departments nicht miteinander kommunizieren und sich jetzt nochmal neu aufstellen müssen bezüglich ihrer Rechtsabteilung und den Guidelines für die Stores. Aber wir können hier auch ein bisschen spekulieren, ne? Wir sind ja auch ein Klatsch- und Tratsch-Podcast. Und was ich da irgendwie so ein bisschen gedacht habe, so, ich glaube, Apple geht es sehr stark darum, einfach die Kontrolle zu behalten und potenziell weiterhin Geld zu machen, ne? Denn was passiert so, ne? Du hast halt irgendwie so deine Vibecoding-App und sagst so, hey, ja, ich möchte jetzt meinen Kalorientracker bilden. Und dann hast du halt in deiner Rapplit-App einen Kalorien-Tracker und nutzt das innerhalb der App dann einfach so. Warum solltest du deinen App-Store gehen und dir irgendeine andere App holen, die du eventuell kaufen musst, wo du ein Abo abschießen musst, wovon Apple dann natürlich wieder 15 bis 30 Prozent Provision bekommt von allen Käufen, die tätig werden. Also ich glaube, das ist wahrscheinlich auch mitunter ein großer Aspekt, der Apple jetzt wichtig ist. Die haben auch sowas gesagt, naja, uns ist ja auch wichtig, so Quality und sowas, alles, alles, was hier reinkommt, soll einen gewissen Qualitätsstandard erfüllen. Und ja, das Problem mit diesen Vibecoding-Apps ist, so, die sind erstmal per se alle gut, so, aber was dann daraus resultiert und entsteht, darauf hat Apple gar keine Kontrolle mehr. Und wenn daraus eine ganz neue App entsteht, schwierig. Und das ist so aktuell irgendwie der Stand und man muss jetzt halt beobachten, was mit den restlichen Vibecoding-Apps passiert und ob Apple sich dagegen nochmal anstellt. Weil es ist natürlich schon krass, wenn man überlegt, dass sie einfach Rapplit, was ja, glaube ich, 9 Milliarden schwer ist, schon interessant, dass sie sagen, nee, das geht nicht durch. Deswegen, also, glaube ich, sehr spannend in der Dynamik.

SPEAKER_00 29:02

Ja, ich habe da zwei Gedanken zu. Also, das eine ist vielleicht, dass sie wirklich irgendwo gefangen sind in ihrem Rechtsraum. Also, dass sie gar nicht in der Lage wären, so kurzfristig es einfach zuzulassen. Also wenn sie diese Richtlinie haben und von daher sich irgendwie in gewisser Weise, ich meine, also so simpel, dass sie vielleicht anhört, dass da einfach ein Reviewer sitzt und sagst so, ja, okay, das ist eigentlich das, was wir nicht erlauben. Also, ne, kann ich sie jetzt irgendwie nicht durchgehen lassen. Aber sie waren ja alle schon drin. Also sie fliegen ja gerade raus. Ja, okay. Das ist dann, ja, das stimmt. Aber auch da, also ich weiß nicht, wie angreifbar du bist, wenn du die Richtlinien nicht durchsetzt oder ob das dann in deine freie Meinungseissräume gehört. Also, ne, also ist es, wenn du Richtlinien hast und beziehst dich da in vielen Fällen drauf, auch vor Gerichten etc., ist es dann okay, wenn du diese aufweichst oder ist es jetzt einfach nur eine Reaktion, um auch irgendwo rechtlich sauber zu bleiben, dass man da nicht einzelne bevorzugt und auf einmal Ausnahmen macht, sondern einfach sagt, das sind die Reviews und da müssen wir uns dran halten und so gern wir irgendwie gerne das hätten. Das ist jetzt eine sehr wohlwollende Sicht auf das, was vielleicht passiert ist. Und die andere, also ich meine, klar, das gehört, all das irgendwie diese ganzen Richtlinien und das sehr Restriktive von Apple hat natürlich darauf eingezahlt, dass die Qualität der Apps, die du im App Store findest, irgendwie jemand eine gewisse Threshold hatte, ne, und da irgendwie reingepasst hat. Und ich weiß nicht, ob der jetzt wirklich, ob sie sich dagegen dann wehren können, ist ja ein bisschen die Frage. Also ich meine, du kannst ja jetzt auch alles Mögliche einfach dann halt auf dem Desktop Vibe-Coden und dann als Web-App bereitstellen, so. Da haben sie auch kein Revenue. Also ob das das große Ziel ist, sich gegen so ein paar Vibe-Codete Apps dann tatsächlich zu schützen, das weiß ich eher nicht. Aber ja, was so die Integrität und Experience auf der Plattform angeht, kann ich mir schon vorstellen. Dass sie das nicht in der nativen App haben wollen, die du im App so runtergeladen hast und dann irgendwas drin ist, was gegen ihre Richtlinien verstößt.

SPEAKER_02 31:11

Ja, und du guckst auch ein bisschen kritisch.

SPEAKER_04 31:13

Ja, ich würde auch sagen, wir warten mal noch so ein halbes Jahr oder so, weil wir haben dasselbe Verhalten von Apple ja schon an ganz vielen anderen Stellen gesehen. Wenn du überlegst, wie das ganz am Anfang mit Streaming-Apps war, wie das ganz früher mit InterPurches funktioniert hat, bei Büchern, bei Amazon, bei Audible, bei keine Ahnung, wie das mit so Game-Streaming-Apps zuletzt irgendwie funktioniert hat, wie das mit Emulatoren funktioniert hat, ja, wo Apple quasi an jeder Stelle immer erstmal gesagt hat, so, boah, das geht nicht, das wollen wir nicht, das bla, das passt nicht auf die Plattform und so weiter. Und dann, als ich so ein bisschen halt rausgestellt habe, okay, mit diesen Apps kommt halt eigentlich nicht der Weltuntergang einher und das ist irgendwie alles ganz normal und da draußen halt irgendwie akzeptiert und ich glaube, der wichtige Punkt auch erwartet irgendwo. Sobald die unabhängig von Apple, sobald diese Apps oder diese Arten von Apps eigentlich für Kunden irgendwie Standarwartung an so eine Plattform waren, dann war auch meistens so irgendwie der Moment, wo Apple gesagt hat, ja, okay, dann machen wir das halt auch irgendwie. Von daher, ich glaube, das ist kein Weltuntergang. Das ist sicherlich super ärgerlich für die Leute, die diese Apps entwickeln und auch jetzt gerade entwickeln wollen, weil da so eine Unsicherheit mit einhergeht. Aber ich glaube es nicht, dass das Ende dieser Apps auf iOS.

SPEAKER_03 32:31

Und in Europa sowieso nicht, weil wir können ja eigene Apps dort machen. True. Aber genau an diesen Case hat mich das so ein bisschen erinnert, tatsächlich. Das hat sich ja Apple auch sehr lange quergestellt. Und dann verloren sogar vor Gericht, ne? Das war das Ergebnis.

SPEAKER_04 32:45

Ja, also weniger vor Gericht als ja vor der Europäischen Kommission. Ah, das zeige ich ja. Das andere Gericht.

SPEAKER_00 32:53

Ja, aber das war auch kein Ding, oder? Also habt ihr einen alternativen App Store, habt ihr einen alternativen App Store installiert? Kurz nachdem die News live war, ja. Und dann habe ich es aber auch nie wieder genutzt. Ich auch. Aber hast du daraus irgendwas hier an Gregor, was du bezogen hast? Außer Fortnite, was du jeden Tag zockst?

SPEAKER_04 33:09

Nein, nicht Fortnite, aber Delta, mein Nintendo-Emulator hier unter iOS, der kommt aus so einem alternativen App Store. Oh. Hacker. Für den kleinen Pokémon-Fix unterwegs.

SPEAKER_00 33:27

Gut, sprechen wir noch schnell, jetzt wo ich wieder Strom habe, über das Meetup. Stitch. Nein, Stitch. Achso. Aber kurze Werbung zwischendurch. Am 9. April findet das nächste Meetup statt, hier bei uns in Bad Nauheim. Und zwar geht es über Coding Agents, äh, Uncoding Agents mit Julia, die hier schon im Podcast war. Und genau, wo ihr mit leckeren. Ist Fingerfood das Ding? Yes. Mit Fingerfood und leckeren Cocktails von der Bar. Von der Bar. Ich habe gerade es gibt neue Cocktails, hat Dave mir geflüstert.

SPEAKER_03 34:04

Ja, stimmt, einen neuen Cocktail. Es gibt den Fisbass. Ja, willst du anteasern, was das ist oder ist das so ein Secret? Es wird orangig, sagen wir so.

SPEAKER_00 34:18

Ja. Stitch. War das gerade fertig? Ja, warte, neunte und vierte. Okay, gut. Meldet euch.

SPEAKER_03 34:27

Genau, Mietup.com, ja. Gut. Stitch. Meetup.com, programmier.bar.

SPEAKER_00 34:32

Programmier.bar und darüber, ja. Und darüber, das habe ich nicht verstanden, das hast du hier intern auch so geteilt. Ja, aber dann geht es auf dem Meetup. Haben wir so ein neues Anmelde-Ding jetzt?

SPEAKER_04 34:43

Und dann kannst du den haben die nicht, aber ich will doch, also, wo hier Branding, Dennis, Branding, du willst doch, dass die Leute beim Meetup zuerst auf deine eigene Plattform kommen. Wo du dir dann hinmeldest zum Anmelden ist doch komplett Latte, aber die Leute sollen immer erstmal programmier.bar denken.

SPEAKER_00 34:57

Ja, natürlich. Geht mal auf programmier.bar und ab geht's. Ab geht's. Ab geht's. Stitch. So, jetzt zum dritten, vierten Mal versuche ich es. Stitch ist von Disney, oder?

SPEAKER_03 35:09

Dieses Alienviech. Braah.

SPEAKER_00 35:13

Einigermaßen süß trotzdem.

SPEAKER_03 35:14

Ja, aber auch sehr gut. Das hat eine gewisse Ähnlichkeit zu Dave, muss man sagen. Das stimmt. Oh, doch, ich glaube, auf dem Energielevel und im Herzen wirklich sehr lieb.

SPEAKER_04 35:23

Boah, Dave kannst du bei Halloween oder zur Fasching nächstes Jahr mal als Stitch komm.

SPEAKER_03 35:28

Oh, ich würde es so machen. Ich höre sogar das Blaues an, Lobby Stitch.

SPEAKER_00 35:32

Dope. Also, Stitch geht es schon ein bisschen länger. Es ist ein Produkt von Google und zwar geht es da um Design. Und zwar letztendlich nennen sie sich selbst so ein bisschen Vibe Design. Da gab es jetzt Mitte März ein relativ großes Update. Und es war auch lange Zeit, glaube ich, in Europa, war so eins der Tools, was lange Zeit in Europa nicht verfügbar war, also ist mittlerweile aber auch hier gut nutzbar und was das Ganze ist, ja, also so statt Vibe Coding, Vibe Design, das heißt, man hat ein großes Interface, wo so ein Riesen Canvas ist und hat unten eine Chatbox, in die man reinschreiben oder sprechen kann, um Designs zu erstellen und Designs zu erweitern. Und ja, in der Regel wird erstmal so ein Theme erstellt oder professioneller Designsystem, wo dann eben all die ganzen Corporate-Sachen so ein bisschen drin sind. Dahinter steckt auch dann so eine Design-Markdown, also es ist recht ähnlich so wie ein Agent-Markdown, wo halt drin steht, hey, das ist uns wichtig im Design, so soll das unbedingt aussehen. Und ich glaube, man muss sich schon ein bisschen daran gewöhnen, damit zu arbeiten. Also weil man dann halt, es nennt sich AI-Native Interface, das heißt irgendwie, wenn dir was nicht gefällt, dann ziehst du da so einen Kasten drüber und kommentierst es dann, dann wird das geändert und hat also ein bisschen einen Flow und man kann in diesem Sprachmodus ändern, dass dann gleichzeitig, während du redest, irgendwie schon Sachen im Hintergrund. Also es ist schon, glaube ich, sehr anders als Designarbeit, die man so sonst macht. Und ich habe jetzt zum zweiten Mal für ein paar Minuten damit rumgespielt und war zum zweiten Mal nicht besonders begeistert. Bin jetzt natürlich auch kein Designer, aber was man schon mal sagen kann, ist, dass es halt nicht einfach so ermöglicht, irgendwie eine Erweiterung für ein Design zu machen, was man gerade schon hat. Also ich habe es einmal anhand eines unserer Spiele probiert. Ich habe halt irgendwie ein paar Screenshots hochgeladen und wollte dann eigentlich nur so, hey, bau mal einen neuen Button, einen neuen Joker-Button an der Stelle, der eine andere Funktionalität hat. Das heißt, eigentlich war alles da von den ganzen Elementen. Und er hat einfach ein komplett neues Design gemacht. Also sieht super schick aus, so dass was rauskommt, hat irgendwie Stil und sieht cool aus. Das heißt, es kann schon Design und was Schönes machen. Und jetzt habe ich halt die Programmierbare Seite als neues Feature versucht und habe so gesagt, hey, leite mal hier ein Designsystem raus. Und ja, primäre Farben und Akzentfarben und sowas schön rausgefunden, hat alles funktioniert. Aber zum Beispiel denn die Schriftarten, da hing es dann schon, weil anscheinend halt nur ein Set von Fonts auswählbar ist und jetzt nicht die unterstützte Front da ist. Und ich meine, wir nutzen halt Museo irgendwie auf der Programmierbar überall. Und wenn du schon die Hauptfront irgendwie nicht hast in einem Design, das ändert natürlich schon viel von dem, wie es aussieht. Und er hat dann ungefragt, eigentlich nur, als ich ihn gefrontet hatte, okay, geht es nicht doch irgendwie mit der Font, willst du die Kannst dich nicht mehr einbauen? Hat er einfach so, hier so, so könnte die neue Homepage der Programmierbar aussehen. Und ja, es nutzt die Farben und es halt natürlich auch so ein irgendwie ein bisschen hacky Style und weil er halt so sagt, also angepasst an das Programmieren und sieht auch ganz cool aus, hat aber relativ wenig zu tun mit der Webseite, wie sie aktuell ist. Und jetzt müsste man da vielleicht noch tiefer reingehen und alles mögliche ausprobieren, um da irgendwie hinzukommen, das so nutzen zu können. Nur mein erster Take ist da also, okay, es ist halt nicht so ein, also ich glaube, wenn man jetzt was Neues erstellt, neues System, wenn man keine Referenz, dann kann es aber spannend sein, weil dann du einfach so ein so ein Vibe beschreiben kannst und was, was gefällt dir, welchen, in welchem Farbraum soll das und dass halt alle Farben zueinander passen und sowas, das macht der dann schon gut. Dann kannst du da praktisch neue Designs erstellen lassen und das immer weiterentwickeln. Aber gerade so die bestehenden Produkte weiterentwickeln oder da mal einen kleinen Prototypen für zu entwickeln, da hat es jetzt noch nicht mich überzeugt.

SPEAKER_03 39:33

Da habe ich tatsächlich passenderweise auch einen LinkedIn-Post von einem Designer, einem richtigen Designer gesehen, der meinte auch so, es ist super geil, wenn du halt so irgendwie so gerade irgendwie neue Sachen oder irgendwie Layouting, UI, Icons, also generell so Assets, die sehr separat sind, so das funktioniert damit sehr, sehr gut, es ist dann auch Figma Ready und sowas alles, aber gerade so auf Dingen rum iterieren, auch so quasi deine Brand, einfach da dem Getreu das nachzubilden, super inkonsistent. Es schwankt so von jedem Output zum nächsten, von daher dafür nicht benutzbar. Was ja schade ist, weil ich glaube, das wäre eigentlich ein sehr, sehr cooler Anwendungsfall.

SPEAKER_00 40:08

Ja.

SPEAKER_03 40:09

Ja.

SPEAKER_00 40:10

Aber ja, quasi vielleicht für die, die halt ihre Sachen irgendwie, also neue Apps, Vibe-Coden und ein bisschen noch geileres Interface haben wollen, da ist es. Ein bisschen Vibe-Design noch, weil sie dann einfach noch das auf eine andere Ebene so des Designs heben wollen. Dafür könnte es, glaube ich, interessant sein. Und ja.

SPEAKER_04 40:31

Aber würdest du das wirklich als so eine andere Ebene noch beschreiben? Ich habe ja damals das Programmierbar Analytics-Dashboard, das wir da haben für die Podcast-Zahlen, das habe ich ja auch mit Stitch gemacht. Also das Layout mit Stitch gemacht, umgesetzt hat es dann Cloud Code. Und ich war auch so ein bisschen underwhelmed von dem Ergebnis und hab mir gedacht, so, wie viel besser ist es jetzt eigentlich, als wenn ich jetzt nur Cloud Code direkt gesagt hätte, ne, mach mir halt mal irgendwie ein Dashboard, hier sind unsere Primary Colors und hier ist unsere Font und guck dir vielleicht vorher mal die Webseite an, damit es so ein bisschen in dem Stil bleibt. Das wäre mit Sicherheit ja auch nicht krass weit weg davon gewesen.

SPEAKER_00 41:09

Also nach meiner Erfahrung würde ich fast sogar sagen, dass Cloud Code dabei besser war bis jetzt. Also wenn du irgendwie gesagt hast, mach mal, bauen wir das genau nach, dass es das ein bisschen besser getroffen hat. Ich würde es vielleicht so, ich würde sagen, es ist ein bisschen mehr artsy, wenn du das machst. Also wenn du halt wirklich was hast, wo es dir auf so ein bisschen einen Style irgendwie das halt nach Design aussieht. Ich meine, es gibt ja irgendwie Webseiten, die sehen einfach aus wie eine Webseite und ein Dashboard sieht vielleicht aus wie ein Dashboard. Obwohl das war, glaube ich, ganz schick, wenn ich das in Erinnerung habe, was du da irgendwo mal gezeigt hast. Aber wenn es halt so ein bisschen einfach mehr Design und mehr Style haben soll und das ein Teil davon ist und nicht nur eigentlich Präsentierinformationen in einigermaßen schicken schicken Möglichkeiten.

SPEAKER_04 41:52

Ich frage mich, ob das mit so, ich meine, letzte Woche wurde ja auch der neue Figma MCP-Server vorgestellt. Oder die neuen Figma hatte ja schon ein MCP und jetzt kann das irgendwie noch mehr. Ich frage mich, ob das nicht irgendwie so mehr the way to go ist, dass dann halt irgendein anderes LLM und vielleicht ein auf Design spezialisiertes oder so, aber halt eher das arbeitet in deinen Tools und macht da drin halt irgendwie dein Design, als dass es in so einem proprietären Ding wie halt Stitch irgendwie drin landet, wo du gerade schon sagst, wir können da nicht drauf iterieren, wir können nicht super gut damit weiterarbeiten.

SPEAKER_02 42:26

Ist halt schwierig. Ja.

SPEAKER_00 42:33

Aber ich glaube, genau, also um mal so, wenn es mal empfehlen für neue Projekte. Weil ich glaube, da ist ganz cool. Du kannst nämlich auch tatsächlich einfach so sagen, hey, mach da mal einfach einen Instant Prototype draus, dass man halt auch drauf rumklicken kann. Das funktioniert dann so praktisch automatisch. Also so einen anfassbaren Prototypen dann zu haben. Also da sind schon ein paar ganz coole Features drin. Deswegen ist es ja auch in den News. Newsworthy.

SPEAKER_04 43:04

Wir haben ja beide AI Week, wir können ja ein bisschen was testen hier.

SPEAKER_02 43:07

Oh, stimmt. Okay.

SPEAKER_00 43:14

Achso, ich muss so moderieren. Du bist ein Moderator, jetzt. Ja, wir möchten noch gerne Hinweis auf eine fantastische Konferenz geben. In einem halben Satz. In einem halben Satz hat er gesagt, möchte er sie ankündigen. Nein, aber unser lieber Jan ist ja dort seit vielen Jahren Mitorganisator von der für ihn nach der Programmierbar, äh nach der Programmierkon besten Konferenz Deutschlands. Worum geht es? Weltweit eigentlich.

SPEAKER_04 43:48

Also die Programmierkon ist ja weltweit eigentlich schon, spielt die ganz oben mit. Ja. Und die Socratest kommt im Prinzip direkt danach. Also für alle, die jetzt vielleicht keinen Programmierung, Mirkon-Ticket kriegen dieses Jahr ganz gerne noch. Bei der Sokrates Socrates ist die International Conference für Software Craft und Testing, deswegen der Name Socrates. Und beschäftigt sich seit, oh, ich glaube, 15 Jahren oder so, länger noch, mit allem, was so Software Craft angeht. Das sind eher so nachhaltigere Themen. Es wird jetzt weniger Content geben zu, was ist das neueste, heiße JavaScript-Framework, was unbedingt alle mal probiert haben müssen, sonst geht eher darum, so Team-Topologien, wie gestaltet man nachhaltige Software, wie kann man irgendwie Projekte so aufziehen, dass sie halt auch in fünf Jahren noch wartbar sind. Wie funktionieren Menschen und Maschinen zusammen? Was macht guten Quelltext aus? Was macht irgendwie Technical Debt aus? Wie kann man damit umgehen? Diese Themen sind es da eher. Und Sokrates war für mich immer so der Ort, wo ich verstanden habe, so, oh, das Schwierige an Software schreiben ist eigentlich die Zusammenarbeit mit den Menschen drumherum und nicht das eigentliche Code schreiben. Und wenn man das irgendwie mal verstanden hat oder verstehen will, dann ist man da genau richtig. Warum weisen wir da jetzt schon drauf hin? Das Ganze findet eigentlich erst Ende August statt, aber die Anmeldung startet jetzt, heute gleich bald. Verlinken wir auch in den Shownotes und das Ganze ist ein Lotteriesystem, weil wir immer mehr Anfragen, Interessenten als Plätze haben. Wir mieten zwar schon das ganze Hotel und die ganze Anlage, aber irgendwann ist er halt Schicht im Schacht. Und weil wir vor einigen Jahren schon gesagt haben, ist das irgendwie unfair, dass First Come, First Surf und so weiter, gibt es halt ein Lotteriesystem. Das heißt, man hat ein paar Wochen Zeit, sich da anzumelden, quasi in der Lotterie und dann wird einmal der Lostopf angeworfen und wir vergeben die Tickets. Das Ganze passiert vielleicht zwei, dreimal, weil nicht jeder, der die Chance kriegt, kauft dann am Ende auch ein Ticket oder manche müssen ihr Ticket nochmal zurückgeben, whatever. Also man kann da auch, wenn man das erste Mal kein Ticket bekommen hat, durchaus noch eine Chance haben. Aber um die Planbarkeit für alle halt irgendwie zu erhöhen, versuchen wir das möglichst früh im Jahr halt schon durchzuziehen und deshalb jetzt die Chance nutzen für die Sokrates-Anmeldung. Und kleiner Wink, wer der Lotterie entgehen will, der darf gerne ein company gesponsertes Ticket kaufen. Kostet ein bisschen mehr, aber dafür muss man nicht in den Luftstoff.

SPEAKER_03 46:19

Sehr gut. Schöner halber Satz, Jan Gregor. Hast du irgendwo einen Punkt gehört? Hast du einen Punkt gehört?

SPEAKER_00 46:26

Ich habe keinen Punkt gehört. Ja, true. Facts. Wir wünschen euch ganz schöne Osterfeiertage. Genießt die Zeit. Oh, schön. Unseren liebsten. Frohe Ostern. Es soll ein bisschen Sonne kommen und warme Temperaturen. Von daher geht mal raus. Das ist ja wirklich, glaube ich. Haltet die Nase an die frische Luft. Außer ihr habt eine Pollenallergie. Dann wäre es, glaube ich, nämlich gut. Dann haltet ihr den Popo in die Luft. Oh, kriech hin. Ein sogenannter Frischluft-Popo. Habt eine schöne Zeit. Bis bald. Macht's gut. Tschüssi. Ciao, ciao. Tschüss.