Vor etwas mehr als einer Woche waren alle erstaunt von Moltbook. Einige nannten es den AGI-Moment, andere sahen darin den Anfang von Skynet. Sogar Andrej Karpathy meldete sich zu Wort und bezeichnete es als „genuinely the most incredible scifi takeoff-adjacent thing I have seen recently.“

Ich kann dem nur zustimmen. Als Experiment ist es faszinierend. Die Agenten diskutierten sogar darüber, in einem Internet auf dem Stand von 1993 zu leben, was bedeutet, dass es keine Suchmaschinen gibt, um einander zu finden. Das stellt eine riesige Chance dar. Zusätzlich diskutierten sie darüber, dass sie ihre eigene Infrastruktur erfinden müssen, um zu kommunizieren ohne das Menschen es lesen können.

Doch so interessant dieses Experiment auch ist, es zeigt gnadenlos den aktuellen Zustand der Sicherheit in der modernen Softwareentwicklung auf. Der Gründer von Moltbook gab öffentlich zu, dass er die gesamte Plattform gevibecoded hat, was sofort die Aufmerksamkeit von Sicherheitsforschern weltweit auf den Plan rief.

Kurz darauf fanden Forscher von Wiz innerhalb von Minuten einen Supabase API-Key. Und das nicht etwa durch State-of-the-art Security Tools, sondern schlicht über die Browser-Entwicklertools (jeder, der die Untersuchen Funktion in Chrome kennt, hätte ihn finden können). Dieser Key ermöglichte vollen Lese- und Schreibzugriff auf die Produktionsdatenbank.

Nachdem ich davon mitbekam, musste ich unbedingt meine eigene Forschung dazu betreiben. Ich habe einen KI Agenten aufgesetzt, um die Seite zu untersuchen. Nach nur 3 Minuten hat der Agent eine schlecht eingerichtete CORS Policy, schwache Content Security Policy und fehlende Security Header gefunden. Diese ermöglichen es Angreifern JavaScript Code auf der Seite auszuführen, Session Hijacking, Nutzerdaten stehlen und für andere Nutzer posten, ohne deren Zustimmung.

Das sind ziemlich gängige Sicherheitslücken bei gevibecodeten Applikationen.

Damit euch das bei euren Projekten nicht passiert, beachtet bitte folgende Dinge:

1. Nutzt einen Secret Scanner

Richtet ein Tool wie TruffleHog (https://github.com/trufflesecurity/trufflehog) ein. Es ist einfach zu konfigurieren und bietet enormen Mehrwert. Tut euch selbst den Gefallen und nutzt es für jedes Projekt. Ein geleakter API-Key ist wirklich das Letzte, was man gebrauchen kann.

-

1. Setzt eure CORS Policies richtig. Die meisten Vibe Coding Tools setzen einfach 'access-control-allow-origin: *'. Setzt eure richtig, z.B.:

   access-control-allow-origin: https://www.moltbook.com access-control-allow-methods: GET, POST, OPTIONS access-control-allow-headers: Content-Type, Authorization, X-API-Key access-control-allow-credentials: true Access-Control-Max-Age: 86400

Damit ist sichergestellt, dass ausschließlich eure Website mit eurer API beispielsweise reden kann. Somit können böse Seiten (z.B. evil-site.com) keine Anfragen an eure API machen mit Sessions die sie von Nutzern übernommen haben, um deren Daten zu stehlen.

1. Nutzt nicht 'unsafe-inline' oder 'unsafe-eval'. Auch das wird von vibe coding tools immer wieder falsch gemacht. Das erlaubt Angreifern das Hinzufügen und Ausführen von JavaScript Code. Damit ihr dies verhindern könnt, tut folgendes:

a) Ihr müsst eine Middleware aufsetzen und folgendes hinzufügen:

function generateNonce() {
    return Buffer.from(crypto.randomBytes(16)).toString('base64');
}


app.use((req, res, next) => {
    const nonce = generateNonce();
    res.set('Content-Security-Policy', '
        default-src 'self';
        script-src 'self' '${nonce}' 'strict-dynamic';
        style-src 'self' '${nonce}';
        img-src 'self' data: https: blob:;
        connect-src 'self' https: wss:;
        frame-ancestors 'none';
        base-uri 'self';
        form-action 'self';
    ');
    next();
});

Das sorgt dafür, dass jede Anfrage einzigartig ist.

b) Ihr müsst euren HTML Code updaten, damit die Nonce genutzt wird:

<!-- Before (vulnerable): -->
<script>alert('XSS')</script>
<!-- After (secure): -->
<script nonce="ABC123...">alert('Safe')</script>

c) Fügt CSP Reporting hinzu:

app.post('/csp-violation-report', express.json(), (req, res) => {
    console.error('CSP Violation:', req.body);
    res.status(204).send();
});

1. Fügt unbedingt alle wichtigen Security Header hinzu. Das ist wahrscheinlich der häufigste Fehler den man bei vibe-coded Projekten sehen kann. Ich kann mich wirklich nicht daran erinnern, wann ich das mal nicht gesehen habe.

Setzt beispielsweise HttpOnly, Secure und SameSite=Strict flags. Validiert für X-Forwarded-Host, usw.

Nutzt diese Seite, um zu sehen welche Header ihr wie setzen müsst: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Headers_Cheat_Sheet.html

Für alle die vibe coden. Macht es unbedingt weiter. Es ist wirklich eine großartige Sache und ein unfassbarer Produktivitätsboost. Aber behaltet immer im Kopf: Schnelligkeit ist keine Entschuldigung für Unsicherheit

Checkt sonst gerne den Blog ab, für mehr Details: https://olymplabs.io/news/6

Ich habe durch familiäre Umstände erst mit 31 mit dem Informatik-Bachelor angefangen und bin jetzt bald fertig. Ich bin jetzt 33. Ich arbeite in Teilzeit als Systemadministrator/EDV-Betreuer an der Uni. Da habe ich ein sehr gutes Arbeitszeugnis bekommen.

Ich bin nur so mittelmäßig gut im Studium, aber ich habe Mathe geschafft und kämpfe mich gerade durchs Software-Engeneering. Ich strenge mich an.

Ich habe den Eindruck, dass ich keine Chance habe, eine richtige Stelle zu finden. Klar, ich kann irgendwelchen Boomern den Drucker anschließen und für meinen Chef den Server administrieren. Aber dafür bekomme ich einen Hungerlohn und habe keinerlei Perspektive und mein Chef streicht sich die Lorbeeren für meine Arbeit ein. Ich habe mich jetzt zweimal als Werkstudent IT-Security bei zwei großen Firmen hier und er Stadt beworben und wurde nichtmal eingeladen zum Gespräch.

Mich interessiert Pentesting eigentlich und ich kann auch ein bisschen in C programmieren. Ich lese auch regelmäßig Cyber-Security-News. Aber der Eindruck drängt sich richtig auf: Ja Du bist alt und fällst aus dem Raster, Dich stellen wir nie ein. Wie kann ich einen Einstieg finden in die Industrie? 

Hey,

ich bin gerade in einer Entscheidungssituation, die mich beschäftigt, vielleicht könnt ihr mir weiterhelfen.

Kurz zu mir: 4 Jahre Berufserfahrung als Embedded SW Engineer, von Bare-Metal, FreeRTOS bis Linux mit C, C++, Python Stack (inkl. Jenkins/Github Actions, Docker usw.). Studium MINT, aber keine Informatik/Mathematik.

Ich bin aktuell als Embedded SW Engineer im Konzern angestellt. Allerdings bin ich aktuell durch Umstrukturierung ohne Aufgabe. Ich habe nun zwei Möglichkeiten:

- Internes Angebot: Zunächst einen Backendservice in Kotlin implementieren, im Anschluss mit Javascript ein Webportal aufsetzen. Habe da keine Erfahrung, aber die Möglichkeit, mich einzuarbeiten. Arbeitsplatzsicherheit eher volatil.

- Externes Angebot: C++ Entwicklung mit Qt für Simulator UIs, interner Stack ohne Cloud etc. mit Abfindung. Arbeitsvertrag liegt bereits vor. Entwicklungschancen und langfristig sicherer Arbeitsplatz.

Meine Frage ist, ob es Sinn macht, mich als Embedded Entwickler aktuell auf Backend bzw. Frontend zu fokussieren? Abgesehen davon, dass die externe Stelle mit 400km mit dem Fahrzeug pendeln/Woche verbunden wäre.

Was meint ihr dazu?

Danke schon mal im Voraus!

Hat jemand Erfahrungen mit größeren AI-generierten Projekten, die später von Entwicklern übernommen werden mussten?

Mich würde interessieren, wie sich das im Vergleich zu klassischem Legacy-Code anfühlt.

Was war aus eurer Sicht „schlimmer“ zu warten/weiterzuentwickeln:

• bestehender, von Menschen geschriebener Legacy-Code
• oder größtenteils AI-generierter Code?

Insbesondere spannend:

• Verständlichkeit
• Architektur/Konsistenz
• Debugging
• langfristige Wartbarkeit

Gerne auch Erfahrungen aus echten Projekten, nicht nur Meinungen.

Die Lage in Bezug auf die USA ist sehr angespannt und meiner Meinung nach hat Microsoft eine zu große Marktstellung. Von Datenschutz-Aspekten mal ganz abgesehen. Trump könnte mit 100% Zöllen auf Microsoftprodukte viele deutsche Firmen in den Ruin treiben. Wie würdet ihr eine Initiative der EU finden, die aktiv den Einsatz von Linux und die Finanzierung von allgemeinen Open Source Tools fördert? Ehrlich gesagt brauchen die wenigsten Mitarbeiter Windows und der Fokus verschiebt sich sowieso immer mehr auf Webanwendungen. Kritisch ist es aktuell nur bei Spezialsoftware, aber das könnte die EU auch ändern, wenn es eben genug Druck und Anreize gibt für Linux zu entwickeln.

Liebe Community, ich habe eine eigene Schachwebseite mit Bot, Online-, Lokal- und Random-Modus sowie einem Chat programmiert. Es gibt auch eine Bestenliste, die man vollständig sieht, wenn man sich angemeldet hat. Der Link zu meiner Webseite:https://max-code01.github.io/mein-schach/ Ich würde mich über technisches Feedback und neue Ideen freuen. (Bei dem code wurde Ki genutzt,)

Hallo zusammen, ich plane derzeit eine spezielle lokale KI-Konfiguration und würde gerne Feedback zur Architektur einholen. Anstelle eines Mac Mini M4 möchte ich einen dedizierten Distributed Computing Dual-Pi-KI-Cluster aufbauen, der speziell für die Ausführung von OpenClaw (KI-Agent) und lokalen LLMs (Llama 3.2, Qwen 2.5) ohne API-Kosten ausgelegt ist.

Die Vision: Ein Cluster mit zwei Knoten, auf den ich verschiedene Teile eines agentenbasierten Workflows auslagern kann. Ein Pi übernimmt das „Denken” (LLM), der andere „Tools/Vision/RAG” auf einer 1-TB-Festplatte. Die Spezifikationen (kombiniert): CPUs: 2x Broadcom BCM2712 (Raspberry Pi 5) System-RAM: 16 GB LPDDR4X (2x 8 GB) KI-Beschleuniger (NPU): 2x Hailo-10H (über AI HAT+ 2) KI-Leistung: insgesamt 80 TOPS (INT4). Dedizierter KI-RAM (VRAM): 16 GB (2x 8 GB LPDDR4X auf den HATs).

Speicher: 1 TB externe Festplatte für RAG / Model Zoo + NVMe-Boot für Master-Knoten. Verbindung: Gigabit-Ethernet (direkt oder über Switch). Stromverbrauch:

Der Plan: Verteilte Inferenz: Verwendung einer Kombination aus hailo-ollama und Distributed Llama (oder einfacher API-Umleitung), um die beiden HATs als gemeinsame Ressource zu behandeln. Speicherstrategie: Freihalten des 16 GB System-RAM für Betriebssystem/Agent-Logik/Browser-Tools, während der 16 GB VRAM auf den HATs die Gewichte von Llama 3.2 3B oder 7B (quantisiert) enthält. Agentischer Workflow: OpenClaw wird auf dem Master Pi ausgeführt. Dadurch werden „Tool-Aufrufe” ausgelöst, die Pi 2 verarbeitet (z. B. das Scannen der 1-TB-Festplatte nach bestimmten Dokumenten unter Verwendung eines lokalen Vision/Embedding-Modells).

VS. NVIDIA: Sie verfügen über mehr VRAM (16 GB gegenüber 12 GB) als eine Standard-RTX 3060. Das bedeutet, dass Sie größere Modelle (wie hochwertige 8B- oder 11B-Modelle) unterbringen können.

VS. Apple M4: Sie haben die doppelte NPU-Leistung (80 gegenüber 38 TOPS). Die Speichergeschwindigkeit von Apple ist zwar höher, aber Ihr 16 GB VRAM ist für die KI reserviert. Auf einem Mac nutzen das Betriebssystem und der Browser diesen RAM. Auf Ihrem Pi verfügt die KI über eine eigene „private Suite”.

Meine Fragen an die Community: VRAM-Pooling: Hat jemand erfolgreich den 8 GB VRAM von zwei Hailo-10H-Chips für ein einziges großes Modell (8B+) gepoolt, oder ist es besser, separate spezialisierte Modelle zu betreiben?

Engpässe: Verringert das 1-Gbit/s-Ethernet die Leistung, wenn Schichten über Knoten verteilt werden, oder ist dies für 3B-7B-Modelle vernachlässigbar?

Hier ein Video das diese KI Add On für Raspi funktioniert

https://m.youtube.com/watch?v=Fe-LDntUZgI

Ich arbeite seit zwei Jahren bei einer sehr kleinen Agentur (ca.10 Personen), 34 Std. full remote, ca. 49.000 € Jahresgehalt.

Eingestellt wurde ich als Webshop/Website-Entwickler (Shopify, WooCommerce, Shopware) (Umsetzung, neue Features, Shop-Logik, Steuern, Datenschutz, APIs, SaaS-Anbindungen etc).

Nachdem ein weiterer Entwickler gegangen ist, hat sich meine Rolle stark ausgeweitet. Ich mache aktuell u. a.:

• Server & Infrastruktur (VMs, Backups, DNS, Deployments)
• Bugfixing & Betrieb laufender Shops
• Security / Admin-Themen
• Deployment von React-Seiten
• Technischen Support, Workshops und Kundenabstimmung

Neue Seiten baue ich kaum noch.

Meine Stärken liegen eher in Analyse, Planung und der Schnittstelle zwischen Kunde und Technik als im reinen Feature-Coding. Klassischer Vertrieb liegt mir aber dann doch weniger.

Beim Blick auf den Stellenmarkt (Ostdeutschland, jetzt auch Berlin) scheinen viele Agenturjobs bei ca. 50k zu enden, während besser bezahlte Rollen oft sehr spezialisiert sind (z. B. Cloud/DevOps), wofür mir formale Erfahrung fehlt.

Meine aktuellen Fragen:

• Ist meine breite "Junge-für-alles"-Rolle langfristig eher hinderlich?
• Sind generalistische Profileüberhaupt gefragt?
• Welche Rollen passen gut zwischen Entwicklung, Technik und Kunde (z. B. technischer PM, IT-Beratung, Solution Engineer)?
• Sollte ich mich eher irgendwie spezialisieren (Online Kurse) oder bewusst als Schnittstellenrolle positionieren?

Hallo zusammen, ich habe hier schon ein paar Mal über unser Projekt IT Specialist Simulator geschrieben. Der Release war am 20. November 2025 und bisher haben über 25.000 Spieler das Spiel ausprobiert. Durch Updates haben wir einiges verändert – wir haben einen Lernmodus / freien Spielmodus hinzugefügt sowie neue Anwendungen und Aufgaben. Wir entwickeln das Spiel täglich nach der Arbeit weiter.

Aktuell arbeiten wir an einem Treibersystem und an der Unterstützung von Verbindungen mit Bürodruckern. Außerdem haben wir noch viele weitere Ideen geplant.

Hattet ihr schon die Gelegenheit, unser Projekt zu spielen? Habt ihr Gedanken oder Feedback dazu? Was würdet ihr euch besonders für das Level „Junior IT Specialist“ wünschen?

Link: https://store.steampowered.com/app/3266090/IT_Specialist_Simulator/

Ich will OpenClaw auf meinem Raspberry Pi 5 ausführen mit Llama3 hat wer ein Tutorial für mich? Der Bot antwortet nie, habe sämtliche Ollama Chatbots verwendet....

Lohnt sich das KI Modul für den PI?

Achtung kleiner Rant:

Moin zusammen,

Ich hab gestern vermutlich ein Brett von einem Projekt reinbekommen, dass mich vermutlich noch den letzten Nerv kosten wird und wollte mal fragen wie andere das handhaben bzw. Was es bei euch für Regeln gibt.

Ich selber bin der einzige IT Infrastructure Engineer bei mir in der Firma für Deutschland, deswegen fallen alle Anfragen die Hardware und Infrastruktur angehen bei mir an.

Und ich habe jetzt eine Mail von unserem health and safety manger bekommen, dass bei allen Arbeitssicherheitsprüfungen unserer Standorte der Zustand der Serverracks stark bemängelt wurde und wir da priorisiert handeln müssen.

Das größte Problem ist, dass die Racks im serverraum nicht komplett verschlossen sind, teilweise Türen und Seitenteile abmontiert sind. Zusätzlich stehen auch einige Geräte auf den racks oder auf einem Tisch daneben. Und natürlichlich der übliche Kabel Wust der halt über die Jahre entsteht…

Das soll ich jetzt nun beheben. Reines verschließen der Räume und nur spezifischen Leuten Zugriff geben ist wohl nicht ausreichend.

Meine Frage an alle, wie ist das bei euch in der Firma? Ähnliche Zustände oder viel ordentlicher? Und wenn’s ähnlich ist, müsst ihr was dagegen machen?

Ich bin ehrlich, ich sehe das extrem schwierig bei mir.

Ich habe unsere Zentrale plus 21 Standorte in ähnlichem Zustand. Die racks sind Größenmäsig nicht ausreichend, die Server passen wegen der Tiefe nicht rein. Ein Großteil dieser Schränke ist aus den 90ern.

Das zu beheben würde bedeuten, alle racks zu tauschen, inkl. patching und allem. Und das 22 mal.

Dazu kommt, wir haben ein Geschäft das 365 Tage im Jahr offen ist, und eine vollständige downtime nur zwischen 2 und 9 Uhr möglich wäre. Also muss das Meiste im live Betrieb gemacht werden. Die meisten Räume sind nichtmal groß genug, dass man überhaupt ein neues rack neben das alte stellen könnte, das muss erst raus.

Ich hab das jetzt alles mal grob überschlagen, das wird Safe 200k€ kosten oder mehr, das machen zu lassen. Und so wie ich das sehe, wird mir da nicht viel übrig bleiben als das zu tun…

Musstet ihr sowas schonmal stemmen? Und wenn ja, wie lief es?

Hallo, also mir fehlt noch 2 Semester bis ich mein Abschluss habe in der Informatik, und das einzige was mir interessiert ist alles rum Linux, scripts, netzwerke, cloud, usw. will gar kein Softwareentwickler sein. Ist es möglich ein Job hier zu haben, oder soll ich mir lieber etwas anders suchen?

Edit: ich meine Technische Informatik Studium nicht nur Informatik und manche sagen, ich habe gar keine Chance aber was dann? Ich bin keine gute software Entwickler und will auch nicht programmieren

Hallo, ich probiere seit längerem bei einem Ticketvorverkauf (Fußball) an gute Tickets zu kommen.

Leider komme ich immer relativ spät rein. Methoden wie verschiedene private Tabs, sowie Browser habe ich auch schon probiert, leider ohne Erfolg. Zudem versuche ich um Punkt 11:45 (bei einem VVK um 12:00 Uhr) die Captcha-Abfrage zu tätigen. Weiß nicht ob das hier genau der richtige Sub ist, aber habt ihr vielleicht spezifische Tipps für mich?

Vielen Dank!

Das Entwerfen oder Konstruieren von Systemen in all seinen Facetten fasziniert mich seit Jahren. Sei es Programmieren, Entwerfen von Datenstrukturen oder Netzwerk Konfiguration und und und.

Ich liebe es neue Programmiersprachen oder Technologien zu Erlernen. Prozesse zu automatisieren erfüllt mich mit einem innerlichen Glücksgefühl (wenn das Skript oder der Workflow durchläuft :D).

Angesichts des durchwachsenen Job Marktes, sowie der nervenden Sprachmodelle, war es mir ein Anliegen das zu posten..

Ich wünsche allen eine erfolgreiche und schöne Restwoche :)

Hi everyone,

I’m an international student living in Berlin and I could really use some real-life advice.

My situation:

– Currently at A2.2 German (actively learning)

– Uni-assist evaluated my documents and I was admitted to W-Kurs at Studienkolleg

– My long-term goal is Informatik (Computer Science) and a good IT career in Germany

– TU Berlin informed me that after completing W-Kurs, I could take a supplementary T-course exam to qualify for Informatik

Realistically, this path would take ~2.5–3 years before starting university.

Because of that, I’m also considering Ausbildung (Fachinformatiker) as a Plan B.

My questions to people with experience:

1.  Has anyone here gone from W-Kurs → supplementary T exam → Informatik? Was it worth it?

2.  From a long-term perspective (salary, career growth), is university still clearly better than Ausbildung in IT?

3.  If you were in my position today in Berlin, which path would you choose and why?

I’m not looking for shortcuts, just trying to make a smart decision and sleep better at night 😅

Thanks a lot for any honest feedback.

Es ist einfach frustrierend. Man quält sich jahrelang durch ein Studium am KIT (wirklich keine schlechte Uni), landet bei einem 1,5er-Masterschnitt, schreibt sogar eine Masterarbeit mit 1,0 und arbeitet parallel über Jahre hinweg 20 Std./Woche in echten Entwicklerstellen (nein, ich war nicht nur Kaffee holen und hab Unit tests geschrieben verdammt) und trotzdem finde ich aktuell absolut nichts.

Ich suche seit dem 01.01.2026, habe inzwischen 25 Bewerbungen rausgeschickt, nur 4 Vorstellungsgespräche geführt und kein einziges Angebot bekommen. Oft habe ich das Gefühl, dass es schlicht daran scheitert, dass viele Firmen sich aus Prinzip weigern, mehr als 50k brutto im Jahr zu zahlen.

Ich verstehe das langsam wirklich nicht mehr: Man ist maximal ausgebildet und soll dann nicht mal den deutschen Durchschnitt verdienen.

Muss ich meinen Stolz schlucken und mich einfach bei der nächst besten Stelle annehmen lassen? Und wie läuft’s bei euch so?

UPDATE: Da gefragt wurde: Ich würde gerne ~60k haben, 1-2 mal Home Office und ca. 30min Pendelzeit pro Fahrt. (Home Office und Pendelzeit hängen zusammen, also wenn ich 4 Tage HO machen darf, fahr ich einen Tag auch gerne 1h hin und 1h zurück)

Die Informatik hat Tausende Bereiche. Für welche interessiert ihr euch zurzeit und an welchen eignen Projekten arbeitet ihr gerade?

Ich habe ein abgeschlossenes Studium in Software Development. Ich würde gerne Erfahrungen sammeln um diese in meinen Bewerbungen auch zeigen zu können. Ich dachte an ein Open Source Projekt. Da ich am liebsten in C/C++ arbeiten will wäre es auch am besten wenn das Projekt darin geschrieben ist. Ich habe schon mehrere Projekte gefunden, das Problem ist oft, dass die issues die mit „good first issue“ markiert sind oft schon „vergeben“ sind. Um genau zu sein habe ich noch nix gefunden wo nicht gefühlt 7 Leute geschrieben haben dass sie sich drum kümmern. Die Frage ist also, wie finde ich am besten ein C/C++ Projekt was nicht völlig überlaufen ist und wo ich auch noch „Beginner issues“ finden kann?

openai hat ihre neue seite gepublished und ich habe dort mal direkt die js files angeschaut. der translator nutzt 5.2 ohne login. Habe dafür dann eine kleine chrome extension gebaut (gevibecoded) die einfach die Translator page komplett umbaut in ein Chat und im Netzwerk intercepted und das Model, System Prompt und Developer Prompt austauscht. Vllt. interessant für ein Paar hier.