Dass Anthropic einem China-Akteur den größten bekannten Datendiebstahl an Claude vorwirft, zeigt vor allem, wie wertvoll ein Spitzenmodell geworden ist — in derselben Woche, in der Claude in Slack einzieht und die Labs anfangen, sich die Hardware darunter selbst zu bauen.
Samstag, 27. Juni 2026 — Lesezeit: ~10 Min.
Die große Nachricht der Woche
Anthropic beziffert den „größten bekannten Distillation-Angriff” — und zeigt nach China
Am 24. Juni macht Bloomberg einen Brief öffentlich, den Anthropic schon am 10. Juni an den US-Senatsausschuss für Banken (Senate Committee on Banking, Housing, and Urban Affairs) geschickt hatte — an dessen Vorsitzenden Tim Scott (Republikaner, South Carolina) und die ranghöchste Demokratin Elizabeth Warren (Massachusetts). Der Vorwurf: Ein mit Alibaba und dessen KI-Labor Qwen verbundener Akteur habe den nach Anthropics Worten „größten bekannten Distillation-Angriff” auf Claude gefahren.
Die Zahlen sind ungewöhnlich konkret. Zwischen dem 22. April und dem 5. Juni sollen rund 25.000 Fake-Accounts insgesamt 28,8 Millionen Dialoge mit Claude geführt haben — gezielt auf die laut Brief wertvollsten Fähigkeiten des Modells: „agentic reasoning, software engineering, and long-horizon tasks”, also eigenständiges Schlussfolgern, Programmieren und das Abarbeiten langer Aufgabenketten.
Distillation meint dabei, ein eigenes Modell auf den Ausgaben eines fremden nachzutrainieren — Datendiebstahl im industriellen Maßstab: Man erntet die Antwortmuster des Originals, statt von Grund auf selbst zu trainieren. Anthropics Verdacht: Das geerntete Material floss in Qwen. Alibaba wollte sich nicht äußern und wies den Vorwurf pauschal zurück; die Aktie gab am Tag der Meldung über drei Prozent nach.
Neu ist die Größenordnung, nicht das Muster. Schon im Februar hatte Anthropic drei „industrial-scale”-Kampagnen aus China benannt — DeepSeek, Moonshot und MiniMax. Der Alibaba-Fall liegt nach eigener Darstellung um Größenordnungen darüber.
Warum das relevant ist: Anthropic verlagert den Modellschutz von der Technik in die Politik — der Brief geht nicht an die eigene Rechtsabteilung, sondern an einen Senatsausschuss, und er liefert die Munition für die These, die das Lab seit Wochen vertritt: Spitzenmodelle sind nationale Vermögenswerte, und China greift sie systematisch ab. Dieselbe These trägt die Modell-Sperre der letzten beiden Ausgaben — nur dass der Vorwurf diesmal mit 28,8 Millionen Datenpunkten unterlegt ist statt mit einer anonymen Geheimdienstquelle.
Anthropic zieht in Slack ein — Claude Tag
Am 23. Juni stellt Anthropic Claude Tag vor: einen persistenten Claude, der direkt in Slack-Kanälen lebt. Per @Claude angesprochen, baut er Kontext aus dem Kanalverlauf auf, arbeitet Aufgaben asynchron mit eigener Planung ab und meldet sich proaktiv zurück — Anthropic nennt das „ambient behavior”. Die Beta läuft auf Opus 4.8 und ist Enterprise- und Team-Kunden vorbehalten; Admins steuern Token-Limits auf Organisations- und Kanal-Ebene.
Eine Eigenangabe lässt aufhorchen: Laut Anthropic stammen 65 Prozent des Codes des eigenen Produktteams aus der internen Claude-Tag-Version (unbestätigte Herstellerzahl). Die alte „Claude in Slack”-App wird zum 3. August abgeschaltet, mit 30 Tagen Migrationsfenster.
Warum das relevant ist: Claude Code hat Anthropic im Terminal verankert; Claude Tag öffnet die zweite Front im Chat-Tool der Wissensarbeiter. Anthropic geht damit nicht tiefer, sondern breiter: vom Coding-Werkzeug zum dauerhaften Teammitglied.
Update Mythos/Fable: Der Ton kippt, der Stand bleibt
Drei Wochen nach dem Export-Stopp für Anthropics Spitzenmodelle Mythos 5 und Fable 5 bewegt sich viel und ändert sich nichts. Im Axios-Interview vom 20. Juni nennt Donald Trump Anthropic und Dario Amodei „nicht mehr” ein nationales Sicherheitsrisiko — die Direktive selbst bleibt unangetastet. Eine vom 18. Juni datierte Frist für Handelsminister Howard Lutnick, vier überparteilichen Abgeordneten die Sperre schriftlich zu begründen, verstrich am 26. Juni ohne öffentliche Reaktion.
Dazwischen ein kurzes Aufflackern: Am 25. Juni kursiert auf X das Gerücht, Fable 5 sei zurück — ausgelöst durch einen Anzeige-Bug in Claude Code v2.1.190, der das Modell samt Wochenlimit-Texten im Model-Picker zeigte. Anthropic dementierte umgehend, unter anderem über Wachstumschef Amol Avasare: kein Traffic, das Modell bleibt offline.
Anthropic verlangt jetzt seinerseits Ausweise. Zum 8. Juli tritt eine aktualisierte Datenschutzrichtlinie in Kraft: Für eine „kleine Untergruppe verdächtiger Nutzer” werden ein Foto-Ausweis plus Live-Selfie fällig, abgewickelt über den Thiel-finanzierten Identitätsdienst Persona — und die Daten werden nicht sofort gelöscht. Betroffen sind nur Free-, Pro- und Max-Konten, nicht Team, Enterprise oder API. Für die europäische Zielgruppe ist das die nächste DSGVO-Baustelle: biometrische Verifikation bei einem US-Anbieter, dessen Spitzenmodelle hier ohnehin gesperrt sind.
Und die Geheimdienste melden sich. Am 23. Juni veröffentlichen die sechs Cyber-Behörden der Five-Eyes-Allianz (USA, Großbritannien, Kanada, Australien, Neuseeland — darunter NSA, CISA und das britische NCSC) eine seltene gemeinsame Erklärung: Frontier-KI werde die Cyber-Bedrohungslage „in Monaten, nicht Jahren” verschieben, Regierungen und Unternehmen sollten „jetzt handeln”. Eine konkrete Modell-Zuordnung vermeidet das Papier — die parallel kursierende Behauptung, Mythos habe in einem Test NSA-Systeme geknackt, ließ sich gegen die Primärquelle nicht erhärten.
Warum das relevant ist: Drei Bewegungen, eine Linie — Politik, Anbieter und Sicherheitsapparat verhandeln gerade neu, was ein Spitzenmodell wert ist und wem man es anvertrauen darf. Die Verfügbarkeit bleibt, was sie in #011 wurde: eine politische Variable.
Die Labs greifen nach eigener Hardware
Innerhalb einer Woche zeigen drei Deals dasselbe Muster: Wer Modelle baut, will die Schicht darunter kontrollieren.
Qualcomm kauft Modular (24. Juni) für rund 3,92 Milliarden Dollar in Aktien. Modular, 2022 vom LLVM- und Swift-Schöpfer Chris Lattner mitgegründet, liefert die Sprache Mojo und die Inference-Engine MAX — einen herstellerneutralen Compiler-Layer, der denselben KI-Code über Nvidia-, AMD- und Custom-Chips laufen lässt. Das ist ein direkter Angriff auf CUDA, Nvidias proprietären Software-Stack, der die GPU-Welt zusammenhält. Meta und Microsoft sind bereits als Kunden gelistet.
OpenAI und Broadcom enthüllen am selben Tag „Jalapeño”, OpenAIs ersten eigenen Inferenz-ASIC (einen für genau einen Zweck gefertigten Chip). Broadcom-Chef Hock Tan verspricht rund 50 Prozent geringere Kosten gegenüber üblichen KI-GPUs; erste Auslieferungen sind für Ende 2026 geplant.
Micron und Anthropic schließen einen Vier-Säulen-Deal (22. Juni): Co-Design für Speicher (HBM, der schnelle Stapelspeicher direkt neben dem Rechenkern), mehrjährige Lieferzusagen, Claude-Rollout bei Micron und eine Beteiligung an Anthropics Series H. Damit haben alle drei großen HBM-Hersteller — Micron, Samsung, SK Hynix — in Anthropic investiert.
Warum das relevant ist: Der Engpass der nächsten Phase ist nicht das Modell, sondern Rechenchip und Speicher darunter. Wer dort nur mietet, zahlt die Marge der Lieferanten — also kaufen sich die Labs gerade in den Stack ein, von der Compiler-Schicht bis zum Speicherriegel.
Claude Code: Die Highlights der Woche
Vier substanzielle Releases in sieben Tagen — von v2.1.187 bis v2.1.195.
Für Security- und Team-Admins
v2.1.187 — sandbox.credentials (23. Juni) — Ein neues Setting hindert sandboxed Bash-Befehle daran, Credential-Dateien und geheime Umgebungsvariablen zu lesen. Organisationsweite Modell-Restriktionen werden zudem durchgängig erzwungen — im Model-Picker, bei --model, /model und ANTHROPIC_MODEL —, und Remote-MCP-Aufrufe ohne Antwort brechen nach fünf Minuten ab.
v2.1.193 — Auto Mode härter, OTel-Falle (25. Juni) — Das neue autoMode.classifyAllShell schickt alle Shell-Befehle durch den Prüfer des Auto Mode (in dem Claude selbst entscheidet, welche Aktionen ohne Rückfrage durchlaufen dürfen) statt nur die offensichtlich riskanten. Wichtig für Observability-Teams: Ein neues OTel-Log-Event (OTel = OpenTelemetry, der offene Standard für Telemetriedaten) protokolliert künftig auch den Antworttext des Modells — und wer bereits Prompts mitschreibt, schreibt nach dem Upgrade ungefragt die Antworten mit, solange OTEL_LOG_ASSISTANT_RESPONSES=0 nicht gesetzt ist. Vor dem Update lesen.
Für alle, die Claude Code täglich nutzen
v2.1.191 — /rewind über /clear hinaus, 37 % weniger CPU (24. Juni) — /rewind stellt jetzt auch Gesprächsstände von vor einem /clear wieder her. Gleichzeitig sinkt der CPU-Verbrauch beim Streaming um rund 37 Prozent, weil Text-Updates auf 100-Millisekunden-Takte gebündelt werden — spürbar in langen Sessions.
Für Hook- und Multi-Agent-Workflows
Hook-Matcher werden zuverlässig (v2.1.191 + v2.1.195) — Zwei Fixes in Folge: v2.1.191 repariert komma-getrennte Matcher ("Bash,PowerShell" feuerten zuvor stillschweigend gar nicht), v2.1.195 (26. Juni) stellt Matcher mit Bindestrich-Namen wie code-reviewer oder mcp__brave-search von Teil- auf exakten Abgleich um. Wer solche Matcher nutzt, sollte seine Hook-Konfiguration nach dem Update einmal gegenprüfen.
Agentic Coding
Microsofts Doppelschritt — GitHub fährt diese Woche zwei Strategien parallel. Einerseits öffnet die Copilot-Desktop-App BYOK (23. Juni; „Bring Your Own Key” — den eigenen Modellschlüssel mitbringen), darunter für OpenAI, Azure, Ollama und Anthropic: Der Nutzer entkoppelt sich vom vorgegebenen Modell. Andererseits stellt Microsoft am 26. Juni mit MAI-Code-1-Flash ein eigenes Coding-Modell (5 Milliarden Parameter) für Copilot Business und Enterprise daneben — laut Microsoft 16 Punkte besser auf SWE-bench Pro (einem Benchmark realer Programmieraufgaben) als Haiku 4.5, bei bis zu 60 Prozent weniger Tokens. Im Wochentakt kamen außerdem: ein neues Terminal-Interface für die Copilot CLI (23. Juni), Copilot für Jira wird allgemein verfügbar (25. Juni), und GitHub Desktop 3.6 bekommt endlich Git-Worktree-Support — mehrere parallele Arbeitskopien eines Repos, wichtig für nebenläufige Agent-Sessions.
Codex Remote wird GA (25. Juni) — OpenAIs Coding-Agent lässt sich jetzt aus der ChatGPT-Mobile-App per QR-Code mit einem Mac- oder Windows-Rechner koppeln und von dort steuern; ein DigitalOcean-Plugin provisioniert auf Wunsch automatisch einen Server. Der Agent verlässt die IDE Richtung Smartphone.
Cursor 3.9 (22. Juni) bündelt Plugins, Skills, MCPs, Subagents und Hooks auf einer zentralen Customize-Seite samt Team-Marktplatz — derselbe „Extension-Layer wird Standard”-Zug, den auch Cline und Antigravity gerade fahren. Drei kürzere Bewegungen am Rand: Cognition führt Windsurf als Devin Desktop weiter (v3.3.18 zeigt jetzt den ACU-Verbrauch an), die Antigravity CLI liefert in 1.0.10–1.0.12 ARM64-Support und neue Launch-Flags nach, und Xcode 26.6 holt sich Google Gemini als Programmierassistenten ins Haus.
Trend der Woche
Slow down to speed up
Die Engineering-Reflexion der Woche kommt von Gergely Orosz (Pragmatic Engineer): Erst die Modelle vom November 2025 hätten Agenten „genuinely useful” gemacht — und die Adoptionszahlen seien steil. Teams mit AI-Agenten lieferten rund fünfmal mehr Pull Requests als vor zwei Jahren, einzelne Entwickler 2,5-mal mehr Code. Selbst DHH (David Heinemeier Hansson, Schöpfer von Ruby on Rails), noch im Sommer 2025 entschiedener Verweigerer, räumt ein, sein Widerstand habe schlicht daran gelegen, dass die Modelle damals „not good enough” waren.
Der Gegenbeat kommt von Stack Overflow, das seine Developer Survey 2026 öffnet — pointiert „for human developers only”. Die Agenten-Nutzung hat sich binnen eines Jahres fast verdoppelt (von 31 auf 59 Prozent), aber 63 Prozent lassen sie „selten oder nie” ohne Aufsicht laufen. Mehr Entwickler nutzen KI — und weniger vertrauen ihr blind. Den Schatten über den Zahlen setzt Orosz selbst: der jüngste Security-Vorfall bei Meta als Mahnmal, dass Tempo ohne Leitplanken kippt.
Tipp der Woche
Cloudflare „Temporary Accounts for AI Agents” — Mit npx wrangler deploy --temporary lässt sich ein Cloudflare-Workers-Projekt für 60 Minuten ins Netz stellen, ganz ohne Konto; ein Claim-Link reicht das Deployment später einem echten Account nach. Cloudflare selbst: „you can now create a Cloudflare Workers project and run this, without even creating a Cloudflare account.” Warum das hier steht: Es ist ein kleines, konkretes Infrastruktur-Primitiv für genau das Problem, das Multi-Agent-Setups gerade umtreibt — ephemere, wegwerfbare Deployments, die ein Agent selbst anlegen kann, ohne dass vorher jemand ein Konto und Zugangsdaten einrichtet.
Kurz notiert
Google-Exodus, Akt II (24. Juni) — Mit Jonas Adler (Google AI) und Alexander Pritzel (DeepMind, Gemini-Pretraining) wechseln zwei weitere Schlüsselleute zu Anthropic — Teil der Welle, die mit Noam Shazeers Abgang zu OpenAI begann und Alphabet am 22. Juni 7,2 Prozent kostete. DeepMind-Chef Demis Hassabis kontert: „We win our fair share of the top talent.” Nach John Jumper in #011 der nächste prominente Zugang.
OpenAI erwägt IPO-Verschiebung auf 2027 (25./26. Juni) — Laut New York Times macht der SpaceX-Kurssturz die Berater nervös; die Aktie verlor binnen sechs Tagen 31 Prozent vom Hoch. Morgan Stanley und Goldman gaben am 26. Juni jeweils über 4 Prozent nach — aus Sorge um die ausbleibenden IPO-Gebühren.
Anthropic und Meta heuern weiter an — Anthropic holt Steve Jarrett (zuvor Chief AI Officer bei Orange) nach Paris für den Europa- und Afrika-Markt; Meta übernimmt per Acqui-Hire die drei Gründer von Virtue AI (AI-Security) ins Superintelligence-Lab.
Der Souveränitäts-Reflex hält an — Cohere-KI-Chefin Joelle Pineau sagt, das Telefon klingele „durchgehend”; in Berlin holt Langdock (über 10.000 Firmenkunden) Investorin Judith Dada als Co-CEO an Bord.
Prompt Injection, zweimal — Ein neues Paper („Prompt Injection as Role Confusion”) zeigt, dass Modelle privilegierten Text nur am Stil erkennen: Entfernt man den, fällt die Angriffsquote von 61 auf 10 Prozent. Passend dazu nutzt die macOS-Schadsoftware Gaslight erstmals Prompt Injection gegen die KI-gestützte Schadcode-Analyse selbst.
Satire zum Wochenschluss — Andrew Nesbitts fiktiver „Incident Report: CVE-2026-LGTM” beschreibt, wie sich zwei konkurrierende AI-Review-Agenten in eine Eskalationsschleife reden. Näher an der Realität, als einem lieb ist.
Quellen
Die große Nachricht der Woche: Bloomberg — Anthropic accuses Alibaba · CNBC · Tom’s Hardware · Decrypt · The Next Web
Claude Tag: Anthropic — Introducing Claude Tag · heise — Delegieren statt chatten · TechCrunch · The New Stack · Bloomberg
Update Mythos/Fable: Globe and Mail — Verhandlungen · TechTimes — Trump softens, directive stands · explainx — Is Fable 5 Back? · heise — Anthropic may require an ID · Dr. Web — Ausweis und Selfie · Euronews — Five Eyes „months not years” · CNN — Five Eyes warning
Die Labs greifen nach eigener Hardware: CNBC — Qualcomm kauft Modular · Modular Blog · OpenAI — Jalapeño · Tom’s Hardware — Jalapeño · Micron IR — Micron + Anthropic · HPCwire
Claude Code: Changelog · GitHub Releases
Agentic Coding: GitHub Changelog — BYOK in Desktop App · MAI-Code-1-Flash für Enterprise · Copilot CLI GA · Copilot für Jira GA · GitHub Desktop 3.6 · OpenAI Codex Changelog · Cursor Changelog 3.9 · Devin Desktop Changelog · Antigravity CLI Releases · heise — Xcode 26.6 + Gemini
Trend der Woche: Pragmatic Engineer — Slow down to speed up · Stack Overflow Blog — Survey 2026
Tipp der Woche: Simon Willison — Temporary Cloudflare Accounts
Kurz notiert: Bloomberg — Adler & Pritzel zu Anthropic · CNBC — Shazeer zu OpenAI · Semafor — Hassabis-Counterpoint · Bloomberg — OpenAI leans toward 2027 IPO · Bloomberg — Morgan Stanley/Goldman fallen · Al Jazeera — SpaceX-Sell-off · Reuters via Yahoo — Steve Jarrett zu Anthropic · Axios — Meta acqui-hired Virtue AI · IT-Journal — Pineau „Telefon klingelt durchgehend” · Sifted — Judith Dada Co-CEO Langdock · Simon Willison — Prompt Injection as Role Confusion · SentinelOne Labs — macOS.Gaslight · Andrew Nesbitt — CVE-2026-LGTM
Das war Agentic Weekly #012. Danke fürs Lesen — die nächste Ausgabe kommt am Samstag, 4. Juli 2026.
Hinter Agentic Weekly steckt Martin Gross: wöchentlich ein kompakter, meinungsstarker Überblick zu Agentic Engineering, Agentic Coding und Claude Code.
Hat dir die Ausgabe gefallen? Leite sie gerne weiter oder empfiehl den Newsletter. Fragen, Anmerkungen oder Kritik? Antworte einfach auf diese Mail oder hinterlasse einen Kommentar.