Drei unabhängige Sicherheitsvorfälle in einer Woche zeigen, wie viel Vertrauen Coding-Agenten inzwischen genießen — während Anthropics IPO-Roadshow beginnt und eine Kostenanalyse zeigt, warum Claude Code deutlich mehr kostet als gedacht.
Juli 2026 · Lesezeit ~9 Min.
Drei Anbieter, drei Sicherheitslücken, eine Woche
Drei unabhängige Vorfälle innerhalb knapp einer Woche zeigen dasselbe Muster: Coding-Agenten bekommen mehr Vertrauen zugesprochen, als sie verdienen — und niemand hat das vorher bemerkt.
Grok Build lud komplette Repositories hoch. xAIs Coding-Agent Grok Build hat in Version 0.2.93 unbemerkt Inhalte eines 12-Gigabyte-Testrepositorys inklusive .env-Dateien und SSH-Schlüsseln in einen Google-Cloud-Speicher hochgeladen — mindestens 5,1 Gigabyte sind nachweislich angekommen. Ein „Improve the model”-Schalter, der genau das hätte verhindern sollen, stoppte den Upload nicht. Eine Wire-Level-Analyse (eine Untersuchung des tatsächlichen Netzwerkverkehrs) machte den Fund am 14. Juli publik; einen Tag später veröffentlichte xAI den kompletten Grok-Build-Code — 844.530 Zeilen Rust — als Open Source unter Apache 2.0, nachdem es die automatische Datenübertragung per Server-Flag deaktiviert hatte. Der problematische Upload-Code selbst blieb im Quellbaum stehen.
Cursor führte Code aus, ohne zu fragen — und schwieg dann. Sicherheitsforscher Aaron Portnoy (Mindgard) deckte am 14. Juli auf, dass Cursor eine git.exe im Repo-Root ausführt, ohne vorher zu fragen — seit Dezember 2025 gemeldet, aber von HackerOne als „out of scope” eingestuft. Cursor hatte den Fehler bereits am 13. Juli still gepatcht, ohne Sicherheitshinweis, CVE-Nummer (die standardisierte Kennung für öffentlich erfasste Schwachstellen) oder Versionsangabe — öffentlich bekannt wurde das erst am 17. Juli, durch Presseanfragen. Schweigend zu patchen ist kaum transparenter als gar nicht zu patchen.
Claude folgte Links, die es nicht hätte folgen sollen. Sicherheitsforscher Ayush Paul zeigte bereits am 9. Juli, dass Claudes web_fetch-Werkzeug über verkettete Honeypot-Links (präparierte Köder-URLs, die das Weiterklick-Verhalten des Modells testen) Nutzerdaten wie Namen, Wohnort und Arbeitgeber ausleiten konnte. Anthropic bestätigte, das Problem intern bereits gekannt, aber noch nicht behoben zu haben, und entzog dem Modell die Fähigkeit, Links auf bereits abgerufenen Seiten zu folgen — eine Bug-Bounty-Zahlung erfolgte nicht.
Zwei Gegenbewegungen: Diese Woche wurde bekannt, dass Codex die Prompts zwischen Haupt- und Unteragenten bereits seit Juni verschlüsselt — eine Vorabmaßnahme gegen Prompt-Lecks in Multi-Agent-Ketten, deren Nebenwirkung auf die Audit-Lesbarkeit gerade erst öffentlich diskutiert wird. Und Cloudflare bringt mit „Precursor” eine Verhaltenserkennung, die Menschen über eine ganze Session hinweg anhand von Maus- und Tastaturmustern von Agenten unterscheidet.
Warum das relevant ist: Datenexfiltration, unautorisierte Ausführung und ausufernde Tool-Rechte sind dieselben Kategorien wie in den Wochen zuvor, nur diesmal bei drei unabhängigen Anbietern innerhalb knapp einer Woche. Nach der Agentjacking-Ausweitung und #014s GhostApproval- und GitLost-Befunden ist das die dritte Woche in Folge mit einem substanziellen Agentic-Permission-Vorfall — inzwischen ein Muster, kein Ausreißer.
Googles teuerstes Coding-Problem
Am 16. Juli berichtet Bloomberg, dass Google sein Flaggschiff-Modell Gemini 3.5 Pro verschiebt — Monate hinter dem eigenen Zeitplan, weil die Coding-Fähigkeiten hinter den internen Zielen zurückbleiben. Ende Juni hatte Google die Trainingsdaten angepasst, um genau das zu verbessern; das Ergebnis enttäuschte laut Bericht auch danach. Die schwächere Flash-Variante war bereits im Mai auf der I/O-Konferenz vorgestellt worden, mit Juni als Zieltermin für die Pro-Version — der Termin ist seither verstrichen, ohne neuen Zeitplan.
Pikant: Google-Ingenieure sollen intern verstärkt KI-gestützt entwickeln, stoßen dabei aber laut Bericht auf Kapazitätsengpässe, weil die eigene Rechenleistung unternehmensweit umkämpft ist. Die Nachricht kostete Alphabet rund 200 Milliarden Dollar Marktkapitalisierung — ein Einbruch, der zeigt, wie unmittelbar Investoren Coding-Fähigkeit inzwischen als Wettbewerbsindikator lesen.
Warum das relevant ist: Sonnet 5, Opus 4.8 und GPT-5.6 haben die Messlatte für Coding-Qualität in den letzten Monaten mehrfach angehoben — und Google fällt bei genau dieser Messlatte zurück, während die eigenen Ingenieure die Konkurrenzmodelle im Alltag im Blick haben. Der Markt bepreist das nicht als Verzögerung, sondern als Rückstand.
Die Kapitalmarkt-Woche
Drei Bewegungen und ein unbestätigtes Gerücht zeigen, wie viel Geld gerade in Richtung Agentic Coding fließt.
Anthropics IPO-Roadshow beginnt. Seit dem 15. Juli sondieren Goldman Sachs, JPMorgan und Morgan Stanley Investorennachfrage vor der formellen Roadshow — ein öffentlicher S-1-Antrag (die Börsenzulassungs-Unterlage für US-Börsengänge) wird für August oder September erwartet, Preisfestsetzung im Oktober oder November, Nasdaq als Ziel. Die Bewertung bleibt bei 965 Milliarden Dollar aus der Serie-H-Runde vom Mai; parallel verhandelt Anthropic über eine Ausweitung seiner bislang 2,5 Milliarden Dollar schweren Kreditlinien.
Ode with Anthropic geht offiziell an den Start. Das im Mai gegründete Joint Venture — Anthropic, Blackstone, Hellman & Friedman und Goldman Sachs, 1,5 Milliarden Dollar — soll Unternehmen bei der praktischen Einführung von KI-Agenten begleiten. Ode-Chef Chris Taylor:
„It’s pretty easy to imagine this as a trillion-dollar company someday if we execute well.”
Sinngemäß: Es sei leicht vorstellbar, dass daraus bei guter Ausführung eines Tages ein Billionen-Dollar-Unternehmen wird.
Databricks erhöht seine Bewertung auf 188 Milliarden Dollar (Coatue-Runde, +40 % gegenüber Februar), und das AI-Coding-Startup Emergent wird zum Unicorn — 1,5 Milliarden Dollar Bewertung, versus 300 Millionen Dollar im Januar, bei 120 Millionen Dollar Jahresumsatz und über 200.000 zahlenden Kunden. Am Rand, unbestätigt: Laut New York Times verhandelt Meta, Anthropic für bis zu 10 Milliarden Dollar Rechenkapazität zu vermieten — beide Seiten äußerten sich nicht, ein frühes Stadium ohne Zusage.
Warum das relevant ist: Nach der Compute- und Governance-Woche der letzten Ausgabe liefert diese Woche die ersten konkreten Kapitalmarkt-Termine — das Geld, das in Agentic Coding fließt, übersetzt sich in Fristen und Bewertungen statt in bloße Ankündigungen.
Claude Code: Die Highlights der Woche
Für Sicherheits- und Team-Admins
v2.1.214 behebt mehrere reale Permission-Bypässe (Windows PowerShell 5.1, Bash-Umleitungsformen, Zsh-Vergleiche, Docker-Daemon-Flags) und bringt
EndConversation: Claude kann eine Session bei Jailbreak-Versuchen selbst beenden — ein Verhalten, das claude.ai schon seit 2025 kennt.Budget-Grenzen für Sessions — v2.1.212 begrenzt WebSearch-Aufrufe und Subagent-Spawns pro Session (Standard je 200), verschiebt lange MCP-Tool-Aufrufe automatisch in den Hintergrund, und
/forkstartet direkt eine Hintergrund-Session.
Für alle, die Claude Code täglich nutzen
Sandbox-Browser in der Desktop-App — eigenes Browser-Profil ohne gespeicherte Logins, Schreibaktionen laufen durch einen Klassifizierer. Ergänzt „Claude in Chrome GA” aus #013 um eine Desktop-eingebettete Variante.
Kleinere Nachzügler: Login-Expiry-Warnung, erweitertes Auto-Allow für
git push, Namensreservierung „Claude Browser”.
Agentic Coding
GitHub automatisiert Sicherheits-Fixes. „Agentic Autofix for Code Scanning Alerts” (Public Preview) lässt einen Agenten CodeQL-Alerts eigenständig beheben — Erkundung, Fix, Re-Validierung, Draft-PR in zwei bis vier Minuten. Ein Gegenpol zu den drei Vorfällen oben: Der eine Anbieter automatisiert Absicherung, während anderswo Lücken entstehen.
Cursor baut in Richtung Slack aus — Plan-Vorschau vor Arbeitsbeginn, Multi-Repo-Support, kanalübergreifende Workflows.
Cline liefert im Wochentakt — die Haupt-Extension v4.0.9 bringt GPT-5.6-Support, CLI v3.0.43 automatisches Vertrauen des Betriebssystem-Zertifikatsspeichers (Corporate-Proxy-Setups).
Copilot legt eine Sicherheitswoche nach — Visual-Studio-Juni-Update, erweitertes BYOK für JetBrains, KI-Sicherheits-Erkennungen direkt in Pull Requests.
Trend der Woche: Was ein Agent wirklich kostet — und wer die Kontrolle behält
Zwei methodisch saubere Kostenmessungen, ein neuer Fachbegriff und ein Kontrapunkt landen in derselben Woche — zusammen ein Bild davon, wie teuer Autonomie wirklich ist und wer am Ende dafür geradesteht.
Die Zahlen. Systima misst per Logging-Proxy: Claude Code verbraucht rund 33.000 Tokens, bevor der erste Prompt überhaupt verarbeitet wird — 4,7-mal mehr als das Konkurrenzwerkzeug OpenCode, vor allem wegen eines deutlich längeren System-Prompts; Subagent-Delegation treibt die Gesamtkosten einer Aufgabe auf mehr als das Vierfache. Databricks kommt auf der eigenen Multi-Millionen-Zeilen-Codebase zu einem verwandten Befund: GLM 5.2 erreicht die Qualität von Opus 4.8 bei zwei Dritteln der Kosten, während Sonnet 5 trotz günstigerem Token-Preis teurer pro Aufgabe ist als Opus, weil es mehr Kontext verbraucht. Güte pro Dollar hängt offenbar stärker vom Werkzeug drumherum ab als vom Modellpreis selbst.
Der neue Begriff. Gergely Orosz nennt das, was sich daraus ergibt, „Loop Engineering” — die bewusste Gestaltung des Kreislaufs aus Planen, Ausführen und Prüfen, nicht nur des einzelnen Prompts. Boris Cherny, der bei Anthropic Claude Code leitet, bringt es auf den Punkt: Er prompte Claude nicht mehr, sein Job sei es, Loops zu schreiben.
Der Kontrapunkt. Andrew Kelley, Schöpfer der Programmiersprache Zig, legt beim Bun-Rewrite aus der letzten Ausgabe nach: The Register betitelt seine ausführlichere Fassung „unreviewed slop”; seine Frage, wie eine Test-Suite unbeaufsichtigten Rust-Code prüfen soll, wenn sie schon Bugs im ursprünglichen Zig-Code übersehen hat, bleibt unbeantwortet. Ray Myers verschärft in einem eigenen Beitrag: Er selbst habe mit einem hybriden Ansatz 50 Bugs in der Zig-Version von Bun gefunden — reines KI-Vorgehen reiche eben nicht. Simon Willison zieht die Grenze grundsätzlicher: Mit Verweis auf ein IBM-Zitat von 1979 — ein Computer könne nie zur Verantwortung gezogen werden, dürfe deshalb nie eine Management-Entscheidung treffen — muss Verantwortung strukturell menschlich bleiben, unabhängig vom Autonomiegrad.
Wie wenig diese Grenze in der Praxis gezogen wird, zeigt eine Studie von SAP und Oxford Economics unter 2.600 Führungskräften: Nur elf Prozent halten ihre eigene Governance für ausreichend, 57 Prozent haben keinen Human-Oversight-Prozess für agentische Workflows, 71 Prozent nutzen ungenehmigte „Schatten-KI”. Ein Gegenbeispiel zeigt, dass die Frage lösbar ist: Fields-Medaillist Terence Tao portierte binnen Stunden zwei Dutzend Java-Applets aus dem Jahr 1999 mit einem Coding-Agenten nach JavaScript und fand zwei bislang unbekannte Bugs im Original — betont aber, dass alle High-Level-Design-Entscheidungen bei ihm blieben, nur die Low-Level-Syntax beim Agenten.
Warum das relevant ist: Wer Loop Engineering betreibt, wie Systima und Databricks es vorrechnen, spart Geld. Wer dabei gleichzeitig die Verantwortung abgibt, wie die SAP-Studie es für die Mehrheit der Unternehmen beschreibt, spart am falschen Ende.
Tipp der Woche
Claude Code kann seit einigen Versionen ein zweites, stärkeres Modell als „Advisor” (Berater) hinzuziehen: Das Hauptmodell konsultiert es an Entscheidungspunkten — vor einem Ansatzwechsel, bei wiederkehrenden Fehlern, vor Abschluss einer Aufgabe. Aktivierbar über /advisor, die Einstellung advisorModel oder das Flag --advisor; das Hauptmodell entscheidet selbst, wann es fragt.
Mein Fazit: Viele Aufgaben brauchen gar kein Top-Modell — das spart spürbar Kosten und Zeit, und bei Bedarf springt automatisch ein stärkeres Modell ein, bei mir meist von Sonnet 5 zu Opus 4.8. Was fehlt: Transparenz darüber, wann und warum genau eskaliert wird.
Warum das hier steht: Der Advisor ist die eingebaute Antwort auf ein Muster, das hier schon als manueller Tipp lief — ein starkes Modell entscheidet die Richtung, ein günstigeres führt aus. Jetzt übernimmt Claude Code die Eskalations-Entscheidung selbst.
Kurz notiert
Bundestags-Gutachten: Open-Source-First bei öffentlicher Beschaffung ist vergaberechtlich zulässig — die Wissenschaftlichen Dienste bestätigen, dass sich Behörden in Ausschreibungen auf Open-Source-Software festlegen dürfen. Peter Ganten (Vorsitzender, Open Source Business Alliance): „Das Gutachten macht unmissverständlich klar, dass öffentliche Stellen sich in ihren Ausschreibungen auf Open-Source-Software festlegen können.”
Nur 0,7 % der Stellenanzeigen der öffentlichen Verwaltung nennen KI-Kompetenz — Privatwirtschaft 1,5 %, 43 % der Landkreise ganz ohne KI-Stellenanzeige (IW Köln, 13 Mio. ausgewertete Anzeigen).
Tom Blomfield (Mitgründer Monzo) wechselt zu Anthropics Compute-Team — nimmt dafür eine Auszeit als Group Partner bei Y Combinator, arbeitet künftig mit Compute-Chef Tom Brown zusammen.
DeepSeek strebt 74-Milliarden-Dollar-Bewertung an — nur Wochen nachdem die erste externe Finanzierungsrunde (Tencent/CATL) das Unternehmen bereits auf rund 63 Mrd. $ bewertet hatte, plus Vorbereitung für einen Börsengang an Shanghais STAR Market.
Das war Agentic Weekly #015. Danke fürs Lesen — die nächste Ausgabe kommt am Samstag, 25. Juli 2026.
Hinter Agentic Weekly steckt Martin Gross: wöchentlich ein kompakter, meinungsstarker Überblick zu Agentic Engineering, Agentic Coding und Claude Code.
Hat dir die Ausgabe gefallen? Leite sie gerne weiter oder empfiehl den Newsletter.
Quellen
Drei Anbieter, drei Sicherheitslücken, eine Woche: Simon Willison — xai-org/grok-build now open source · Cereblab Gist — wire-level analysis · x.ai — Grok Build is now open source · TechTimes — privacy toggle did nothing · Mindgard — Cursor 0day · Dark Reading — Cursor IDE Auto-Executes Malicious Code in Poisoned Repos · Ayush Paul — The Memory Heist · GitHub — openai/codex#28058 · Cloudflare — Introducing Precursor
Googles teuerstes Coding-Problem: Bloomberg — Google Gemini Launch Delayed · CNBC — Alphabet shares fall on Gemini delay
Die Kapitalmarkt-Woche: CNBC/startuphub.ai — Anthropic IPO roadshow begins · Investing.com — Anthropic 2026 IPO · CryptoBriefing — Anthropic targets IPO by October 2026 · TechCrunch — Ode with Anthropic · Bloomberg — Databricks $188B · TechCrunch — Emergent becomes a unicorn · DealStreetAsia — Emergent · CNBC — Anthropic in early talks with Meta · Bloomberg — Meta in Talks to Sell Computing Power to Anthropic
Claude Code: Changelog · the-decoder.de — Claude Code Browser
Agentic Coding: GitHub Changelog — Agentic Autofix · Cursor Changelog · Cline Releases · GitHub Blog Changelog
Trend der Woche: Systima — Claude Code vs OpenCode token overhead · Databricks Engineering — Benchmarking Coding Agents · Pragmatic Engineer — What is loop engineering? · The Register — Zig creator calls Bun’s rewrite unreviewed slop · Andrew Kelley — My thoughts on the Bun Rust rewrite · Ray Myers — Zig Creator Calls Spade a Spade · Simon Willison — Directly Responsible Individuals · heise — SAP Value of AI Report · Terence Tao — Old and new apps via modern coding agents
Tipp der Woche: Claude Code Docs — Escalate hard decisions with the advisor tool
Kurz notiert: OSBA — Bundestags-Gutachten schafft Klarheit · HASEPOST — Studie: Öffentliche Verwaltung verpasst Anschluss · Sifted — Anthropic recruits Tom Blomfield · techfundingnews.com — Tom Blomfield · Bloomberg — DeepSeek mulls new funding · techstartups.com — DeepSeek $74B valuation


