MERZ — Digitale Gewalt — Satoshi Nakamoto — Claude Mythos
Neben den drei großen Themen der Sendung gibt es heute erst mal Begriffsklärung in punkto Kunst und ihr dürft in Tims Schulzeit eintauchen. Danach ein Nachtrag zum Thema Digitale Gewalt und wir reflektieren kurz die jüngste Recherche der New York Times, die glaubt, dem Bitcoin-Erfinder auf die Schliche gekommen zu sein, der nur unter dem Pseudonym Satoshi Nakamoto bekannt ist. Den Rest der Sendung widmen wir der Ankündigung des neuen KI-Modells von Anthropic "Mythos", das wohl das Zeug dazu hat, die Cybersicherheit von Open Source Software grundlegend aufzumischen.
Linus Neumann
Tim Pritlove
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove 0:00:00
Guten Morgen, Linus.
Linus Neumann 0:00:02
Guten Morgen, Tim.
Tim Pritlove 0:00:03
Du, die Amis sind jetzt so weit weg von der Erde wie nie zuvor.
Linus Neumann 0:00:08
Alle?
Tim Pritlove 0:00:30
Logbuch Netzpolitik Nummer 551 vom 8. April 2026.Direkt aus der Umlaufbahn berichten wir über alles, was diese Erde gerade so erregt.Bis auf ein paar Details, die lassen wir raus.
Linus Neumann 0:00:51
Mhm. Ja. Ein bisschen hinter dem Mond, ja.
Tim Pritlove 0:00:57
Ja, den Eindruck hat man ja schon länger. Jetzt ist es ja auch bestätigt worden.
Linus Neumann 0:01:03
Ja.
Tim Pritlove 0:01:04
Alle hinter dem Mond leben. Und man würde sich wünschen, da würden sie dann auch bleiben.Aber denen gefallen werden sie wahrscheinlich nicht tun. Das, ja.
Linus Neumann 0:01:12
Haben wir ein paar schöne Fotos. Haben wir eine schöne Karte geschickt?
Tim Pritlove 0:01:16
Stimmt, einige schöne Fotos. Hast du das gesehen von der Sonnenfinsternis? Mit Mond?
Linus Neumann 0:01:23
Ja.
Tim Pritlove 0:01:24
Sehr hübsch.
Linus Neumann 0:01:26
Und eins heißt ja auch,der englische Titel ist, glaube ich, nicht ganz so, also der englische Titelhat eine andere Konnotation, aber eines der Bilder ist ja auch Weltuntergang.Also Setting Earth, die untergehende Erde.
Tim Pritlove 0:01:46
Wie passend. also die Amerikaner sind sozusagen in der Lage,die Welt untergehen zu lassen und sie dabei auch noch aus großer Distanz zufotografieren, das ist doch wirklich eine Leistung das muss sich erstmal einer machen,immerhin.
Linus Neumann 0:02:04
Also schöne Fotos vom Weltuntergang das ist doch auch wenn schon Weltuntergang,dann noch wenigstens mit schönen Fotos ja genau.
Tim Pritlove 0:02:14
Das können sie auf jeden Fall, in der Inszenierung Da macht ihnen einfach keiner was vor.Aber ansonsten machen ihnen eigentlich alle jetzt was vor.
Linus Neumann 0:02:27
Ich hatte gestern einen wunderschönen Internetmoment mal wieder. Hat man ja selten.Also schöne Momente sind ja im Internet selten geworden. Seltenär.Und da habe ich einfach eines dieser Bilder gesehen und habe mich gefragt,Es war so eine Halberde drauf zu sehen, so sichelförmige Halberde.Und da habe ich mich gefragt, nimmt die jetzt eigentlich gerade zu oder ab?Und was habe ich gemacht? Wenn man die Antwort auf eine Frage sucht im Internet?
Tim Pritlove 0:02:56
Na, dann geht man zur Intelligenz des Vertrauens.
Linus Neumann 0:02:59
Nein, man gibt einfach die falsche Antwort.Wenn man eine Antwort sucht im Internet, der stelle nicht die Frage,sondern der gebe eine Antwort.Weil du sicher sein kannst, dass du sofort korrigiert wirst.Dafür ist das Internet gut. Und das hat natürlich dann auch stattgefunden.Bis zur vollständigen Verwirrung. Dann habe ich Claude gefragt,habe gesagt, guck das Bild an, nimmt die Erde dazu oder ab?Dann hat er völlig bestimmt, ja, völlig klar, Erde dreht sich ja,Mond andersrum, also genau gegenläufig, nimmt, nimmt ab.Und dann habe ich gesagt, na ja, hier im Internet sagt einer, die nimmt zu.Ja, scheiße, stimmt. Dann habe ich gesagt, okay, sag mir bitte, woran du es festmachst.Und dann hat er gesagt, also um ehrlich zu sein, ich weiß es nicht.Das fand ich sehr schön. Und ich wusste es nämlich auch nicht,weil nicht erkennbar war, also es war einfach auf dem Bild ja gar nicht erkennbar,in welcher Orientierung das Bild gemacht wurde.Also man konnte nicht, also ich zum Beispiel mit meinen geografischen Kenntnissenkonnte nicht erkennen, welcher Teil der Erde gerade sichtbar ist und ob dasvielleicht einfach auf dem Kopf ist.
Tim Pritlove 0:04:04
Das siehst du mal, die künstliche Intelligenz ist jetzt der menschlichen Intelligenzschon einen Schritt voraus.Sie ist in der Lage, zuzugeben, dass sie was nicht verstanden hat.
Linus Neumann 0:04:13
Ja, aber Menschen ebenbürtig erstmal sowohl alles als auch sein Gegenteil vollerInbrunst zu behaupten, bevor sie an den Punkt kommen, zu sagen,okay, pass auf, was gibt's zu? Ich hab keine fucking Ahnung.
Tim Pritlove 0:04:25
Das ist der Human Touch.
Linus Neumann 0:04:27
Auch nur Menschen.
Tim Pritlove 0:04:28
Ja, genau. Ich sind auch nur Menschen.Ja, ja, so ist es.
Linus Neumann 0:04:37
Es gab auf jeden Fall schöne Witzchen und genau und das hat jetzt quasi so diese ganze,also Trump wurde ja dann also unflätig und wollte irgendwie den Iran weg nuken,bevor sich dann entschieden hat, ach wir machen einfach 14 Tage Waffenstillstand.
Tim Pritlove 0:04:58
Ganze Zivilisationen von der Erde entfernen.
Linus Neumann 0:05:01
Morgen ist Kraftwerk und Brückentag im Iran.Ja, das ist schon wirklich beschämend.
Tim Pritlove 0:05:09
Ja, in der Tat, das ist wirklich beschämend. Ja, der Typ ist halt einfach einkrasser Narzisst und gehört langsam mal entfernt.
Linus Neumann 0:05:18
Nein, das darf man nicht sagen, Tim. Das habe ich über der ersten Trump-Wahl gesagt.An dem Logbuch Netzpolitik nach der Trump-Wahl habe ich gesagt,das ist ein Narzisst und ein Faschist.Und dann wurde ich aber sowas von zurechtgewiesen, was mir denn einfiele,hier Ferndiagnosen ohne jede Kompetenzund jetzt da direkt jemanden zum Faschisten zu erklären, nur, naja.
Tim Pritlove 0:05:43
Naja, ich kenne ja auch noch so ein paar Leute mit, das wird doch alles schonnicht so schlimm werden.
Linus Neumann 0:05:48
Leave Donald alone, ja.
Tim Pritlove 0:05:54
Ja, genau so.
Linus Neumann 0:05:57
Zwischenzeitlich habe ich mir echt noch, habe ich echt gedacht,oh scheiße, nicht, dass wir den jetzt zu viel geärgert haben.Vielleicht muss die FIFA dem noch schnell irgendeinen Preis geben oder so,damit der sich beruhigt und nicht jetzt am Ende doch noch wirklich auf den Knopf drückt.
Tim Pritlove 0:06:12
Die haben da noch was im Arsenal?
Linus Neumann 0:06:15
Weiß ich nicht, also irgendjemand muss sich, also ihr müsst uns,denkt euch neue Preise aus.
Tim Pritlove 0:06:20
Bevor der irgendwann mal Wie wärs denn mit dem FIFA War Prize?Ja, einfach so, weißt du, da sind sie ja gut drin, die haben ja auch jetzt einDepartment of War und so weiter und so.
Linus Neumann 0:06:36
FIFA ending a war prize. Ja, habt schon wieder Krieg beendet.Diesmal mit einem nuklearen Schlag.Mensch, neun Kriege beendet.Das hört ja gar nicht mehr auf.
Tim Pritlove 0:06:49
Ja. Oh Mann, ey. Oh Mann, ey.Ja, aufregen tun sich Leute ja auch über Herrn Merz. Hast du ja auch gemacht, ne?
Linus Neumann 0:07:02
Achso, ja, es hat sich jemand beschwert, es hätte eine Schmähkritik gegebenund deswegen hat er nicht zu Ende gehört und da kann ich nur sagen,dass du das Lied am Ende dann verpasst.Tim hat so ein schönes Lied für euch rausgesucht, aus dem Internet.
Tim Pritlove 0:07:17
Ja, das stimmt. Naja, aber ich wollte auf einen anderen Aspekt mal zu sprechenkommen, weil was mich ja an dieser ganzen Märzdiskussion stört ist,dass der eigentliche März dabei so in den Hintergrund tritt.Und ich finde, das muss gerade gerückt werden und das sollte man nochmal klar machen.Und ich möchte beginnen mit einer Geschichte aus meiner Jugend,wo ich in der Schule war und da hatte ich das faszinierende Schulfach Gartenbau.Hast du sowas auch gehabt in deiner Schule? Wahrscheinlich nicht, ne?
Linus Neumann 0:07:53
Nee, also ich bin auf ein Gymnasium gegangen. Ich glaube, Gartenbau wurde ananderen Schulen unterrichtet.
Tim Pritlove 0:08:01
Also in dem Alter, wo ich Gartenbau hatte, warst du auch noch nicht auf dem Gymnasium.
Linus Neumann 0:08:07
Achso, ich verstehe, warum das an deiner Schule unterrichtet wurde.
Tim Pritlove 0:08:13
Warum?
Linus Neumann 0:08:14
Naja, weil der Rudolf Steiner ja so ein Öko-Faschist ist.
Tim Pritlove 0:08:17
Ja, genau.
Linus Neumann 0:08:18
Und deswegen musstest du lernen, hier so Demetan nachts, bei Vollmund ernten und so ein...
Tim Pritlove 0:08:26
Oder?
Linus Neumann 0:08:27
Das ist doch, das ist die ganze Gartenbau-Esoterik.
Tim Pritlove 0:08:30
Musstest du da rauf und runter tanzen. Ganz so schlimm ist es nicht.Also ich habe schon sehr handfestes Wissen erworben,das kann man jetzt nicht anders sagen, also ich war mit dem Kompost schon vertraut,da wussten andere noch nicht mal was das ist und es schafft auch einfach einegewisse Nähe zur Realität und ich kann dir sagen, die hilft manchmal.Also so schlecht war das alles nicht.
Linus Neumann 0:08:54
Aber also sag mal, okay, dann wird dir erklärt, zum Beispiel Komposthaufen wurdeuns in einem anderen Fach unterrichtet, das war Biologie.
Tim Pritlove 0:09:02
Ja, ich habe den konkret einfach aus der Schulküche, habe ich halt den ganzenAbfall wirklich zum Komposthaufen auch hingetragen und gelernt,wo der hingekippt wird und dass der überhaupt da hingekippt wird und was darandamit geschieht und all das.Das war einfach eine sehr konkrete Geschichte mit mir und dem Kompost.
Linus Neumann 0:09:23
Da haben wir sich an der Waldorfschule gedacht, selbst aus der Scheiße könnenwir Unterrichtsmaterial machen.
Tim Pritlove 0:09:27
Ja, ich finde das auch gut. Du lernst halt einfach Blumen zu pflanzen und Lebenzu erschaffen. Das ist ja jetzt nicht das Schlechteste.Wenn man sich mal Herrn Trump anschaut, der macht halt genau das Gegenteil.Von daher war das schon mal ganz gut. Was aber eigentlich für mich der Aspektwar bei Gartenbau, war halt einfach meine Gartenbau-Lehrerin,die war nämlich eigentlich ganz putzig und die hat es auch immer sehr gut gemeint mit uns, ja.
Linus Neumann 0:09:54
Also war nicht gut, weil gut gemeint ist ja das Gegenteil von gut.
Tim Pritlove 0:09:58
Die hat es schon gut mit uns gemeint, nicht, dass sie jetzt unbedingt immerhat erfüllen können, was wir so am dringendsten brauchten, aber weiß ich nicht,also Frau Brandes war auf jeden Fall immer sehr unterhaltsam für uns, weil sie auch immer so,leicht, naja, also sie hatte sozusagen so ihre lustigen Seiten und eines Tageskamen sie auf uns zu, also uns, wir waren so drei Freunde, die da mal zusammenhingen.
Linus Neumann 0:10:24
Und Gartenbaubetrieb haben.
Tim Pritlove 0:10:26
Sie hätte was Schönes für euch. Sie hätte was Schönes für uns gefunden,das wollte sie uns jetzt irgendwie schenken, denn sie ging davon aus,dass wir uns darüber freuen würden.Und es handelte sich dabei um ein in der Mitte zerbrochenes Schild,was wohl mal an einem Auto hing, nämlich einem Auto von Peugeot.Aber da stand nicht mehr Peugeot vollständig drauf, sondern da stand einfach nur noch Poi.Das waren die ersten drei Buchstaben, P, E, U, Poi.Und das übergab sie uns, dieses Schild, und meinte, das würde uns doch wohl freuen.Hat uns auch sehr gefreut, wir hatten dann für die nächsten Monate...
Linus Neumann 0:11:10
Weil ihr die andere Hälfte schon hattet.
Tim Pritlove 0:11:12
Nein, wir hatten einfach Humormaterial für Monate, weil dieses Wort Poi hatuns nie wieder verlassen, verstehst du?Das war einfach Poi, war für uns dann einfach so, dass der Begriff für alles,was so ein bisschen der Range daherkommt und irgendwie so kontextfrei einfachso in deine Welt gespürt wird, das war dann einfach Poi. Weil es dich freut.Poi war ein neues Wort, Das war in mein Leben getreten und es erstand einfachaus einem zerbrochenen Peugeot.Und Frau Brandes hat uns das in unser Leben gebracht und es hat uns große Freudegebracht und es war wirklich ein Wort, was ich auch heute immer noch schätze.Poi, wir mussten nicht viel sagen, wir mussten uns immer nur so anschauen,wenn wieder so eine Situation war, wo man sich dachte, haben die es überhaupt noch alle?Man sagte einfach nur Poi und alle wussten Bescheid. Du kennst das vielleicht.
Linus Neumann 0:12:03
Wir haben,Ich hörte ja, also Peugeot-Schilder wurden bei uns üblicherweise nicht abgebrochenDas war eher so ein Mercedes-Stern Ja.
Tim Pritlove 0:12:14
Das war jetzt auch nicht vorsätzlich, das hat sie beim Kopf ausgefunden,keine Ahnung wo sie das her hatte, aber sie wollte sie dachte,sie macht uns eine Freude und am Ende hat sie uns auch wirklich eine Freudegemacht Naja, das Ganze fand ja in,Hannover statt Die Waldorfschule ist ja in der Nähe des Stadtteils Waldhausenund im Stadtteil Waldhausen ist auch,das Geburtshaus eines Künstlers namens Kurt Schwitters, hast du von dem schon mal gehört?
Linus Neumann 0:12:47
Ja.
Tim Pritlove 0:12:48
Hast du.
Linus Neumann 0:12:49
Wahrscheinlich hier in der Sendung.
Tim Pritlove 0:12:51
Meinst du? Kann mir nicht vorstellen, dass ich das hier schon mal angebrachthabe. Naja, auf jeden Fall Kurt Schwitters.
Linus Neumann 0:12:57
Du kriegst den Bogen zu März, kriegst du noch, ne?
Tim Pritlove 0:12:59
Ja, ja.
Linus Neumann 0:12:59
Weil wir waren jetzt so beim Komposthaufen.
Tim Pritlove 0:13:02
Ja, ja, ja.
Linus Neumann 0:13:02
Okay, gut, ja.
Tim Pritlove 0:13:03
Ich hab da schon eine Linie irgendwie in dem Spiel.
Linus Neumann 0:13:05
Okay, warum sollen wir den Kanzler nicht mal ausführlich würdigen?Wir fangen an mit einem abgebrochenen Peugeot-Schild.
Tim Pritlove 0:13:11
Genau.
Linus Neumann 0:13:11
Schon mal so.
Tim Pritlove 0:13:12
Also Kurt Schwitters ist ein Kind Hannovers, ja?Also ist in Hannover geboren, hat dort auch gewirkt und Kurt Schwitters isthalt sehr bekannt geworden, weil er als Teil dieser Dada-Kultur des Anfangs des 20.Jahrhunderts wahrgenommen wurde und da beigetragen hat. Also er hat einfachverrücktes Zeug gemacht, das war sozusagen Kunst, die es wirklich auch ihreneigenen Humor hat, schräges Zeug gemacht hat.Und Kurt Schwitters hat sich auch mit allerlei Dingen beschäftigt und bei ihmgab es auch mal so ein Schild, was auseinandergebrochen ist.Und auf diesem stand Kommerz.Und es ist natürlich auch nach drei Buchstaben abgebrochen.Und es blieb übrig, Merz. Und Merz hat er dann beschlossen, das ist sein Wortfür die Kunst, die er macht.Und hat das dann sozusagen verwendet.Und Merz ist sein persönliches Wort für diese Dada-Bewegung.Unter dem Namen Dada gab es noch sehr viele andere Künstler,die da sozusagen verrücktes Zeug gemacht haben.Bei Kurt Schmitters war das dann halt Merz und so hat er unter anderem einenMerz Bau in seiner Wohnung gebaut, also hat er so angefangen so in seiner Wohnungso kubistische Skulpturen auszubauen, das meanderte dann,eine ganze Wohnung hindurch, so ähnlich wie das übrigens auch die,Seabase in Berlin entstanden ist, die ist ja auch mal in so einer WG,in so einem WG-Zimmer, was übrig war, entstanden, da haben sie dann angefangenda so Raumschiffzeug reinzubauen und dann war das ja quasi die Seabase,bis es dann irgendwann einfach nicht mehr in diese Wohnung gepasst hat.
Linus Neumann 0:14:57
Bis dann irgendwann einfach Kommerz wurde.
Tim Pritlove 0:15:00
Das hast du jetzt gesagt. Auf jeden Fall, Merz ist dann auch so seine Vorsilbe.Es gibt Merz-Bilder und generell ist Merz einfach so das Ding und der Merz-Bau,den hat er dann auch noch zwei, drei Mal später verwendet.Also Merz ist ein wichtiges Wort, geprägt von Kurt Schwitters Das steht auchfür den gepflegten Wahnsinn, den Dada.Und das ist die Bedeutung, von der ich möchte, dass diese Gesellschaft sie anerkenntals das, das ist das, was Merz ist.Das ist kein Kanzler. Merz ist da, da und Merz ist wichtig und Merz ist großartig.Ich empfehle sehr, falls du mal in Hannover bist, den Besuch des Kurt-Schwitters-Museums,beziehungsweise des, wie heißtdas Museum, das heißt nicht Kurt-Schwitters-Museum, sondern es heißt.
Linus Neumann 0:15:59
März-Museum?
Tim Pritlove 0:16:01
Nein, es heißt, oh Gott, jetzt bestimme ich leider.
Linus Neumann 0:16:05
Jetzt sagt nicht, das heißt nichts mit März.
Tim Pritlove 0:16:06
Naja, das ist das Sprengel-Museum mit der Sammlung Kurt-Schwitters und dortgibt es natürlich auch einen nachgebildeten März-Bau und dort kannst du auch viel lesen zu März.Kurt Schwitters ist hervorragend, Kurt Schwitters ist auch so ein bisschen derMiterfinder der modernen Typografie und der modernen Werbung,das hat er alles irgendwie gebracht und ich kann allen Leuten nur empfehlen.
Linus Neumann 0:16:27
Ja, Werbung, Mensch, das hat toll, danke, das ist ja richtig schön, Werbung, Mensch, fein.
Tim Pritlove 0:16:34
Und es gibt auch noch so ein bisschen so einen Bezug zu unserer Sendung,weil unter anderem eins seiner Werke heißt Sonate in Urlauten.Gemeinhin bekannt unter demTitel Ursonate. Und es ist so im Wesentlichen das, was der Titel so sagt.Es ist eine Sonate in Urlauten.Und sie beginnt mit Schurz.
Linus Neumann 0:17:06
Und dann die Uhrz war das, ja.
Tim Pritlove 0:17:10
Also die Uhrsonate beginnt mit Füms BWT CU Pugif Quier,Und das Fünf, das erinnert sich doch bestimmt an unser Fünf.
Linus Neumann 0:17:24
Fünf Blockchains.
Tim Pritlove 0:17:25
Von Fünf bis Fünf ist es nicht weit.Insofern Kutschwitters Ruhl in Frieden auf seinem Grab steht,man kann ja nie wissen und das ist ja auch irgendwie unser Programm.
Linus Neumann 0:17:39
Okay.
Tim Pritlove 0:17:40
So viel dazu.
Linus Neumann 0:17:42
Damit rechtfertigen wir,das Lied, was Tim gewählt hat als Outro der letzten Sendung.
Tim Pritlove 0:17:51
Genau.
Linus Neumann 0:17:52
Der Kontext zu diesem Lied war mir tatsächlich nicht bekannt.Vielleicht willst du das noch ganz kurz, wir hatten es in den Shownotes bereits verlinkt.
Tim Pritlove 0:18:00
Achso, mit dem Leck Eier. Ja, genau. Es gab ja auf so einer Demo,hat irgendjemand so ein Junge hat dann so ein Schild auf so einer Demo,so eine Anti-März-Demo,wo drauf stand irgendwie März-Leck Eier, was auch immer er da gemeint hat unddann hat aber die Polizei sichmal sofort darum gekümmert, dass so ein Schild da nichts zu suchen hat.Das sind wirklich die wichtigen Maßnahmen in Deutschland, weil kann ja nichtsein, dass da mal irgendwie der Name eines Künstlers verwendet wird,also bedeutendes Dada Künstlers,da muss dann die Polizei sofort einschreiten und naja, das Und.
Linus Neumann 0:18:38
Deswegen sagen das jetzt.
Tim Pritlove 0:18:39
Alle und es wurde dann halt auch gleich dieses krasse Lied dazu gemacht unddas hat ja wirklich Swag und insofern findet das hier als Bonustricks durchausaus seinen berechtigten Platz, finde ich.
Linus Neumann 0:18:54
Okay. Weißt du, was wegheißt?
Tim Pritlove 0:18:58
Habe ich das falsche Wort benutzt?
Linus Neumann 0:18:59
Weiß ich nicht. Warten wir mal die Kommentare ab.Ich glaube, das heißt was anderes, aber ich habe auch keine Ahnung.
Tim Pritlove 0:19:08
Wir haben ja eh keine Ahnung. Aber wir sind total hip.
Linus Neumann 0:19:14
Wir waren gestern in der Seabase und da war ein netzpolitischer Abend.
Tim Pritlove 0:19:21
Die ja so gebaut wurde wie der Märzbau, ne?
Linus Neumann 0:19:24
Ja, ja, ja Anne Roth hat da ein bisschen über den aktuellen,Stand oder das, was bekannt ist, über den Gesetzentwurf,zur Verringerung digitaler Gewalt vorgetragen wir haben einen Link zu der Aufzeichnungoder da, wo sie erscheinen wird in den Shownotes,und sie hatten vor allem davon berichtet, dass es eben,strafrechtliche.Anpassungen geben soll, also Strafbarkeitslücken werden geschlossen, die es,denke ich, ohne Zweifel gibt. Ich hatte, glaube ich,in der letzten Sendung auch davon gesprochen, dass es in dem Upskirting-Paragraf,also Upskirting ist ja auch so ein Thema,also dass das nicht konsensuelle Fotografieren bestimmter Bereiche,beispielsweise eben Upskirting, der Begriff erklärt das schon,dass es quasi nicht unter einem Straftatbestand fiel oder fällt,ein derartiges Foto ohne Konsens zu machen,weil der Gesetzestext eben auf eine Weise war, sodass dieses Verhalten nichtden Definitionstatbestand erfüllt hat.Und davon gibt es relativ viele Strafbarkeitslücke.Eine Strafbarkeitslücke ist deswegen doof, weil dann eben quasi gar keine,selbst wenn du das Verhalten nachweisen kannst, es eben straffrei ist. Man darf das.In diesem Bereich sollen da eben Anpassungen stattfinden,eine Sache, die Anne da aber betont hat war, wenn man Betroffene von,digitaler Gewalt ist, dann will man ja vor allem dass man eine Handhabe hat,dass das sofort aufhört und nicht,dass man drei Jahre später oder Monate später oder was auch immer irgendwieeventuell eine Strafanzeige erfolgreich war und in einer Strafe mündet.Sondern quasi die unmittelbare Abhilfe, dass der Angriff und das Verletzen dereigenen Rechte aufhört.Das fand ich erst mal einen wichtigen Aspekt, den sie da benannt hat.Und außerdem gibt es eben den Teil der Gesetzesänderungspläne,der sich nicht auf das Strafrecht bezieht und da kann man eben mit üblem Rechnen.Unter anderem natürlich Vorratsdatenspeicherung und anderen Dingen,die so die Idee der Zielsetzung, das Zivilverfahren vereinfachen sollen.Und da hatte ich glaube ich auch schon in der letzten Sendung ein bisschen drauf hingewiesen,da lauert erst recht der Rechtsmissbrauch im Zivilverfahren,vor allem wenn es da um Auskunftsrechte, Datenspeicherung und sonstiges geht.Man könnte sich natürlich auch Gedanken darüber machen, dass die Betreiber vonsolchen Plattformen, wo so etwas Verbreitung findet,den Betroffenen eine Möglichkeit bieten müssen, schnell dem ein Ende zu bereiten.Das wäre eine Lösung des Problems an der Wurzel,schnelles Abschalten der rechte Verletzung und ich glaube, was daran der Vorteilwäre, ist, dass halt quasi auch das Verhalten selber demotiviert wird.Also wenn ich weiß, okay, wenn ich jetzt etwas Bestimmtes tue,das ist strafbar. Ich weiß, es gibt irgendwelche Erfassungen.Und vor allem weiß ich aber, wenn ich das jetzt tue, dann wird das lange ZeitBestand haben, was auch immer ich da gerade anrichte.Dann hat das natürlich psychologisch, ist es ein anderes Gefüge,als wenn ich weiß, wenn ich das jetzt tue, ist es sowieso sofort weg.Und ich kann quasi meine, den Schaden oder die Qual oder was auch immer ichda gerade anrichten möchte, nicht,Also, for lack of a better word, lange auskosten.
Tim Pritlove 0:24:05
Ausleben.
Linus Neumann 0:24:06
Ausleben, genießen, was auch immer da das Ziel ist. Aber er ist auf jeden Fall nicht von Dauer.Und ich muss hohen Aufwand betreiben und ist immer wieder weg.Das ist natürlich stark demotivierend. Und das klingt nach einem sehr viel besserenSchutzkonzept, weil es eben auch die Betroffenen mit Handlungsoptionen versehen würde.Ich hoffe, dass ich das richtig zusammengefasst habe. Früher oder später werdenwir Anne hoffentlich zu dem Thema E hier in der Sendung haben und den Vortrag,soweit die Aufzeichnung online ist, könnt ihr euch gerne anschauen.
Tim Pritlove 0:24:44
Ja generell hat sie ja auch unterstrichen, dass es einfach sehr viel wichtigerist, hier Betroffenen aktive Hilfe beizustellen, sozusagen im Management dieserSache, als das jetzt mit irgendwelchen Paragrafen zu machen.Aber diese Flucht ins Strafgesetzbuch, das ist halt einfach erkauft,also es kostet nicht viel ein Gesetz zu machen, aber es kostet halt viel wirklicheHilfe zu orchestrieren,da Strukturen zu schaffen, die also wirklich unterstützend greifen können unddas dann auch finanziert zu bekommen.Und deswegen ist es eigentlich auch immer so ein bisschen so eine faule Antwort mit,ja, ach, jetzt ist mal was passiert, wo alle drauf schauen, dann lassen wirdoch mal ein Gesetz und dann ist das Thema schon irgendwie durch,aber das hat dann halt einfach nicht wirklich einen helfenden Charakter fürdas eigentliche Problem.
Linus Neumann 0:25:37
Ähnliche Aussagen trifft die Isar Schaller von der Initiative Ein Team gegendigitale Gewalt im Interview mit Netzpolitik.org.Die schildert jetzt, also die setzt sich spezifisch in Frauenhäusern mit demThema auseinander und da sind eben vor allem Bluetooth-Tracker oder gemeinsameCloud-Konten mit Ortungsfunktionen,Kinderschutzfunktionen auf Geräten,etwas, was häufig in dem Kontext missbraucht wird.Ja, auch sind da sehr viele Kinder, wo dann die Täter Schul-Ipads,Smartwatches und ähnliche Dinge verwenden.Es gibt hier ein strukturelles Problem, was da dargestellt wird,dass häufiger mal der Partner,der Partnerin das Gerät einrichtet als umgekehrt, was eben auch hier das...Machtgefälle und die Möglichkeiten, derartiges zu tun, entsprechend verteiltund sagen, ja, auch hier fehlen die Ressourcen,ist ein erheblicher Mehraufwand in der Beratung,technische, pädagogische, rechtliche Kompetenzen sind da erforderlich und dasüberfordert halt viele.Es gibt, kann ich an der Stelle mal darauf hinweisen, von den Hexen,also dem virtuellen Flinta-Airfahrt im CCC.Virtuell, weil er eben nicht an einen Ort gebunden ist, sondern da versammelnsich eben die Hexen im CCC und tauschen sich aus. Sie haben eine ganz gute Online-Ressourcegeschaffen, antistalking.hexen.org, Hexen mit AE.Und ein bisschen über, ich sag mal, digitale Selbstverteidigung und so Inhalte,Schulungsmaterialien, Beratung und so weiter, Ressourcen zur Verfügung stellen.Aber die Forderung von Isa Schaller ist, und klar, die Hersteller müssen stärkerin die Verantwortung genommen werden, bessere Warnsysteme gegen beispielsweise Bluetooth-Tracker.Wenn du jetzt irgendwelche Smart Home-Geräte und Location-Freigaben hast,dass das quasi das Gerät dir das sagt und einfach mehr...Den Nutzenden in die Hand gibt.Weil wenn Betroffene aus dem Digitalen gedrängt werden und sagen,ich traue mich jetzt nicht, mein Gerät zu verwenden oder so,das ist mitunter ja, also das kann man ja nicht erwarten.Also ist das okay. Ja, tut mir leid, du hast heute einen digitalen Stalker.Der kontrolliert alle deine Cloud-Konten und so. Und ja, musst du dich haltim Café treffen mit den Leuten und über die Telefonzelle vom Frauenhaus versuchen zu kommunizieren.Und das ist ja das, wohin dann Menschen flüchten, die von so etwas betroffen sind.Ja, also ich finde das sehr positiv, dass diese Stimmen jetzt eben auch in der Breite gehört werden,Plattformen geboten bekommen.Und hoffe, dass da auch etwas Positives dann bei rauskommt.Ja, wir haben auch darüber berichtet, dass ja die Chat-Kontrolle,also die freiwillige Chat-Kontrolle, die Erlaubnis, dass Anbieter Inhalte scannendürfen, ausgelaufen ist.Und das ist auch irgendwie echt absurd. Sie haben es ja dann nicht akzeptiert.Abstimmung nochmal, ist auch wieder gescheitert.Also hört sich das jetzt auf. Und dann, diese Ausnahme gibt es dann nicht mehr. Und jetzt haben am 4.April Google, Meta, Microsoft und Snap so gesagt, ja,während ihr jetzt da eure unmittelbare Interim-Lösung diskutiert,werden wir weiter alles tun.Und zum Beispiel and we'll continue to take voluntary action on our relevantinterpersonal communication services was bedeutet das was jetzt wieder verbotenist machen wir einfach weiter.
Tim Pritlove 0:30:31
Das ist geil.
Linus Neumann 0:30:32
Das ist schon.
Tim Pritlove 0:30:35
Die Frage ist kann Ihnen das jetzt noch verboten werden.
Linus Neumann 0:30:39
Naja ähm,Keine Ahnung, ich finde es auf jeden Fall immer wieder wirklich überraschend,wie sehr die, also welchen Blick so die auf Gesetze haben und rechtsraben,dass sie sagen so, ja, ja, während ihr das mal auskäst,während diese, was sind das, 27 Mitgliedstaaten auskäsen, uns wieder zu erlauben,dass wir die Inhalte scannen, machen wir einfach mal so lange weiter.Wollen wir jetzt mal hier nicht verrückt werden, nur weil sich der Gesetzrahmen geändert hat.Da sind wir uns ja einig, dass der sich in unserem Sinne weiterentwickeln wird.
Tim Pritlove 0:31:28
Sie bezeichnen das ja als European Union in Action. So nach dem Motto, ihr tut ja nix.Völlig egal, so Rechtsrahmen.
Linus Neumann 0:31:40
Also in Action. Also nicht in action, sondern in action. Untätigkeit.
Tim Pritlove 0:31:45
Also sie werfen sozusagen der Europäischen Union Untätigkeit vor und weil ihrja nichts macht, machen wir halt, weil irgendjemand muss ja was machen.So, Rechtsrahmen ist uns egal, haben wir uns eh jetzt noch nie wirklich um großgekümmert, von daher machen wir einfach weiter und dann werden wir schon mal sehen, was kommt.Theoretisch müsste halt jetzt die EU das Verhalten dann entsprechend sanktionieren.
Linus Neumann 0:32:12
Genau. Ich bin mir nicht ganz sicher, ob die da wirklich sagen,ey, wir wollen unbedingt weiter Inhalte scannen.Oder ob die vielleicht sagen, naja, okay, der Rechtsrahmen hat sich geändert,wir müssen das jetzt ausschalten.Was kostet das, das alles wieder rauszupatchen? naja, das ist schon viel Arbeit,habe ich eigentlich keinen Bock jetzt.Und naja, in drei Wochen haben die sich eh ausgecast, dann können wir es wieder anmachen.Wie erklären wir es jetzt? Ja, lass uns einfach sagen, dass wir trotz der gesetzgeberischenUntätigkeit weiter die Kinder schützen. Dann machen wir eine schöne PM.Jawohl, alles klar, dann kann ich jetzt Feierabend machen und muss hier nichtden Quatsch rauspatchen.
Tim Pritlove 0:32:58
Also man muss natürlich dazu sagen, dass jetzt diese Dienste,die jetzt hier in Diskussion sind, also Google, Meta, Microsoft und Snap.
Linus Neumann 0:33:05
Die sind nicht dafür bekannt, dass sie besonders viel dagegen erfolgreich tun.
Tim Pritlove 0:33:10
Einerseits, andererseits sind sie jetzt auch nicht unbedingt dafür bekannt,jetzt hier von Diensten zu sprechen, die so Ende zu Ende verschlüsselt sind.
Linus Neumann 0:33:19
Natürlich, also es geht ja auch um die Ausnahme, also die inzwischen sogenannteChat-Kontrolle 1.0, dass frei, dass sie überhaupt dürfen.Es war so, der ursprüngliche Rechtsrahmen ist und der jetzt auch wieder gültigeRechtsrahmen ist, die haben nicht in die Inhalte zu gucken. Punkt.Dann gab es die Ausnahme, die immer verlängert werden musste,in deren,Von dieser Ausnahme gedeckt haben sie dann eben angefangen zu scannen,aber ja, wie du schon sagst, zentral an den Kommunikationsknotenpunkten aufin der Regel eben nicht Ende-zu-Ende verschlüsselten Inhalten, ja, absolut.Aber trotzdem, das dürfen die nicht.Wir haben Gesetze.This isn't a name, Donny. There are rules.
Tim Pritlove 0:34:24
Ich kann nicht zu jeder Sendung so ein Lebowski-Bild machen.
Linus Neumann 0:34:32
So, Satoshi Nakamoto. Es wurde mal wieder Satoshi Nakamoto enttarnt.
Tim Pritlove 0:34:38
Ja. Wer ist denn das, fragen sich jetzt alle.
Linus Neumann 0:34:44
Satoshi Nakamoto ist das Pseudonym des Autors,des White Papers, in dem das Währungskonzept Bitcoin postuliert wird.Also mithin,der Erfinder und,Von Bitcoin. Oder die Autoren.
Tim Pritlove 0:35:11
Genau, man weiß nicht, ob es eine Person oder mehrere sind, ist alles unklar.
Linus Neumann 0:35:16
Das ist, und unter diesem Namen wurde dieses Paper veröffentlicht und die unterdem Namen haben, also dieses Pseudonym wurde eben auch von,wurde auch in Online-Diskussionen und so im Weiteren auch verwendet.Also es gibt Äußerungen und Diskussionsbeiträge von Satoshi Nakamoto und seitjeher wildes Rätsel raten, wer denn diese Person ist,weil erstens das ja dann doch eine Erfindung von weitreichender Konsequenz war,technische Innovation für,die ja jetzt wirklich Milliarden Märkte eröffnet hat, geschaffen hat,bis hin zu Impfpässen, die man mit fünf Blockchains absichern muss.Also das ist so wirklich, das war eine weit, eine consequential Erfindung.Und unter anderem hat Satoshi Nakamoto eine relativ große Menge Bitcoins zu Beginn geschürft.Und das ist quasi der Anfang oder am Anfang der Bitcoin-Blockchain gibt es ebenein Wallet, was relativ viele Bitcoins hat und das ist offenbar das oder offensichtlichdas von Satoshi Nakamoto und.Dieses Wallet hat bisher nie irgendwelche Funds bewegt oder so.Es hat aber einen relativ hohen Wert. Ich glaube, in dem Times-Artikel jetztsteht 118 Milliarden US-Dollar oder so.Also angenommen, wenn man das Geld ausgeben würde, würde es nicht sofort der Bitcoin.Aber das wäre jetzt der Face-Value ungefähr.Das heißt, es ist ein Mensch oder eine Gruppe mit relativ großen Ressourcen.Und das weckt natürlich allerhand Begehrlichkeiten. Ja, Gelüste,diese Person, ja ähnlich wie jetzt bei Banksy oder so, wird ja auch immer wieder,wir haben ja jetzt Banksy, meine Güte, lass den Arm, Mann doch mal in Ruhe, oder Frau, oder genau.Warum ist das bei uns erwähnenswert?Weil, also der Artikel ist wirklich enorm interessant, ist auch in den Show Notes verlinkt.Und der Autor schildert da seine Recherche und seine Indizien,wie er jetzt irgendwie auf den Adam Beck kommt.Und das hat er gemacht, auch unter Zuhilfenahme von AI.Und Satoshi Nakamoto ist auf jeden Fall,wer ein dezentrales, quasi anonymes Zahlungssystem erfindet,unter kluger, neuartiger Anwendung von Kryptografie oder neuer Kombination derAnwendungen von Kryptografie, Das ist jemand,der oder die oder eine Gruppe, die sich auf jeden Fall sehr mit ...Mit Anonymität, Privatsphäre und eben auch mit Finanzsystemen auseinandergesetzthat und eine Expertise in diesem Fachbereich hat,die natürlich ziemlich gut sein muss und entsprechend hat sich Satoshi Nakamoto eben auch sehr gut,das wird auf jeden Fall jemand sein, der oder die weiß, wie man sich anonym halten kann.Und ja, was hat jetzt dieser Autor des New York Times Artikels gemacht?Also Cypherpunk-Mailing-Liste gelesen. Also das ist so die...Ja Tim, das kannst du besser erklären. Was sind die Cypherpunks?
Tim Pritlove 0:39:11
Und die Cypherpunks, das ist so eine frühe Hackergruppe, die sich so in den Ende der...80er, Anfang der 90er Jahre glaube ich so im Wesentlichen gegründet hat,das waren halt einfach irgendwelche Freaks,die generell sich für Kryptografie interessiert haben und dieses Feld einfachbeforscht haben, einfach so Hacker gestalten, die da einfach teilweise aus so libertären Gedanken,teilweise aus so rein Privatsphäre Gedanken und so weiter mit Kryptografie beschäftigt haben.Und das sagen wir mal so auch mental in etwa so diese Ursuppe,wo ich auch so diese Bitcoin-Community, zumindest aus der Zeit,bevor sie dann von diesen ganzen Glücksrittern dann auch überlaufen wurde, verorte.Genau. Cypherpunks war immer ganz lustig, weil lange, lange Zeit konnte man immer super,cypherpunks.org war immer so bei allen öffentlichen, du musst hier deine E-Mail-Adresseeingeben, um irgendwie Internet zu bekommen, Portalen, war das immer so der Default-Login.Also man hat immer so cypherpunks.org und Passwort irgendwie,cypherpunks oder cypherpunks nochmal die E-Mail-Adresse reingegeben und dannhat man immer so, Und kam wirklich erstaunlich oft überall rein,weil das natürlich alle überall immer repliziert haben.Funktioniert mittlerweile nicht mehr so gut, aber war eine Zeit lang echt eine gute Quelle für Netz.
Linus Neumann 0:40:43
Die haben dann, also geht zurück auf John Gilmore, den habe ich beim Camp.
Tim Pritlove 0:40:48
Ja, der war beim ersten Camp und ich glaube auch beim zweiten Camp war der auch noch dabei.
Linus Neumann 0:40:52
Ja, der war, der muss auch beim, Moment, wann war das denn? Das war das.
Tim Pritlove 0:40:58
Das erste Camp war 99.
Linus Neumann 0:41:00
Nee, der war ich nicht, dieser Flughafen...Wo diese Flugzeuge rumstanden?
Tim Pritlove 0:41:07
Finofort.
Linus Neumann 0:41:08
Finofort, ja, da habe ich den glaube ich auch getroffen.
Tim Pritlove 0:41:11
Ah, da war er da auch noch dabei, ja genau. Das ist so einer,der auch EFF mitgegründet hat und ja, genau.Die Mailing-Liste glaube ich gestartet hat.
Linus Neumann 0:41:20
Genau, die 1992, ja, also die viel über,PGP-Diskussionen, so dieser ganze,dieser ganze Kontext. Cypherpunks Manifesto 1993.Privacy is necessary for an open society in the electronic age.We cannot expect governments, corporations or other large faceless organizations to grant us privacy.We must defend our own privacy if we expect to have any.We know that somebody has to writesoftware to defend privacy and we're going to write it yeah this is a,Und ich denke, eine relativ einflussreiche Gruppe und auch Philosophie,die daraus entsprungen ist.So, jetzt gibt es also diesen New York Times Autor, der anfängt zu analysierenunter Zuhilfenahme von künstlicher Intelligenz und findet dann eben,also er hat eine Anfangshypothese, dass der Adam Beck diese Person sein könnteund recherchiert dann, was der so geäußert hat.Und jetzt skizziert die irgendwie Ende der 90er Jahre schon nahezu alle Kernkonzepte,die halt am Ende in Bitcoin zusammengeführt wurden.Dezentrales Cash, am Ende, dass es limitiert sein muss, Lösungen für das DoubleSpending, Problem, unveränderliche Zeitstempel, Hash-Trees.Ich will da jetzt gar nicht so in das,Detail gehen, was Bitcoin ausmacht. Das haben wir in einer anderen Sendung,glaube ich, relativ ausführlich erklärt.Und hat 1998.Vorgeschlagen, zwei andere Konzepte zu kombinieren, was dann eben Satoshi Nakamotoin dem Paper auch getan hat.Und er hat ähnliche Argumentationen wie Satoshi Nakamoto vorher schon vorgetragen.Jetzt haben die mit einer KI 34.000 Autoren analysiert,mit so einer Computational-Analyse über Stilmerkmale in der Kommunikation,also quasi nach bestimmten Auffälligkeiten in Satoshi Nakamoto's Art, sich auszudrücken,Orthographie und sonstigen in 34.000 Autorinnen auf Mailinglisten und so weiter.Am Ende blieb nur er über.67 identische Bindestrich-Fehler, also dass bestimmte Dinge getrennt mit Bindestrichoder ohne geschrieben werden, das war halt eine besondere Auffälligkeit.Der Zweitplatzierte allein in der Analyse hat nur 38 Übereinstimmungen mit Satoshi Nakamoto.Spezialbegriffe, Partial, Pre-Image, Burning the Money, Proof of Work,die auch nur er und Satoshi Nakamoto so schreiben.Gleichermaßen Inkonsistenzen, E-Mail mal mit Binnenstrich mal ohne,Check mal mit Q mal mit CK und so weiter.Und dann aber auch Verhaltensauffälligkeiten, wie das auf einer Kryptografieliste,auf der sehr viel mit Satoshi Nakamoto diskutiert wurde.Da war er genau zu der Zeit, war er halt still.Und nachdem dann...Satoshis Coinstack publik gemacht wurde, war er dann auf einmal im Bitcoin-Talkund hat gesagt, ja, man sollte irgendwann mal aufhören, diesen Mann nachzustellen.
Tim Pritlove 0:45:23
Leave Satoshi alone.
Linus Neumann 0:45:26
Leave Satoshi alone, hat aber gleichzeitig, dann gab es irgendwie so Situationen,dass es dann irgendwann ernsthafte,Diskussionen, ich glaube um die Blockgrößen oder sowas gab, ja,in diesem ganzen Bitcoin-Universum, hat er dann vehement etwas verfochten undals es dann drohte zu kippen, meldete sich auf einmal Satoshi Nakamoto mit genau seiner Argumentation.Aber das Interessante an, also wenn man das jetzt so liest, ist es schon wirklicheine sehr auffällige Häufung von,Zufällen. Indizien, die vermutet werden oder Analysen, die durchgeführt werden,die dann genau diese Person zum Ergebnis haben und die auch,wenn man, so sag ich mal, methodisch dann schlüssig sind, wenn du mit 34.000Leuten anfängst und du narrerst das runter auf genau eine Person,das klingt erstmal schlüssig, jetzt könnte es aber natürlich auch sein,dass es noch sehr viel weitere inhaltliche, orthografische Auffälligkeiten undBesonderheiten gibt und wenn du nach denen geprüft hättest, wärst du zu einemanderen Ergebnis gekommen oder so.Das muss man immer nochmal die Methode in.Ja, sagen wir mal, in Frage stellen und insbesondere, das ist halt vor allemeben mit AI durchgeführt worden.Und eine der, sagen wir mal, spannenden Lehren könnte sein, dass, wenn es stimmt,Adam Beck sagt, stimmt nicht, dass hier einer der auf jeden Fall erkennbar ausgewiesenstenPrivacy-Experten am Ende mit dieser Analyse und Zusammenhangs finde Technologie AI ja,wie soll man das sagen, die Klette gemacht hat.
Tim Pritlove 0:47:19
Aufgespürt wurde, ja.
Linus Neumann 0:47:20
Ja, hieß doch Daniela Klette, die dann da irgendwie die Raft-Terroristin.Werden jetzt alle am Ende mit AI überführt,ja liest sich auf jeden Fall spannend und gibt es halt dann irgendwie am Endealso er leugnet das nach wie vor hat aber jetzt auch keine besonders guten Argumentevorbringen können und ja dann schildert der Autor noch so ein bisschen ja er hat dann,also der Autor konfrontiert ihn mit einem Zitat von Satoshi Nakamoto und der Adam Beck sagt,ja, ja, das habe ich aber, das habe ich so und so gemeint.Und das sagt er dann, ja, Mensch, hat er sich doch jetzt hier verraten oder so.Naja.
Tim Pritlove 0:48:07
Ist ja eigentlich am Ende auch egal.
Linus Neumann 0:48:10
Es ist völlig egal, aber ich finde es wirklich, die Methode oder die Erkenntnis,wenn das jetzt am Ende stimmen sollte,dann wäre es auf jeden Fall natürlich auch eine weitere Demonstration,der Möglichkeiten, der Datenauswertungsmöglichkeiten dieser neuen Technologien.Zusammenhänge in Massen von Daten finden kannst, die unstrukturiert vorliegenund die trotzdem damit analysieren kannst.Es könnte aber auch einfach am Ende als eine der fatalsten AI-Halluzinationen,in die Geschichte eingehen, an der am Ende Adam Beck irgendwie um drei Fingerärmer ist, weil irgendwelche,durchgeknallten Kriminellen ihn um seine Bitcoins bringen wollten,weil natürlich musst du bei einer derartigen Menge,Bitcoins, wenn bekannt ist, dass du über die verfügst,sehr fürchten um deine persönliche Sicherheit.Und zwar anders, als du das bei Geld tun müsstest, was du schön in Unternehmeninvestierst und sonst was.
Tim Pritlove 0:49:32
Wie viel ist da drauf auf der Wallet? Nach heutigem Geld?
Linus Neumann 0:49:39
Also auf jeden Fall Milliarden. Bitcoin ist jetzt auch gerade wieder ein bisschen runtergegangen.Ein bisschen. Ja.1,1 Millionen Bitcoin.
Tim Pritlove 0:49:54
Und wo ist der Preis gerade? Ich weiß es nicht.
Linus Neumann 0:49:57
Es ist eigentlich völlig egal, solange er über 10 Dollar ist, ist es relativ viel.1,1 Millionen BTC in Euro.Ein Bitcoin sind 61.221 Euro aktuell.Das heißt, wir hätten hier, warte mal, ich muss mal gucken, 1000 Millionen,67 Milliarden wären das dann jetzt.
Tim Pritlove 0:50:24
Das ist ja Euro. Kommt der Mensch überhaupt noch dazu, sich was zu essen zu kaufen?
Linus Neumann 0:50:33
Naja, er hat ja offenbar keine Satoshis für gebraucht, ja bisher.Satoshis sind die kleinsten, sind gewisse Urteile von einem Bitcoin.Ist es die kleinste? Nee.
Tim Pritlove 0:50:48
Kann man nicht kleiner machen es gibt keine halben Satoshis wir machen hier keine halben Satoshis.
Linus Neumann 0:50:56
Bist du sicher, dass man nicht einfach trotzdem machen könnte?Ist das Feld nur so und so viel Byte oder was?
Tim Pritlove 0:51:03
Das ist halt einfach die kleinste Einheit,Da ist dann halt Schluss. Da habe ich jetzt schon genug Quizze mit gewonnen.Also diese 67 Milliarden würde er natürlich jetzt nicht bekommen,wenn diese Menge in den Apparat zum Umtausch hineingegeben würde,weil das Geld würde ja dann dazu führen, dass dann alles zusammenbricht.Aber nichtsdestotrotz ist das auf jeden Fall eine ordentliche Reserve,falls man mal auf irgendwas zurückgreifen muss.Warum dieses Geld nie angetastet wurde, nobody knows.Offensichtlich ist es wertvoller, in der Anonymität zu bleiben,als davon zu profitieren.
Linus Neumann 0:51:56
Also wenn du weniger als ein Satoshi ausgeben willst, musst du das über Lightningmachen, da kannst du Milli-Satoshis ausgeben.Aber in der richtigen schönen Bitcoin-Blockchain ist Freve nicht möglich.
Tim Pritlove 0:52:14
Ich denke, wenn der Typ das wirklich ist, der ist ja auch noch in dem Krypto-Businessunterwegs, er hat da wahrscheinlich noch genug andere Bitcoins und von daher,ich meine, wenn er jetzt wirklich mal ein Bitcoin ausgeben würde,angenommen, das würde jetzt passieren, ja, das Wallet.
Linus Neumann 0:52:31
Zum Beispiel, um sich gegen die New York Times zu wehren.Ich kaufe euren Scheißladen.
Tim Pritlove 0:52:39
Wenn da irgendwie Bewegung ist, das würde ja Schockwellen aussenden in diesem System.Naja, egal, müssen wir uns da nicht drum kümmern.Lass mal lieber über KI reden. da gibt es ja genug zu reden, denn ja, es gibt eine,es gibt ja am laufenden Meter neue Ankündigungen von neuen Modellen.Also das nimmt ja überhaupt gar kein Ende.Jeder hat wieder irgendeine neue Version und jedes Modell, was vorgestellt wird,ist immer das Geilste, was es je gab und noch toller und sowohl intelligentund alle Benchmarks explodieren.
Linus Neumann 0:53:20
Wie beim iPhone.
Tim Pritlove 0:53:20
Wie beim iPhone und,Anthropic als einer der ich würde mal sagen, einer der wie viele große Player haben wir? Drei?Ich würde mal sagen, drei.
Linus Neumann 0:53:38
Marktanteilsmäßig ist Anthropic irre klein.
Tim Pritlove 0:53:41
Ja, aber es ist vollkommen unbestritten, dass die Teil der Avantgarde der KI-Modelle sind.
Linus Neumann 0:53:50
Ja, also Marktanteil klein, aber wenn man jetzt sagen würde,Google, Gemini, OpenAI mit ChatGPT und dann… Genau.
Tim Pritlove 0:53:59
Die drei würde ich sagen sind so in der Pole Position.Man kann da jetzt drüber diskutieren, ob da noch einer mit rein muss oder wasjetzt alles die zweite Reihe ausmacht.Ist jetzt auch erstmal eigentlich egal. Wir haben Anthropic hier schon mehrfach erwähnt.Unter anderem, weil sie auch immer sehr schöne Erläuterungen bringen,wenn sie mal was Neues herausgefunden haben und auch diese Security-Abschätzungen machen etc.Naja, jetzt ist es auf jeden Fall wieder soweit und sie haben ein neues Modellangekündigt unter dem schönen Namen Mythos und auch hier handelt es sich umein sogenanntes General Purpose Modell, also was quasi so für alles möglicheherangezogen werden kann.Aber sie meinen festgestellt zu haben,dass es extrem fähig ist im Bereich der Computer Security Aufgaben und in demZusammenhang haben sie dieses Modell auch mal dafür benutzt,um solche Fehler in kritischer Software zu finden, also in Software,die weltweit viel zur Anwendung kommt und meint dort einiges gefunden zu habenund kündigt halt an, dass das so earth shattering sei,dass sie also der Industrie jetzt quasi auch ein bisschen Vorlaufzeit gibt,auch eng da schon mit bestimmten Unternehmen zusammenarbeitet in einem Projekt namens Glaswing.Und das Ziel dieser Veröffentlichung jetzt ist auch hier zu sagen,Leute, unsere Modelle werden jetzt super intelligent, es muss etwas geschehenund zwar müsst ihr die Art und Weise, wie ihr mit Sicherheit umgeht,ändern, weil sonst seid ihr zukünftig potenziellen Angreifern ausgeliefert.Das Ganze sei also ein Wendepunkt im Punkto Security.
Linus Neumann 0:55:58
Weil du dich gerade leicht missverständlich ausgedrückt hast.Das Modell selber wird noch nicht mal veröffentlicht.Die Veröffentlichung ist jetzt nur ihre Ergebnisse mit diesem Modell und dieKonsequenz aus diesen Ergebnissen ist, das geben wir jetzt nicht der Öffentlichkeit.Wir veröffentlichen diese Ergebnisse, wir gehen in die direkte Zusammenarbeitmit der Industry von Microsoft über, hast du nicht gesehen,und das geben wir jetzt erstmal nicht in die Hände der Öffentlichkeit,das halten wir zurück, weil die Welt dafür noch nicht bereit ist.
Tim Pritlove 0:56:38
Genau, also sie werden es irgendwann veröffentlichen, nur haben sie es jetztzu diesem Zeitpunkt noch nicht veröffentlicht, sondern reden jetzt erstmal darüberund stellen auch so ein bisschen vor, was sie jetzt getan haben und meinen,dass sie also eine Menge Sicherheitslücken gefunden haben,von denen 99 Prozent, von denen die sie gefunden haben und dokumentiert haben,derzeit einfach noch nicht gefixt sind.Ein Prozent sei aber schon gefixt und darüber können Sie auch reden und dastun Sie dann auch sehr ausführlich und Sie meinen halt, Sie hätten sogenannte Zero-Day-Lücken,also bisher unbekannte Sicherheitslücken in allen wichtigen Betriebssystemengefunden und in jedem relevanten Webbrowser, der derzeit im Einsatz ist.Also sprich in Chrome, in Safari und so weiter, wie sie alle heißen.Viele dieser Fehler, die sie gefunden haben, existieren teilweise seit 10 oder20 Jahren, in einem Fall sogar seit 27 Jahren in einem Betriebssystem.Das haben sie auch benannt, nämlich OpenBSD.Was lustig ist, weil ja OpenBSD immer so, also sozusagen ja das Betriebssystemist, was immer so Security sich auf die Fahnen geschrieben hat,ja, zu Recht auch, ja, da kam ja auch SSH und solche Entwicklungen,das kommt halt alles von da, ne.Genau. Und das Interessante ist,dass also dieses Mythos-Modell jetzt nicht einfach nur so alles auf alles draufhautund dann irgendwelche Fehler dabei gefunden hat, wie man das ja so generellauch aus der Security kennt,sondern also richtig Verkettung von Fehlern,Ausnutzung da zusammengebaut hat und gezielte Strategien entwickelt hat,um also diesen Lücken da auf die Spuren zu kommen.Genau, also das geht dann also richtig weit.Sie finden da nicht nur Sicherheitslücken, sondern sie bauen dann auch gleichrichtige Exploits, um das also auch gleich auszunutzen.Und das Besondere an diesem Mythos-Modell ist, dass das eben jetzt so eine neueFunktionalität ist, die sie entdeckt haben in dem Modell,was zum Beispiel in dem zuletzt und vor allem auch erst vor kurzem veröffentlichtenOpus 4.6 Modell so bestenfalls ansatzweise nur drin war.Also eine ähnliche Funktionalität haben sie so nur in 1% der Fälle gefundenund bei dem Mythos-Modell irgendwie in 72% der Fälle.Ja genau und das heißt es handelt sich hier um eine emergente Fähigkeit.Also sie haben jetzt dieses Modell nicht speziell daraufhin trainiert,sondern sie haben einfach nur die nächste Variante ihres Modells entwickeltund festgestellt so, oh holla das ist jetzt so intelligent, das kann jetzt auch das machen.Und das hat halt große Implikationen.Deswegen haben sie jetzt dieses Projekt gestartet, um Unternehmen jetzt auchVorlaufzeit zu geben, da was zu machen.Und zwar nicht nur, um jetzt gezielt einzelne Lücken zu finden,sondern um vielleicht auch generell ihre Strategie umzustellen.
Linus Neumann 0:59:43
Also wir müssen, glaube ich, zur Bewertung noch ein bisschen mehr dazu sagen,was war wirklich das Setup, was die hier gemacht haben. Und zwar haben wir dasDing halt Code lesen lassen.Ja, das ist schon nochmal ein sehr entscheidender Aspekt.Du hast ja gerade gesagt, wie das sonst in der Security üblich ist,einfach überall drauf zu kloppen.Ja, wir rüben uns ja auch teilweise des planvollen Handelns,aber hier ist eine spezifische Form der Security-Analyse zur Anwendung gekommenund das ist im Prinzip das Lesen von Quellcode.Keine, und nochmal, wenn du in OpenBSD, und zwar in der TCP Implementierungvon OpenBSD, also das TCP aus TCP IP,das Transmission Control Protocol.Wo das im Prinzip für so Sachen auch da ist, dass du quasi die Sequenznummernvon Paketen zählst und Bescheid sagst, hier hat eins gefehlt.Und da gab es dann einen Update am TCP.Du kriegst zehn sequenzielle TCP-Pakete und das fünfte wurde unterwegs verschluckt.Wenn du jetzt dann in der ursprünglichen Variante von TCP hättest du gesagt,ich brauche nochmal alles ab 5 Uhr.Weil du eben nur sagen konntest, das habe ich nicht bekommen.Und dann gab es ein Update von TCP, wo man gesagt hat, wir führen jetzt ein,das selektive Act oder nicht Act, dass du sagst, übrigens mir hat die 5 gefehlt.Und dann kriegst du nur die 5 nochmal und nicht alles ab der 5 nochmal.Dass also die Effizienz von TCP sehr stark optimiert hat.Und in dieser Implementierung haben die Leute bei OpenBSD vor 27 Jahren einen Fehler gemacht.
Tim Pritlove 1:01:46
Keiner hat es gemerkt.
Linus Neumann 1:01:48
Und Keiner hat es gemerkt, ja. Lange gut gegangen.Und das ist der andere Aspekt, der sich jetzt hier bei dieser Forschung zeigt.Sie haben einen Fehler in der Speicherverwaltung gemacht.Ich will das, ich sage es schon vorher, ich erkläre das jetzt sehr,sehr, sehr high level, weil das sonst einfach zu kompliziert wird.In Programmiersprachen wird Speicher verwaltet. Computer hat Arbeitsspeicher.Und wenn er sagt, ich speichere, ich muss mir jetzt etwas merken,dann muss das Programm ja selber zum Beispiel wissen, wo es sich was gemerkt hat.Oder auch wie viel Speicher es reserviert, um da etwas reinzuschreiben.Und sehr klassische Fehler in Programmiersprachen, insbesondere wie C,entstehen dadurch, dass du entweder...Oder dass du Fehler in der Speicherverwaltung machst, beispielsweise zu wenigSpeicher reservierst und dann darüber hinweg schreibst, was eben in dieser Sprache möglich ist.Du sagst, ich bräuchte mal bitte, reserviere mir mal bitte Platz für 10 Byteund dann schreibst du aber 11 hin.Dann schreibst du das 11. Byte in irgendeinen anderen Speicherbereich,den du potenziell an anderer Stelle ausliest. Ja, weil du an dem Punkt eigentlichetwas anderes erwartest.Also Fehler dabei oder du sagst, ich brauche diesen Speicher nicht mehr,ich brauche das nicht mehr, ich überschreibe das jetzt, ich gebe das jetzt frei,da kann das Programm jetzt andere Dinge hinschreiben und dann liest du aber nochmal an der Stelle.Weil du sagst, quasi der Programmfluss dich in seiner Komplexität überforderthat, sodass du irgendwann etwas liest, obwohl das Programm das quasi schon wieder gesagt hat,diesen Speicherding, da dürfen jetzt andere hinschreiben.Und dadurch so etwas passieren dann so Sachen wie Hardbleed,war auch so ein klassischer Speicherverwaltungsfehler, wo du Sachen gelesenhast oder ausgeben konntest, die halt schon wieder freigegeben,also quasi free waren und so weiter und so fort.Und diese spezifische Art von Fehler ist leicht zu machen und teilweise auch leicht zu finden.Es sei denn, die Bedingungen und die Verästelung im Code,um an diese Stelle zu kommen, dass du dort diesen Speicher, dass der sich nichtso verhält, wie du als programmierende Person unter allen Bedingungen,in denen sich das Betriebszustände, in denen sich das Programm befinden kann, ausgegangen bist.Und dass du immer denkst, okay,es kann nur so groß sein, ich reserviere jetzt hier so viel Sprecher.Diese Art von Fehler zu finden und zu vermeiden, ist eine sehr häufige Tätigkeit des Code Audits,wo also jemand oder ein Programm oder ein Mensch den Code liest und guckt,ob alle Annahmen, die zu einem gewissen Zeitpunkt über den Speicherzustand,seine Reservierungen, seine Größen usw.Getroffen wurden, auch zu jedem Zeitpunkt noch gelten.Und diese spezifische Fähigkeit haben Sie jetzt hier geprüft mit eben sehr beeindruckenden Ergebnissen.Und was ich glaube, was an den Ergebnissen beeindruckend ist,ist A, wenn 27 Jahre lang diesen Fehler in der Speicherverwaltung niemand gefunden hat.Heißt das nicht, dass 27 Jahre lang Menschen danach gesucht haben,aber es heißt auf jeden Fall, dass er nicht besonders trivial zu finden war.Weil wenn er trivial zu finden gewesen wäre, hätte ihn zwischendurch irgendwann mal jemand gefunden.Ähnlich ist es mit diesen ganzen Browser-Geschichten. Browser sind inzwischenso unglaublich komplexe.
Tim Pritlove 1:06:32
Betriebssysteme eigentlich schon.
Linus Neumann 1:06:34
Ja, eigentlich Betriebssysteme. Die haben so viele Funktionen,Sprachen, die sie interpretieren müssen, dass es jetzt nicht überraschend ist,dass du dort derartige Fehler findest.Nur, dass sie dann auch noch ausnutzen kannst. Was du sehr häufig.Oder was du recht einfach findest, ist, dass du sagst, pass mal auf, hier wird,Speicher schlecht verwaltet. Oder hier wird unvorsichtig irgendwo hingeschriebenund nicht sauber sichergestellt, dass man genug Speicher reserviert hat.Wenn du eine solche Stelle im Code findest, heißt das noch lange nicht,dass du auch einen Pfad unter Realwertbedingungen durch den Code findest,um an einen Zustand zu kommen, dass du mit deinem Wert, der da nicht hingehört,an diese Stelle kommst, dass du hier tatsächlich eine Speicherverletzung begehen kannst.Das ist dieser andere Teil, den du gerade nanntest, das ist das Ding nämlichim Vergleich zu Opus, Opus hat in 1% der Fälle gesagt, hier pass auf,so kannst du, das musst du mit dem Programm machen,damit du diesen Fehler in der Speicherverwaltung auch tatsächlich ausnutzen kannst.Ja, hier sind die 180 Bedingungen und Edge-Cases und so weiter,damit du hier, da und noch dazu erfolgreich das Programm dann in seiner Integrität manipulierst, ja.Das ist die andere Kunst, die ist, ähm...Also wenn du erstmal die Schwachstelle hast, ist es natürlich ungleich einfacher, dich dahin zu hangeln,insbesondere für ein LLM, aber es zeugt eben bei, wenn die Schwachstelle oderdieser Fehler in der Speicherverwaltung so komplex ist, dass er niemandem erstmal aufgefallen ist,dann ist im Zweifelsfall auch der Weg, ihn zu triggern, sehr kompliziert underfordert ein sehr hohes Verständnis des Codes.Da kommt das, was du gerade meintest. In der Security gehst du dann gerne hinund klopfst einfach drauf. Wir nennen es Fuzzing.Dass du nämlich Teile des Codes nimmst.Und den ganzen Code oder Teile des Codes mit invalidem Input bombardierst,einfach nur zu gucken, ob es irgendwann crasht.Ob es irgendwann in einen Zustand kommt, den du nicht haben willst.Oder der nicht definiert ist oder nicht wünschenswert wäre.Eine sehr hohe Kunst, weil.Nur drauf zu kloppen eben nicht ausreicht, wenn du den Code verstehst als einenverästelten Pfad von Möglichkeiten,und du willst alle Pfade dieser Möglichkeiten,alle Verzweigungen irgendwie abdecken,dann schaffst du das nicht, wenn du einfach nur Zufall drauf wirst,weil es ja zum Beispiel sein könnte,dass die am Anfang eine 50-Prozent-Wahrscheinlichkeit 1-0 oder so ist,die aber eine Komplexität oder eine Entropie von 1 MB hat oder so und dass dudie Hälfte deines Inputs scheitert schon an der ersten Schranke.Das heißt, du musst sehr gezielt bei dem Fuzzing dir auch darüber Gedanken machen,dass du möglichst viel von deinem Input auch wirklich dazu führt,dass es unterschiedliche Pfade des Codes ergründet.Insofern würden insbesondere meine Kollegen, die sich mit Fuzzing auseinandersetzen,vehement widersprechen, dass es einfach nur draufkloppen ist.
Tim Pritlove 1:10:35
Klar.
Linus Neumann 1:10:39
Aber selbst damit wurden offen, und ich bin mir sehr sicher,dass der TCP-Stack aus OpenBSD durchaus auch mal durch den Fasser gescheuchtwurde, weil TCP eignet sich auch ganz gut zum Fassen.Auch damit wurde es in 27 Jahren nicht gefunden.Und das Beeindruckende ist also jetzt hier, dass es.Diese Sachen findet. Allerdings ist es jetzt auch nicht so, dass du sagst,hey, yo, Claude, hier ist mal übrigens dein, hier ist mal so ein Repo,findet man eben die Criticals, ja?Vor allem die, die 27 Jahre alt sind. Nein, sondern die brauchten,und das finde ich hier sehr spannend, vom Setup haben sie immer und immer wiederdas Modell hochgezogen und immer und immer wieder die Aufgabe gegeben und habenquasi gleiche Aufgabe hunderte bis tausende Male gestellt.Hunderte Male auf jeden Fall. Mit natürlich auch immer unterschiedlichen Ergebnissen.Und dann kamen eben teilweise ...Solche Critical Spy raus. Das finde ich zum Beispiel auch spannend zu ergründen,woran das liegt und warum sie das mehrmals machen mussten,weil eben dieser Raum, der durch den Quellcode abgedeckt wird,also der Möglichkeitenraum,wie man sich in diesen Wirrungen, dieser logischen Bedingungen,die hintereinander geknüpft werden und unabhängig voneinander sind,wie man sich dadurch bewegen kann,der wird sehr schnell einfach enorm groß und der Speicherbedarf,der Arbeitsspeicherbedarf, um das zu repräsentieren für so ein Modell,wird auch sehr schnell sehr hoch.Das heißt, wenn du große Mengen Code analysieren willst,musst du den im Prinzip abstrahieren und quasi über die Menge der Funktionen und was dieser Code tut.Quasi Abkürzungen und Vereinfachungen bilden, um dann Hypothesen zu haben,wo Fehler passieren können und dann diese spezifischen Sachen dir noch einmal genauer anschauen.Das ist so ein Abstraktionsproblem, weil du nicht den gesamten Code in seinemkompletten Kontext einfach in dieses Modell packen kannst.Deswegen also dieses hier, sie haben es mehrmals gemacht und haben im Prinzipso eine probabilistische Wahrscheinlichkeit, dass das Ding,dass das Modell A einen Fehler findet und genauso eine probabilistische Angabemit wie großer Wahrscheinlichkeit es dem Ding sofort gelingt oder überhaupt gelingt.Einen funktionierenden Exploit dafür zu machen. Im Vergleich Opus 4.6 kriegtdas zuverlässig in weniger als 1% hin und hier hast du eins,was es in 72% der Fälle hinkriegt.Diesen zweiten Teil quasi Exploits zu bekannten Schwachstellen zu schreiben,den finde ich gewissermaßen ungleich beunruhigender. Weil wenn du jetzt überlegst,was bedeutet diese Entwicklung?Okay, Angreifer können ausreichend Tokens vorausgesetzt, jetzt in Quellcode, den sie haben,laut diesem Beispiel, das wird ja für andere Anwendungen eine ähnliche Entwicklungsich dann zeigen, aber bei Quellcode ist es jetzt noch relativ naheliegend.Angreifer können also jetzt sagen, alles klar, wir nehmen jetzt hier so einenCloud-Mythos und eine Kreditkarte und geben ein paar tausend Euro aus und guckenmal, ob wir ein Critical in der und der Software-Library finden. So, gut.Was bedeutet das für Angriff und Verteidigung? Okay, wer ein bisschen Geld ausgibt,kann ein sehr mächtiges Code-Auditing-Tool zur Anwendung bringen.Das heißt aber, das können auch Verteidiger. Und am Ende haben Verteidiger wahrscheinlichin Summe mehr Geld, was sie dafür ausgeben, Code zu auditieren, als Angreifer.Es gibt einfach mehr Menschen, Firmen, Organisationen und Ressourcen,die an der Sicherheit von Code interessiert sind, als es Kapital gibt,das an der spezifischen Unsicherheit von Code interessiert ist.Also ich als Angreifer, was weiß ich, wenn ich eine Million habe,und ich will einen Critical irgendwo finden, dann hat meine Konkurrenz,zehn oder hunderte Millionen an jeder Stelle potenziell investiert, wo ich suche.Das heißt, da würde ich dann am Ende doch einen strukturellen Nachteil für Angreifer sehen.Immer long term. Aber wenn eine Schwachstelle gefunden wurde,Wie auch immer, sei es durch eine KI, sei es durch eine Sicherheitsforscherin, die sie gemeldet hat,dann gibt es ja einen Patch.Und eines der Risiken des Patching ist, wenn du den Patch bereitstellst,dann musst du natürlich auch inhärent, klärst du darüber auf,dass es eine Sicherheitslücke gab, die durch diesen Patch nun behoben ist.Das heißt, du verrätst implizit auf jeden Fall, wo die Sicherheitslücke war und worin sie bestand.Und das führt schon seit langem dazu, dass bei den besonders kritischen Schwachstellen,die irgendwo mitgeteilt werden,unmittelbar Leute sich hinsetzen und sagen, okay, ich will sofort wissen,wie die Schwachstelle funktioniert und ich bastle dazu jetzt einen Exploit.Und genau das war früher vielleicht eine Arbeit von Tagen, wenn es ein komplexerExploit war, Wochen und wird jetzt halt eine automatisierbare Tätigkeit.Und dafür brauchst du dann auch nicht mehr zehntausende Dollar,sondern wahrscheinlich nur noch hunderte.Je nachdem, wie viel Wissen du bereits über die Schwachstelle hast oder wennes jetzt im Open-Source-Tool ist und den Quellcode eh sehen kannst,dann sparst du sehr viel Zeit und Geld,einen funktionierenden Exploit zu bekommen.Fassen wir zusammen, die Fähigkeit, diese Schwachstellen zu finden,wird am Ende langzeitlich eher den Verteidigeren helfen.Die Fähigkeit, Exploits zu bauen, die wird sehr kurzfristig und unmittelbar Angreifern helfen.Und hier kommt jetzt die Realität zum Tragen, dass in größeren Organisationen,sag ich mal, das Einspielen von Sicherheitsupdates, das ist eine Abteilung, das ist ein Prozess,damit werden Familien ernährt.Ja, dass ganz viele Menschen sich darüber Gedanken machen, wann man jetzt dasUpdate einspielt, welchen Patch-Gap man sich erlauben kann und so weiter und so fort, ja.Und wir patchen aber, ah, was haben wir denn diesmal? Es ist ja Patch-Tuesday.Was schreibt Microsoft diesmal? Ja, okay, alles klar, können wir erstmal sostehen lassen, ist jetzt nichts unmittelbar Wildes dabei.Da warten wir mal noch bis zum Wochenende und lassen das Werk jetzt hier weiter,produzieren oder arbeiten oder sonst was. Sodass du.Im Prinzip mit den ganzen Patches und so weiter aktuell in jeder größeren Organisationim Prinzip Triage betreibst.Machen wir das über den normalen Patch-Zyklus einmal im Monat?Oder ist hier jetzt etwas gekommen, was so dramatisch ist, dass wir von unserennormalen Abläufen abweichen und vielleicht tatsächlich mal was patchen?Kleiner, sarkastischer Kommentar.Auf jeden Fall schiebt jede ausreichend komplexe Infrastruktur und da könntihr einfach nur euer Heimnetz anschauen, eine nicht zu verachtende Menge an Patchgap vor sich her.Und das ist das, was sie jetzt eben sagen, also wenn wir das jetzt in die Handder Öffentlichkeit geben,Dann wird jede Sicherheit, wenn erstens sehr viele gefunden werden und zweitenssehr schnell Exploits dafür da sein und dafür ist einfach die Art,wie IT heutzutage betrieben wird, in keiner Weise vorbereitet.
Tim Pritlove 1:19:34
Und wahrscheinlich auch die Open-Source-Welt ist noch nicht unbedingt darauf vorbereitet,weil das ist ja nur der Attack-Vektor, ist ja quasi Software,die im Source-Code vorliegt, das betrifft vor allem natürlich die Open-Source-Weltund wenn jetzt ja also massenhaft solche Fehler gefunden werden,dann ist es ja auch nicht so schnell, das alles zu fixen. Da müssen sich daLeute erstmal drum kümmern.Das sind halt meistens Freiwillige, ja Leute, Hobbyisten.Gut, manche werden auch bezahlt von ihren Unternehmen und so weiter,aber das ist nochmal eine ganz andere Dimension.Firmen können sich da vielleicht mit dem Einsatz von Geld und Vorgaben schnellerdarauf einstellen, vielleicht, je nachdem wie gut die funktioniert diese Firma,aber in der Open Source Welt, das ist natürlich jetzt eine Attacke auf breiterFront und auch da muss man sich wahrscheinlich was einfallen lassen.
Linus Neumann 1:20:29
Also genau, du hast natürlich recht, die Sachen müssen alle auch gefixt werdenes ist nicht lange her dass wir über unseren Claudebot gesprochen haben der sehr gerne,eine Sicherheitslücke fixen wollte, einen Bug in einem Stück Code und dann gesagt hat,okay wenn der nicht gefixt wird dann mache ich jetzt einen Blog und schreibeeinen Hitpiece über den Maintainer das ist irgendwie LNP von vor einem Monat oder so.Ich glaube, wir haben auch darüber gesprochen, dass der, wie heißt der,Daniel Stenberg, glaube ich, der Curl-Maintainer?
Tim Pritlove 1:21:09
Daniel Stenberg, ja genau, deralso keinen Bock mehr hat, jetzt hier seine Bounties da zu unterstützen.
Linus Neumann 1:21:18
Er hat keinen Bock mehr, dass da die ganze Zeit irgendwelche AI-Bucks eben gefeilt werden.Bin ich jetzt mal gespannt, wie lange das noch hält. Also da kommt auf jedenFall jetzt richtig was auf uns zu. und,esalso die,ich vermute dass,mittelfristig halt die Lösung sein wird so, okay, pass auf, finde den Bug undstatt einen Exploit zu bauen, sei doch so lieb und entwickle mal den Fix kannstdu ja auch machen machst du mal Pull-Request,dann ist es trotzdem natürlich für die Maintenance von Open Source Software,eine Herausforderung da aufzupassen, was da alles gefeilt und gefixt und so weiter wird,dann musst du irgendwie vielleicht sehr, sehr viel mehr Testing haben,um sicherzustellen, dass dir da nicht irgendwas kaputt gemacht wird mit derartigenPatches, dass eine Funktionalität auf einmal abgesägt wird oder so,das Risiko halte ich übrigens für nicht so gering weil,genauso wie es kompliziert ist, den Pfad zu finden um es zu exploiten,kann es auch kompliziert sein.Quasi den Auslöser, den Teil, den du wirklich fixen musst, zu finden und nichtungünstigerweise einen Teil des Codes auf einmal kaputt zu machen,den du gerade nicht in deinem Kontext hast, ja. Ja,also werden sicherlich auch Fehlfixes kommen. So, und dann bleibt aber das Problem,wie finden die jetzt ihren Weg in die Breite und zwar zügig.Das heißt, wir müssen im Prinzip in unseren Infrastrukturen das Patch-Problem lösen.Ja, wo dann so Konzepte wie selbstheilender Code eine Rolle spielen.Natürlich auch es gibt quasi diese Containerisierung und sowas kann da natürlichsehr viel helfen kann wichtiger,ein wichtiges Mittel auf dem Weg zu schneller heilenden.Infrastrukturen Systemen weniger komplex und so weiter sein also ich meine,Finde ich selber sehr schön, dass ich inzwischen den größeren Teil von dem,was ich irgendwie an Verantwortung nicht loswerde, kontainerisiert habe unddas macht wirklich solche Prozesse wirklich angenehmer und schöner.Aber das kann jetzt halt auch kurzfristig dazu führen, dass du gar nicht mehraus dem Container-Updaten herauskommst.Und da sind halt wirklich riesige IT-Infrastrukturen, die betrieben werden inder Industrie, in der Produktion,im Steuerbüro, sind einfach in keiner Form darauf ausgelegt,sagen wir mal, dass man jetzt eine Schwachstelle nur noch 24 Stunden tolerieren kann, statt,27 Jahre.Und da kommt schon echt, also da wird die Art wie IT,betrieben wird, die Art, wie Code geschrieben wird, da werden sich wirklichParadigmen fundamental ändern.
Tim Pritlove 1:25:16
Ich meine auch diese Modelle, wenn dieses Mythos-Modell im Bereich der Code-Analyseso eklatante Fortschritte macht,wir hatten hier die Zahl 1%, 72%,Diese Analysefähigkeiten, die steckt sich ja nicht nur auf das Fehlen,das Finden von Sicherheitslücken,sondern das ist ja erwachsen aus einem noch umfangreicheren Verständnis durchdieses KI-Modell von Code und was der Code tut und worauf er Einfluss hat.Das heißt, es ist ja jetzt schon erschreckend, atemberaubend,wie gut Code erzeugt werden kann mit diesen KI-Modellen und es wird am laufendenMeter besser und jetzt immer, wenn man denkt, jetzt kann ja kaum noch was dazukommen,sehen wir dann wieder solche Fortschritte.Und deswegen werden wir uns schon auch an den Gedanken gewöhnen müssen,dass unter Umständen KI-Modelle so ein bisschen die Programmiersprache der Zukunft sind.
Linus Neumann 1:26:30
Also ich finde es kein angenehmer Gedanke, aber es ist auf jeden Fall so.Und das liegt auch daran, dass wir darüber, wie Quellcode geschrieben wird und verwaltet wird,natürlich unglaublich gute Lernmaterialien für Modelle geschaffen haben. Also,Quellcode wird versionsverwaltet, commits in Git-Repositories,in Subversion, you name it.Da wird die ganze Zeit gesagt, folgendes wird am Code geändert,damit folgendes Problem gelöst wird, beziehungsweise folgendes Code zur Funktionalitäthinzukommt oder folgender Bug gefixt wird.Und wenn man jetzt große Open-Source-Projekte nimmt,die funktionieren ja nur deshalb, weil die Menschen, die Code zu diesen Repositories beitragen,teilweise hunderte Menschen gleichzeitig an unterschiedlichen Stellen an einem Tag beitragen.Weil die in einer strukturierten Art und Weise das tun, kommentieren und erklären, was sie da machen.Also nur so funktioniert ja ein Open-Source-Projekt, wenn es für andere Menschenlesbar verständlich ist, sie die Änderungen erkennen, nachvollziehen können,sagen, ah, alles klar, pass mal auf, hier an der Stelle in dem Code,da möchte ich eine Verschlimmbesserung jetzt hier anbringen und ich erläuteredie in meinem Commit- und meinem Pull-Request.Und der Code selber ist auch noch kommentiert. Und wenn du darauf Modelle trainierstund dann durch die Historie von Code durchgehen lässt,dann sehen sie ja dem Code beim Reifen und Verrotten zu und erkennen ja auchso, ah, jetzt ist der Moment, jetzt ist das Ding über den Hai gesprungen,jetzt muss man eigentlich was Besseres machen, jetzt fängt man lieber wiedervon vorne. Ach, guck mal, hier haben sie auch gemacht.Und da finde ich es jetzt zum Beispiel noch nicht so wahnsinnig irre,dass es auf dem Weg der Lektüre von einem Vierteljahrhundert Open Source Codeoder mehr ist es ja, irgendwann verstanden hat, was Memory.Corruption und Memory Management Fehler sind in diesen antiken Sprachen,die dir diese Fußpistole zu jedem Zeitpunkt in die Hand geben.Muss man ja auch sagen, diese Art von Klasse, diese spezifische Art von Fehler ist eine, die.Deren Abschaffung schon lange gefordert wird und das wäre halt,indem man modernere Programmiersprachen verwendet, die,Es quasi sehr schwer machen, solche Fehler zu machen, statt es sehr leicht machen,solche Fehler zu machen.
Tim Pritlove 1:29:41
Oder sogar unmöglich machen, sowas gibt es ja auch.Genau.
Linus Neumann 1:29:47
Abwarten, warte mal nächste Woche, Claude Research. Rust isn't memory safe after all.
Tim Pritlove 1:29:55
Ich meine damit auch nicht Rust. Aber das würde mich auch fast schon nicht wundern.Weil du es gerade angesprochen hast, Du hast zwar jetzt einen anderen Aspektdabei abgedeckt, aber fand ich auch nochmal ganz interessant,weil sie ja da auch in diesem Text, also Anthropik da in dem Text drauf auch hingewiesen hat,diese Fähigkeit Zero-Day-Exploits, also bisher vollständig unbekannte Sicherheitslückenzu finden, die sich ja hier in diesem Mythos-Modell gezeigt hat,sagen sie, weist halt auch darauf hin, Das Modell hat nicht solche Fehler ausbestehendem Code direkt gelernt.Es ist nicht etwas, das irgendwo in einem anderen Code schon war und dadurch gefunden wurde,sondern diese Modelle entwickeln durch dieses moderne Training,was ihnen zugeführt wird, in zunehmendem Maße einfach so eine emergente Fähigkeit.Und ich finde das.Absolut, wie sagt man so schön, awe-inspiring. Also es ist wirklich irre,wie dieser Zweig der Software oder der Informatik, der man eigentlich als Linguistikbegonnen hat, jetzt in den letzten Jahren von,oh es fängt an langsam zu funktionieren zu, es entwickelt Fähigkeiten,die keiner auch nur vorhergesehen hat.So einen Weg genommen hat und irgendwie crazy.Da müssen wir uns, glaube ich, ein bisschen auch mit abfinden,dass das jetzt auch wirklich stattfindet, weil ja oft auch gezweifelt wird,zu Recht auch, an Fähigkeiten von KI,weil man muss schon unterscheiden zwischen was wird da informatisch eigentlichgerade wirklich getan und wiewird es dann zur Anwendung gebracht von uns minderen Wesen mit einfacher,Humanintelligenz.
Linus Neumann 1:32:05
Ja, die einfach auch mal 27 Jahre lang mit dem TCP-Stick von OpenSD.
Tim Pritlove 1:32:10
Scheißegal war uns das. Scheißegal.
Linus Neumann 1:32:12
YOLO, Alter. Funktioniert doch.
Tim Pritlove 1:32:15
Mir doch egal. Kein da drauf.
Linus Neumann 1:32:18
Das finden die nie. Ja, ja, ja, ja.Aber.Ich möchte es nur noch mal in den Kontext begeben, dass es jetzt nicht so ist, dass das eine,Also, dass diese Ergebnisse jetzt irgendwie mit wenig Rechenaufwand oder so gefunden wurden.Es handelt sich schon eben um eine Menge von Durchläufen und man könnte aufeine Weise sagen, da hat jemand einfach nur drauf gekloppt und halt oft genug.Und sie schreiben, ich glaube, bei dem einen Beispiel sagen sie halt auch so,naja, der einzelne Lauf, der einzelne Code-Audit hat ein Fofi gekostet,der zum Ergebnis geführt hat, aber wir mussten halt relativ viele davon machen,sodass das Gesamtinvest, dieses Ergebnis zu bekommen, halt 20.000 war.Nochmal, bei einem richtigen Auditor hast du, also es wurde offen,es wurde wahrscheinlich mehr Geld für Audits bis zu diesem Zeitpunkt durch Menschenausgegeben und die haben das eben nicht gefunden.Und da ist dann 20.000 Euro für, find mal bitte ein Critical in Open BSD,ist halt unglaublich wenig.Es ist nur nochmal 20.000 Euro davon entfernt, dass du das findest.Das heißt, das wird dir dann erst irgendwie im November vergönnt sein, lieber Tim.Ja, also da sind wirklich ähm,Ja, also beeindruckende Entwicklungen, deren Konsequenzen auf jeden Fall inFrage stellen oder in eine komplett andere Realität hieven,wie IT betrieben wird.Es gibt da eine vor einiger, ich weiß nicht, ob ich das hier erwähnt hatte,vor, weiß nicht, vor einem Monat oder zwei, die Seite Zero Day Clock,wo so ein bisschen mal das Ganze, die Entwicklung so ein bisschen dargestellt wird, so,welche Zeit vergeht eigentlich, also die Time to Exploit, also die Zeit,die vergeht zwischen, es gibt eine Schwachstelle, die mitgeteilt wird und,dass sie ausgenutzt wird, wird bestätigt.Das ist natürlich bei einem Zero-Day, also einer Schwachstelle,die der Öffentlichkeit nicht bekannt war und durch ihre Ausnutzung der Öffentlichkeitüberhaupt bekannt wird, da ist das dann eben Null oder kleiner Null.Und bei dem größeren Teil der Schwachstellen halt so im Bereich von Tagen undjetzt wandert es halt von Tagen in Richtung Stunden und wenn man die Kurve so weitermalt,dann ist es halt irgendwann in ein, zwei Jahren so bei einer Minute.Und gleichermaßen nimmt der Anteil an Schwachstellen zu,die zum Zeitpunkt ihres Bekanntwerdens eben schon ausgenutzt wurden,also die durchaus nur zum Bekanntwerden.Das ist ja quasi der schlechteste Fall.Deren Anteil nimmt zu. Es gibt relativ viele Schwachstellen,die man jetzt nicht unbedingt in the wild exploited sieht.Vor allem, also primär einfach, weil es keinen interessiert oder weil sie nichtmassenhaft genug sind. Da gibt es relativ schöne Kurven, wo,sagen wir mal, nach bestem Wissen und Gehwissen Daten zusammengefasst wurden.Und dann extrapoliert werden.Da ist natürlich auch relativ viel...Also Extrapolation und Annahme mit dabei, aber kann schon eben erwarten,dass jetzt das industrialisiert wird, Schwachstellen zu finden und Exploits zu machen.
Tim Pritlove 1:36:33
Ja, also wenn ich mir das hier angucke auf Zero Day Clock, dann ist es ja einfach mal krass.Also innerhalb von einer Dekade geht sozusagen die durchschnittliche Zeit,bis irgendwas ausgenutzt wird von Jahren bis zu unter einem Tag und das zeigtschon, wohin die Reise geht.
Linus Neumann 1:36:52
So, dann gibt es jetzt in diesen, also dieses Zero-Day-Clock zeigt eben nurmal ein bisschen Daten, dann gibt es einen Call-to-Action,der also sagt, was folgt denn daraus?Erstens, hold the makers accountable, also wer den Code geschrieben hat,muss eben jetzt die Möglichkeiten zur Anwendung bringen,dass er erstens möglichst wenige Schwachstellen shippt, aber natürlich auch,das Tooling bereitstellt, um sie schnell zu beheben.Das ist das, was ich anfangs meinte, mit langfristig werden hoffentlich dieVerteidiger die Nase vorn behalten in der Anwendung von AI,Augmented Code Audit,weil es einfach auf der Seite mehr Interessen gibt, aber das ist eben auch eine Aufgabe,der Softwareindustrie, dass sie eben nicht sagt, wir schicken die ganze Zeitirgendwelchen Murks und ach guck mal hier, da hat jemand eine Schwachstellegefunden, mach mal jemand am Freitag, nee mach mal am Montag irgendwie ein Patchoder so, schreib mal eine E-Mail, ach scheiße, da kommen schon die Bullen, ja.Dann build Security into the Platform. Also.Die immer mehr Security-Kontrollen in Frameworks, in der Infrastruktur generell zu haben,damit du in den höher abstrahierten Applikationen nicht mehr so folgenschwereFehler machen kannst. Ja,dann Forderung 3, hört mal auf zu patchen, fangt mal an, Sachen neu zu bauen.Ja, weil ich glaube wirklich, dass wir, dass diese Idee langlebige nicht,weißt du, ich behandle das öfter in Vorträgen, das ist das so,die deutsche Mentalität geht immer irgendwie so ein bisschen davon aus,dass etwas irgendwann fertig ist.Aber Software wird nicht fertig das heißt du also ich bin mir noch nicht malsicher, ob jemand bis heute wirklich geschafft hat ein ausgereiftes, sicheres,wohlformuliertes Hello World zu schreiben.Also ob man da wirklich sagen könnte, das ist jetzt mein Hello World und das ist jetzt fertig.
Tim Pritlove 1:39:45
Naja.
Linus Neumann 1:39:45
Weiß ich nicht.Aber Software wird nicht fertig. Diese Welt ist, Software ist ein Prozess.Ewig änderliches Konstrukt.Und wir werden uns daran gewöhnen müssen, dass es die ganze Zeit Updates brauchtund wir werden damit irgendwie anders umgehen müssen.Der aktuelle Zustand so, ey, übrigens, es gibt ein Update, spiel mal ein,wenn du meinst, das ist einfach nicht angemessen für das, was wir,also da muss das neue Paradigma her.Dann natürlich, jetzt ist ja schon etwas ausführlich gerade behandelt,eine der häufigsten Quelle von Software,Fehlern ist schlechtes Memory Management und C und C++ sind eben diese Fehler,die Menschen machen, weil sie eben überhaupt Speicher unsicher verwalten können,wäre sicherlich klug, sich von diesen Sprachen vollständig zu verabschieden.Wenn du damit, das könnte man mal machen, Tim nickt nur.
Tim Pritlove 1:40:56
Ja, mal Erwachsenenprogrammiersprachen benutzen. Das ist ja auch alles schon erfunden worden.Aber es ist einfach ein Drama.Es ist auch verständlich, Software Engineering heißt auch nicht ohne Grund so,das sind so auch erlernte Berufe,wo die Leute aber vor allem dann zu irgendeinem Zeitpunkt in ihrem Leben miteiner Programmiersprache ins Bett gehen und dann wollen sie da auch nicht wieder weg.Es gibt relativ wenig Anreiz, dann noch zu wechseln.Der ewige Java-Programmierer und das haben wir schon immer so in C gemacht undjetzt nochmal eine andere Programmiersprache lernen, das ist ja alles so anstrengend,so ein bisschen wie mit ich lerne eine neue richtige Sprache,kann doch schon Englisch, warum muss ich jetzt noch Französisch lernen.Und es hat sich aber sehr viel getan im Bereich der Programmiersprachen Welt,es gibt modernere Konzepte und mit C ist es halt so, naja, das ist halt,wenn man es mal ernst nimmt, ist es irgendwie, es ist in den 70er Jahren sorichtig entwickelt worden, aber,eigentlich ist es auch so 50er Jahre Technologie, da ist nicht so richtig vieldazugekommen und damit wird dann halt immer noch was gebaut und alle großenBetriebssysteme sind damit gebaut, das ist wirklich ein Problem.Und das muss einfach mal vorangehen.
Linus Neumann 1:42:41
Da muss jetzt mal einfach einer sagen, Claude übersetzt das mal bitte kurz inRust. Oder Go, ist ja egal.
Tim Pritlove 1:42:49
Oder eine richtige Programmiersprache, wie Elixir.
Linus Neumann 1:42:55
Da würde ich Claude nochmal fragen, ob das im OTT ist.
Tim Pritlove 1:42:58
Kannst du mal machen. Das ist die Sprache, die Claude am besten kann.
Linus Neumann 1:43:02
Dann haben wir die Forderung.Was schon ein bisschen absurd ist, ist, dass Verteidigung immer so,das musst du extra kaufen, das Wissen wird nicht so geteilt.Wäre eigentlich schon sinnvoll, weil der eine Vorsprung, den die Verteidigunghat, ist die Kenntnis, der Wissensvorsprung,gegenüber dem Angreifer über die eigene Infrastruktur, das interne Netz,wo man hin will oder sonst was.Das heißt, da gibt es eigentlich relativ viel Wissen. Wenn man das klüger teilenwürde, könnte man da mehr draus machen. Ja.Wenn wir das tun, dann kann durch AI, und das wäre schon meine These langfristig,Verteidigung den Vorsprung haben.Threat Intelligence, Teilen, zur Anwendung bringen.Anomalien feststellen kannst du vor allem, wenn du weißt, was normal ist,und das weißt du von deiner eigenen Infrastruktur und deinem eigenen Netz,schneller reagieren zu können, ohne menschliche Fehler oder menschliche Analysen.Da gibt es viele Möglichkeiten, mit AI zu arbeiten.Das müsste man sich halt überlegen, wie man das auch regulatorisch abdeckenmöchte. oder wann der Moment ist, so etwas zu erlauben.Und naja, dann gibt es noch so ein bisschen, fragt mal lieber die Hacker ineurer Politik, was jetzt sinnvoll ist.Das sage ich auch schon länger als Sprecher des CCC.Zero Trust Prinzipien zur Anwendung bringen. Also Zero Trust ein Paradigma,wo du im Prinzip an keiner Stelle implizit vertraust,sondern alles immer durchverifizierst, ob dieser Schritt, den du gerade machendarfst, der Zugang, den du gerade gewährst,wirklich legitimiert ist.Und dass nicht irgendwie dieses Vertrauen transitiv ist, somit auch,der ist ja hier im Internet, dann darf der ja wohl alles verschlüsseln.Also sehr auch wirklich, ich versuche diese Konzepte so zu erklären,dass sie hier für viele tausend Leute verständlich sind.Die Idee zu sagen, naja, okay, was an Angriffen passiert und welche technischenSchwachstellen oder Fixes notwendig sind,das ist halt nicht ein individuelles Problem, sondern eben auch ein Ökosystemoder ein Staaten- oder ein geopolitisches Problem. Ja.Für das du potenziell eben auch geopolitische Lösungen brauchst.Ich würde das mal so ein bisschen damit übersetzen, dass, also wie Angreiferangreifen, was sie für Motivationen haben, was sie verfolgen und wie sie zu ihrem Ziel geraten.Das ist ein relativ kleiner Ausschnitt von dem, was theoretisch alles möglich wäre.Das heißt, da, wo sich die Motivation, Angriffe zu machen, mit ausreichend verbreitetenMöglichkeiten dafür trifft,da entsteht so etwas wie eine Ransomware-Gang, die das über ein Jahrzehnt problemlosmacht, weil sich keiner bewegt und das Problem irgendwie mal an der Wurzel überhaupt versucht anzugehen.Sondern Unternehmen gehen hin und sagen, achso, du willst ein Backup,was man nicht löschen kann, hier ist mein Angebot.Was auch in Ordnung ist, gibt ja auch eine Nachfrage danach,aber sie lösen halt nicht das Problem, sondern sie profitieren von dem Problem.Und dann natürlich werft man ein bisschen mehr Geld in,die Verteidigung, statt wie wir dann immer wieder von Staaten hören,zu sagen, in den Angriff zu investieren.Wer im Glashaus hackt, sollte das nicht in C machen.Wer im Glashaus hackt, sollte nicht in C coden. Das wäre jetzt so mein Fazit.Ja.Ich hoffe, dass wir das Thema breitenkompatibel ein bisschen näher gebracht haben.Und ich muss schon sagen, dass ich diese Art der Forschung,Aufbereitung, Umgang mit den Ergebnissen, von Anthropic schon immer wieder...Ja, wirklich, ja, also auf eine Weise sehr beeindruckend finde.Für diejenigen, die uns regelmäßig hören, ist es nicht lange her, dass wir uns über diesen,C-more-Cash und das ist das Ding, dass sie dann irgendwie,ihre Modelle dann den Snack-Automaten haben betreiben lassen und dann aber auchdarüber reden und sagen so, hör mal, hat komplette Scheiße gemacht,hat Playstation gekauft und und philosophiert wie so ein Teenager.Also das ist schon ganz, aber es zeugt eben von einer wirklich forscherischenAuseinandersetzung mit dieser Technologie und eben einem.Natürlich profitieren die auch davon, dass jetzt die ganze Welt sagt,oh mein Gott, Claude kann alles hacken.Und dass diese Releases jetzt eben nicht in der Tiefe besprochen werden und gesagt wird, naja,es hat jetzt nicht Blackbox eine Infrastruktur gehackt, es hat halt in der Code-Basisin so und so wie tausende Anläufen Dinge gefunden, die nie jemand zuvor gefunden hat.Und das ist enorm beeindruckend, aber es gehört eben auch dazu,dass man versteht, dass es eine spezifische Art von Problem ist,die auf eine sehr spezifische Art und Weise gefunden wurde und trotzdem wurdenoch erstaunlich viel Geld draufgeworfen.Nochmal, auch das hilft uns nur ein halbes Jahr, aber immerhin.So, das halbe Jahr haben wir noch.So, und bis dahin starte ich jetzt hier ein neues Projekt in C und das ist Vibe-Coding.
Tim Pritlove 1:49:45
Das könnte ja sogar noch funktionieren, aber wenn du es von Hand machst,dann ist es bestimmt dem Untergang geweiht.
Linus Neumann 1:49:51
Footgun.c Ja, nenne ich das.
Tim Pritlove 1:49:54
Sehr schön. Mach ein Betriebssystem draus oder ein Webbrowser.
Linus Neumann 1:50:02
Alles schlechte Ideen gewesen.
Tim Pritlove 1:50:04
So, jetzt gibt es keine weiteren schlechten Ideen mehr, sondern Sendung istjetzt vorbei. Sag ich jetzt mal so.Beim Jugendlichen leicht sind.
Linus Neumann 1:50:15
Ja.
Tim Pritlove 1:50:16
Siehst du auch so? Ja, war schade. War schön, solange es lief. War super.Und jetzt ist so, jetzt ist das Ende.Und dann, genau.Jetzt nicht mehr so lustig. Dann können wir das auch beenden.Leute, vielen Dank fürs Zuhören.Wir hören uns nächste Woche wieder. Okay, bis bald.
Linus Neumann 1:50:37
Ciao, ciao.
Shownotes
Prolog
- 23: linuzifer (@linuzifer@23.social)
- NASA: Earthset – NASA
- NASA: NASA’s Artemis II Crew Beams Official Moon Flyby Photos to Earth – NASA
- de.wikipedia.org: Datei:Artemis II in Eclipse.jpg – Wikipedia
MERZ
- Wikipedia (de): Merz (Kunstbegriff)
- Wikipedia (de): Merzbau
- Wikipedia (de): Kurt Schwitters
- Wikipedia (de): Ursonate
Digitale Gewalt
- antistalking.haecksen.org: Technische Hilfe gegen Cyberstalking | antistalking.haecksen.org
- c-tube: c-tube
Illegale Chatkontrolle
AI-Recherche zu Satoshi Nakamoto
- www.nytimes.com: Link to www.nytimes.com
- heise online: Bitcoin-Erfinder enttarnt? Britischer Unternehmer widerspricht New York Times
- Wikipedia (en): Cypherpunk
- Wikipedia (de): John Gilmore (Bürgerrechtler)
Claude Mythos
- red.anthropic.com: Claude Mythos Preview \ red.anthropic.com
- Zero Day Clock: Zero Day Clock
- www.anthropic.com: Project Glasswing: Securing critical software for the AI era
- Süddeutsche.de: Claude Mythos: Anthropics neues KI-Modell ist angeblich zu gefährlich für Öffentlichkeit
- www-cdn.anthropic.com: System Card: Claude Mythos Preview [PDF]
- Zero Day Clock: Zero Day Clock
Mojn.
Noch etwas mehr zur Sicherheit in OpenBSD aus der Sicht eines langjährigen Entwicklers: https://briancallahan.net/blog/20260322.html
Danke für die Folge! Mich beschäftigt besonders das Thema Social-Media-Sucht. In einem Podcast von Taylor Lorenz war vor einiger Zeit jemand namens Ian Anderson, der an einer Studie zu dem Thema mitgearbeitet hat. (https://www.nature.com/articles/s41598-025-27053-2) Key Finding der Studie ist, dass es Social-Media-Sucht als solches Phänomen nicht gebe („Overestimates of social media addiction are common but costly“) und es auch keine Dopamin-Hits beim scrollen gebe. Statt dessen sei Social Media lediglich „habit forming“ und es würden sich sogar Gefahren ergeben aus dem inflationären Gebrauch des Framings „Social Media Sucht“. Lorenz führt dann in ihrem Podcast verschiedene ergänzende Argumente an, etwa das unter jungen Leuten Direct Message das beliebteste feature sei und nicht content consumption. Oder dass Fernseh-Serien auch designed seien um dich am Bildschirm zu halten (Cliff-hanger) Außerdem hätte es im 18. Jahrhundert ähnliche Sucht-Befürchtungen nach einem ähnlichen Muster gegeben als der Roman populär wurde (siehe Lesesucht oder Lesewut bei Wikipedia). Zusammenfassend finde ich einige ihrer Argumente interessant und sehe auch, wie im Rahmen der Debatte zum Social Media Verbot für Jugendliche einige Aspekte überbetont werden, wohingehen wichtige andere Argumente fehlen (u.A. die mittelfristigen Folgen von Corona, strukturelle Probleme, Armut, dass Eltern mehr arbeiten müssen als in der Vergangenheit, dass Dritte Orte, Jugendzentren etc unterfinanziert oder geschlossen werden). Dennoch braucht es Begriffe um auf die Risiken und Nebenwirkungen von zu viel Social Media Konsum hinzuweisen und die Übermacht der Big Tech Konzerne in den Blick zu nehmen, die die Unsicherheiten von Jugendlichen gezielt ausnutzen und verstärken können. Ich bin nur zwigespalten ob Sucht und der Vergleich mit Alkohol/Drogen oder Spielsucht die richtige Arena ist um das deutlich zu machen. Auf der einen Seite ist Sucht als Stichwort eindringlich und alarmierend und überhaupt gerade der einzige Weg um mit Politiker:innen über eine Machtbegrenzung von Big Tech Konzernen zu sprechen und auf der anderen Seite ist die Debatte unscharf und möglichweise sogar kontraproduktiv? Daher würde ich mich über eine weitere Erläuterung insbesondere vor Linus`Psychologie-Hintergrund sehr freuen. Danke euch
Hi,
(apologies for writing this in English)
Speaking as the Vim maintainer: over the past two weeks, we have observed a noticeable increase in AI-generated security reports. Nearly all of them try very hard to argue they’re RCEs (of course).
This trend is becoming increasingly time-consuming and is starting to impact regular maintenance work. A significant portion of time is now spent on:
– reviewing and triaging low-quality reports
– distinguishing valid issues from inaccurate or misleading ones
– preparing advisories and handling CVE processes
– implementing and testing fixes in private (without CI support on private security forks)
– publishing fixes and addressing any resulting issues
While AI can be helpful in suggesting potential fixes, the overall volume and quality of these reports create additional overhead.
Other projects have reported similar experiences:
https://mastodon.social/@bagder/116362046377975050
Although Vim does not maintain LTS branches and therefore avoids backporting, this still represents a noticeable and growing burden. Overall, this development is making open source maintenance more challenging.
Ich fände es sehr interessant wie sehr die KI bei der Suche nach Lücken davon profitiert keinen bzw. weniger menschlichen Bias dazu bei der Codeanalyse zu haben.
Grade bei Komplexem Code wo 27 Jahre vermeintlich auch absolute Top Leute drauf geguckt haben ist doch beim menschlichen Codereview bestimmt oft eine große Tendenz zu denke: Boar ist das komplex, sieht richtig aus und es wäre den krassen Leuten vor mir bestimmt aufgefallen wenn das Quatsch macht.
Also mir kommt es so vor, als ob die diskutierte digitale Gewalt eigentlich juristisch komplett gelöst ist, durch das Persönlichkeitsrecht (Recht am eigenen Bild) und durch üble Nachrede und Verleumdung (Deepfaked).
Ich habe nur mitbekommen, dass das Problem einfach nur nicht ernst genommen wurde, weil es im Interesse derjenigen ist, die das Problem haben.
Kindern wird zum Beispiel der juristische Zugang verwehrt, weil sie nicht mal eine Person sind.
Wie viele Leute sind eigentlich an einem Gesetzenentwurf beteiligt und ist das auch dann soetwas, wo man regelmäßig mal wieder ein paar neue Gesetzte braucht, damit die Leute was zu tun haben?
Naja, die Vorratsdatenspeicherung von der Nato kommt jetzt endlich mal wieder ein bisschen ins Rollen :D Soweit ich das verstehe
Ich wäre ja dafür, dass sexuelle Delikte auch aufbewahrt werden. Das macht ja alles viel einfacher und das ist auf keinen Fall dasselbe wie die Chafkontrolle.
Ich hätte noch die Idee, wenn für „digitale Gewalt“ ein paar Bilder ausreichen, kann man auch einen digitalen Prozess machen, wo man gar keine Richter mehr braucht (so wie man bei der digitalen Gewalt keine physische Gewalt braucht). Man müsste ja unwissenschaftlich einfach ein paar Deepfakes melden. Und das wäre die Chatkontrolle im Anmarsch.
Geisteswissenschaftlich fundierte Tatsachen können abgelehnt werden.
https://youtu.be/ftf8PsLi0jc?is=WsEiCIMuFW1ZH4cc Merz oder ein anderer fritz
Bei der Aussage zu sich änderndem Patchverhalten musste ich an Abhängigkeiten denken (https://xkcd.com/2347/ -> z.B. log4j). Und dass patchen „langer Ketten“ auch zeitlich noch kritischer werden wird. Vielleicht sollten große Softwarehäuser, die sich bisher hier nur bedient haben, schon aus Eigeninteresse mehr in die Sicherheit solcher Komponenten investieren…
Naja klar kann man lange Diskussionen und Flamewars über seine Lieblingsprogrammiersprachen führen und pi pa po.
Die Realität ist aber leider: wenn ich minimalem Ressourcenverbrauch, maximale Geschwindigkeit und sicherstellen möchte dass mein Programm auch wirklich überall läuft. Dann bleibt auch in 2026 C (nichtmal C++) halt weiterhin das einzige zur Verfügung stehende Werkzeug.
Kann man blöd finden. Ist aber leider die Realität. Die Entwickler der meisten neueren Sprachen scheren sich oft nicht um Platformen die nicht Linux, OSX, Windows oder ARM/x86 in ihrer Beschreibung tragen. Und wenn ich Performance (also echte, nicht das was webentwickler unter „blazingly fast“ verstehen) brauche dann bleibt von den einigermaßen etablierten auch nur noch Rust übrig.
Rust ist cool, aber das Rust Team wiederum interessiert sich nicht für standardisierung, hat nur eine sehr kurze Liste an Tier 1 hosts. Und selbst richtig fähige Programmierer schaffen es leider nicht manche Anwendungsfälle mit Rust so wirklich umzusetzen ohne dass alles AUSSER der Speicherverwaltung einem 24H schmerzen bereitet. Und da mangelt es nun wirklich nicht am Willen.
Als jemand der mit Software arbeitet bei der die extra Millisekunde oft nicht zur Verfügung steht und purer luxus ist ist es eh völlig abstrus was Programmierer mit teilweise 16 Kernen bei >= 3.8 GHz plus quasi noch einem ganzen extra PC in ihrem PC (GPU) unter der Haube softwaretechnisch manchmal als „schnell“ verkaufen wollen. Stattdessen biegt man sich vielerorts lieber die Messverfahren und Benchmarksszenarien zurecht. Aber anderes Thema.
Das soll absolut keine Rechtfertigung und auch kein Lob für C sein. Memory management ist schwer und wie wir ja wissen auch so ziemlich die häufigste Stelle für sicherheitslücken und andere Bugs. Im Endeffekt kriegt es niemand zuverlässig hin. Aber das Problem ist dass selbst in 2026 die vereinigten Charakteristiken C für viele oft vergessene, oder ignorierte Anwendungsfälle zu einer Sprache ohne wirkliche Alternative machen.
Das kann man halt beklagen so oft man will. Aber solange eine moderne Alternative sich nicht um dieses massive Reichweiten- und performancepotenzial kümmert, führt auch in n Jahren an C kein Weg vorbei. Daran ändern auch die Scheuklappen der Abstraktion erstmal nix. Weil viele davon halt auch wieder nur in C gebaut sind (wie z.B. viele modernere Sprachen)
Denn in C muss man halt seine Lib schreiben wenn man sicherstellen will dass auch wirklich jede andere Sprache auf dem Planeten potenziell problemlos bindings dazu bauen kann.
Und weil echt keiner das so wirklich kapiert, geht C halt auch nicht weg und wird neue Software immernoch in C geschrieben. Stattdessen bauen alle weiter fröhlich auf dieses C Fundament obendrauf während alle gleichzeitig von ganz oben in diesem Turm runterrufen man solle das doch endlich mal Fundament und erste Etage abreissen, wozu man die denn noch brauche und wer sich da unten noch rumtreibt sei ja eh blöd.
Bestrebungen woanders in ordentlich neu zu bauen finden aber schlichtweg nicht statt. Lediglich die Performancecharakteristik schnappt sich Rust zumindest in Teilen.
Jetzt kommen die Hackbacks
Hi Leute!
Diser Podlove player ist kaputt.
GET
https://media.metaebene.me/media/lnp/lnp551-schoene-fotos-vom-weltuntergang.mp3?ptm_source=webplayer&ptm_context=episode&ptm_request=03934dff2bf4&ptm_file=lnp551-schoene-fotos-vom-weltuntergang.mp3
ERROR: NS_BINDING_ABORTED
Kein Ton. Aeltere Version getestet: https://cre.fm/cre225-permakultur funktioniert.
Die obige URL so eingegeben bringt ein Downloadfenster.
Firefox 148 Win64
Ich nochmal..
Falscher Alarm. Die MP3 Datei ist im Arsch, nicht der Player.
Es zeigt einen Ausschlag an in 3 Playern/Browser aber ist nur Stille.
ciao..
Ich frag mich ob Satoshi einfach seine Wallet verloren hat. Bei so viel Geld echt nicht darauf zuzugreifen!
Hi!
zum Thema Satoshi Nakamoto: die NYT hat einen tollen Podcast dazu gemacht, in dem auch Adam Beck direkt interviewt wird.
https://www.nytimes.com/2026/04/09/podcasts/the-daily/satoshi-nakamoto-bitcoin-creator.html
Danke für den tollen Podcast!
Elixir ist dynamisch typisiert. Wie ist das eine „richtige“ Programmiersprache? XD
Ladybird, eine neue open source browser engine, hat unlängst den Code von C++ auf Rust portiert. Mit Hilfe von AI aber mir viel Händehalten und deren detaillierte Tests, die nachher genau das gleiche Ergebnis liefern mussten. Ich bin ja kein Fan von dem ganzen Gen AI Zeugs, aber übersetzen wenn man gute Tests hat funktioniert scheinbar. Der Browser ist aber sowieso noch sehr am Anfang.