Willkommen zu allesnurgecloud.com – Ausgabe #230
Und da sind wir auch schon April – verrückt, was derzeit wieder alles passiert. Konzentrieren wir uns auf die wesentlichen Dinge. Wir fliegen wieder zum Mond – ja „wir“ – vielleicht müssen wir einfach wieder die Menscheit als Ganzes betrachten, und was man so lesen kann, hat die ESA auch einen ordentlichen Anteil an der aktuellen Artemis-2-Mission. Die Toilette an Bord funktioniert zum Glück wieder.
Dafür bereitet Outlook den Astronauten aktuell Probleme – kriegen sie bestimmt auch hin. Ach und wusstest du, dass die Voyager 1 mit 69 KB Memory und einem 8-track Tape Recorder läuft? Schon abgefahren, dass das immer noch so einigermaßen zu funktionieren scheint.
Ansonsten noch kurz interessant – das finnische Justizministerium wollte eigentlich ein System für die Wahlabwicklung auf AWS umziehen, hat sich nun aber dagegen entschieden. Vielleicht sollte man dem Justizministerium mal mitteilen, dass die da mit UpCloud einen coolen eigenen Player am Start haben?
Wobei wir da ja auch nicht besser sind – der Bund hat nun SAP und die Telekom mit der für 2027 geplanten Bürger-App beauftragt. Was kann da schon schiefgehen?
Jetzt aber viel Spaß mit der Ausgabe & frohe Ostern!
Happy Bootstrapping Podcast
In der aktuellen Podcast Folge 166 habe ich mit Silvano D’Agostino von Kambria gesprochen. Kambria hilft dem Mittelstand, mit KI erfolgreich zu sein – mit Tools, Workshops, Coaching und vor allem Hands-on mit „Aha Momenten“. Silvano ist überzeugt, dass der Mensch die größte Challenge bei der Einführung von KI ist und nicht die Technik. Auch hab ich gelernt, dass die „Schatten IT“ sich nun eine Claude oder ChatGPT Subscription über eine Kaffee Kasse teilt, da man es ja offiziell nicht bestellen darf. Also alles wie immer. Gerne kannst du die Folge auf YouTube schauen oder wie immer bei Spotify, Apple und allen anderen Playern anhören.
Wenn dir die Podcastfolgen zu lang sind, kannst du gerne auch den Newsletter dazu abonnieren – erscheint jeden Montag (in der Regel).
Support the Newsletter
Übrigens kannst Du meine Arbeit nun auf Patreon supporten, mir ein Bier ausgeben oder mal auf meiner Amazon-Wunschliste vorbeischauen – Danke! Falls du Interesse hast, im Newsletter oder Podcast Werbung zu buchen, kannst du das auf passionfroot machen oder mir einfach ne E-Mail als Antwort auf den NL schicken.
allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
npm unter Beschuss: Axios-Angriff mit globalem Radius
Der Socket-CEO Feross Aboukhadijeh schlug am 31. März kurz nach Mitternacht UTC Alarm: axios@1.14.1 – mit über 100 Millionen wöchentlichen Downloads eines der meistgenutzten HTTP-Client-Pakete im JavaScript-Ökosystem – enthielt plötzlich eine neue Abhängigkeit namens plain-crypto-js@4.2.1, die bis dahin schlicht nicht existiert hatte. Sechs Minuten nach Veröffentlichung hatte Sockets automatischer Scanner das Paket bereits als Malware eingestuft.
Der Angriff war präzise vorbereitet: Das Konto des Hauptmaintainers jasonsaayman wurde übernommen und die E-Mail auf eine Proton-Adresse geändert. Das Schadpaket wurde 18 Stunden vorab in einer unverdächtigen Deckelversion (4.2.0) platziert, um Registry-Scanner zu täuschen. Innerhalb von 39 Minuten wurden sowohl der 1.x- als auch der 0.x-Branch kompromittiert. Der Dropper setup.js lieferte plattformspezifische RATs für macOS, Windows und Linux, zerstörte danach seine eigenen Spuren – inklusive Überschreiben der package.json mit einer sauberen Stub-Version.
Wie der Angriff auf das Maintainer-Konto konkret ablief, hat Jason Saayman selbst im GitHub-Postmortem dokumentiert: Die Angreifer kontaktierten ihn über ca. zwei Wochen – als angeblicher Gründer eines real existierenden Unternehmens, dessen Identität vollständig geklont wurde. Sie luden ihn in einen überzeugend gestalteten Slack-Workspace ein, mit gefälschten Teamprofilen, verlinkten LinkedIn-Posts und anderen OSS-Maintainern als vorgeblichen Mitgliedern. Schließlich folgte ein MS-Teams-Meeting, bei dem die Software meldete, etwas auf seinem System sei veraltet. Er installierte das vermeintliche Update – es war der RAT. Wie Malware-Expertin Taylor Monahan (tayvano) im Thread erläutert, macht ein RAT auf dem Rechner 2FA vollständig wirkungslos: Angreifer entwenden nicht das Passwort, sondern die Post-Authentifizierungs-Session-Tokens, die lokal unter anderem in .npmrc gespeichert sind. Google und Microsoft attribuierten die Kampagne zur nordkoreanischen Gruppe UNC1069 bzw. Sapphire Sleet, die dasselbe Playbook bereits gegen Krypto-Unternehmen eingesetzt hat. Die Ausweitung auf OSS-Maintainer dürfte kein Zufall sein: Ein kompromittiertes npm-Paket mit 100 Millionen Downloads pro Woche ist effizienter als das gezielte Abgreifen einzelner Wallets.
Besonders tückisch ist, was Socket in einem Folgebeitrag als „Hidden Blast Radius“ beschreibt: Viele Teams überprüften nur ihre Lockfiles – aber wer Axios transitiv über Tools wie npx, CI-Utilities oder MCP-Server auflöste, war potenziell betroffen, ohne es zu wissen. @slack/web-api, twilio, contentful, snowflake-sdk und zahlreiche andere SDKs nutzen Axios mit breiten Semver-Ranges. Zur Absicherung empfiehlt sich min-release-age=7d in der .npmrc sowie der Wechsel von npm install zu npm ci in CI-Pipelines.
Der Polyfill-Supply-Chain-Angriff von 2024 folgte einem ähnlichen Muster (Ausgabe 148). Irgendwie kommt das Ökosystem gerade nicht wirklich zur Ruhe – letzte Woche Trivy, nun ein weitverbreitetes Paket wie Axios – hoffentlich passiert über das Oster-Wochenende hier nichts.
The Hidden Blast Radius of the Axios Compromise
Unfreiwillig Open Source: Anthropic leakt Claude Code via npm
Am 31. März kurz nach 4 Uhr morgens ET postete Sicherheitsforscher Chaofan Shou auf X: Claude Code Quellcode sei über eine .map-Datei im npm-Registry geleakt. Was folgte, war eines der ungewöhnlichsten Versionsmanagement-Missgeschicke der jüngeren KI-Geschichte.
Die technische Ursache war banal: Claude Code v2.1.88 enthielt eine 59,8 MB große JavaScript Source-Map-Datei (cli.js.map), die den kompletten, unobfuszisierten TypeScript-Quellcode – knapp 512.000 Zeilen in rund 1.900 Dateien – rekonstruierbar machte. Source-Maps sind Debug-Artefakte, die minifizierten Code auf den originalen Quellcode zurückabbilden. Bun, Anthropics Build-Tool seit der Akquisition Ende 2025, generiert sie standardmäßig. Ein fehlendes *.map im .npmignore – und die gesamte Codebasis war öffentlich downloadbar, direkt von Anthropics eigenem R2-Storage-Bucket. Anthropic bestätigte den Vorfall als „release packaging issue caused by human error“ ohne exponierte Kundendaten.
Was die Community darin fand, war ergiebig. Das meistdiskutierte Detail: Undercover Mode – ein explizites Subsystem, das Claude anweist, beim Beitrag zu öffentlichen Open-Source-Projekten keine KI-Hinweise in Commit-Messages oder PR-Beschreibungen zu hinterlassen, Codenames zu verschweigen und keine Co-Authored-By-Zeilen zu setzen. Der Systemprompt lautet wörtlich: „Do not blow your cover.“ Das löste auf HN eine lebhafte Debatte aus – ein Kommentar fasste die Kritik zusammen: Wer bereit ist, die eigene Identität in Commits zu verschleiern, dem könne man auch anderweitig wenig trauen.
Daneben wurden Hinweise auf intern entwickelte, noch unveröffentlichte Features sichtbar: KAIROS als persistenter Hintergrund-Agent, ein Dream Mode zur Gedächtniskonsolidierung während Inaktivität, ULTRAPLAN, Agent Teams – und Modell-Codenames wie opus-4-7 und sonnet-4-8 in internen Migrationsdateien.
Der koreanische Entwickler Sigrid Jin – laut Wall Street Journal im vergangenen Jahr Nutzer von 25 Milliarden Claude Code Tokens – portierte den Kern noch in der gleichen Nacht nach Python und schob das Repository claw-code live. Es erreichte 50.000 GitHub-Sterne in unter zwei Stunden, vermutlich der schnellste Anstieg in der Geschichte der Plattform. Anthropic begann mit DMCA-Takedowns gegen direkte Mirrors – was angesichts dezentraler Plattformen und sauberer Clean-Room-Rewrites strategisch wenig ausrichten dürfte.
Und ein weiteres temp. Repo gibt es auch noch – ich blick so langsam nicht mehr durch – jedenfalls sind beide Stand Donnerstag noch online.
Auf Basis des Codes hat jemand dann Claude Code Unpacked gebaut – hier kannst du dann visuell schön sehen, wie Claude eigentlich einen Request bearbeitet.
Claude code source code has been leaked via a map file in their npm registry
Anzeige
Hier könnte Deine Werbung stehen
Du möchtest Deine Firma, angebotene Dienstleistungen & Services oder Dein SaaS Produkt hier im Newsletter vorstellen?Du suchst neue Mitarbeiter und möchtest diese direkt erreichen?
Erreiche über 2000 Cloud und Open-Source Enthusiasten direkt per E-Mail und im RSS Feed. Dazu kommen 1000+ Impressions im LinkedIn Artikel des Newsletters.
Bei Interesse antworte mir direkt auf den Newsletter oder kontaktiere mich über LinkedIn ich schreib dann auch ganz schnell zurück.
Falls du ein SaaS Tool bewerben möchtest, bin ich bestimmt auch bei einer Affiliate Geschichte dabei – schreib mir einfach bei Interesse!
Jetzt Werbung anfragen (und Freitags deployen)
EmDash: Cloudflare baut WordPress neu
Am 1. April hat Cloudflare EmDash angekündigt – und damit erwartungsgemäß erstmal kollektives Augenrollen ausgelöst. Das Datum war unglücklich gewählt, das Projekt ist aber real: ein von Grund auf neu geschriebenes CMS in TypeScript, gebaut auf dem Astro-Framework, serverless auf Cloudflare Workers betrieben, MIT-lizenziert und mit WordPress-Import-Funktion.
Das zentrale Versprechen ist Plugin-Sicherheit. In WordPress läuft jedes Plugin im gleichen Ausführungskontext wie die Anwendung selbst – mit direktem Zugriff auf Datenbank und Dateisystem. Laut Cloudflare stammen 96 % aller WordPress-Sicherheitsprobleme aus Plugins. EmDash löst das durch Isolation: Jedes Plugin läuft in einem eigenen Dynamic Worker (V8-Isolate) und darf nur die Fähigkeiten nutzen, die es in einem Manifest vorab deklariert – ähnlich wie OAuth-Scopes. Kein Netzwerk-Zugriff ohne explizite Deklaration, keine stillen Datenbank-Operationen.
Auf HN war die erste Reaktion erwartbar: „E: Oh, I think it’s an April fools joke, I’m embarrassed.“ Hauptentwickler Matt Kane stellte klar: Das Projekt ist echt, er arbeite seit Mitte Januar Vollzeit daran und ist selbst Astro-Core-Team-Mitglied. Etwas skeptischer fiel die Einschätzung des Nutzers embedding-shape aus: EmDash klinge nach dem genauen Gegenteil der Richtung, in die CMS eigentlich gehen sollten – hin zu statischen Dateien. „But of course, then they wouldn’t be able to sell their own Workers product.“
Das trifft einen wunden Punkt. Sandboxed Plugins funktionieren ohne die Cloudflare Workers Runtime derzeit nicht; wer self-hosted betreiben will, bekommt weniger. Das Muster erinnert HN-Nutzer verdverm an Vercel und Next.js: „Vendor lock-in plays are a big red flag.“ Joost de Valk, Gründer des Yoast-SEO-Plugins, zeigte sich dagegen als früher Enthusiast – was zumindest andeutet, dass die WordPress-Gemeinschaft die Ankündigung nicht vollständig als Provokation versteht.
Das Projekt selbst kannst du dir bei GitHub anschauen – stand heute (Donnerstag, 02. April 2026) hat es schon 3500 Sternchen gesammelt.
Introducing EmDash — the spiritual successor to WordPress that solves plugin security
Oracle entlässt 30.000 Menschen für seinen KI-Schulden-Berg
Am 31. März um 6 Uhr morgens Ortszeit landete in den Postfächern von schätzungsweise 20.000 bis 30.000 Oracle-Mitarbeitern weltweit eine E-Mail von „Oracle Leadership“ – ohne Vorwarnung durch HR oder den direkten Vorgesetzten. Inhalt: Ihre Stelle sei gestrichen, der heutige Tag ihr letzter Arbeitstag, der Systemzugriff werde zeitnah deaktiviert. Laut einer Analyse entspricht das bis zu 18 % der globalen Belegschaft von rund 162.000 Personen – möglicherweise die größte Entlassungswelle in der Unternehmensgeschichte.
Der Zusammenhang mit Oracles KI-Ambitionen ist dabei kaum zu übersehen. CNBC berichtete bereits Anfang März über das strukturelle Problem hinter dem Expansionskurs: Oracle ist der einzige große Cloud-Anbieter, der seinen KI-Infrastrukturausbau primär über Fremdkapital finanziert – inzwischen über $100 Milliarden Schulden, während AWS, Google und Microsoft auf ihre operativen Cashflows zurückgreifen können. Erschwerend kommt hinzu, dass OpenAI seine Pläne für den gemeinsamen Stargate-Standort in Texas zurückzieht – schlicht weil die dort geplanten Blackwell-GPUs bis zur Inbetriebnahme bereits von neueren Nvidia-Generationen überholt sein werden. Das Datacenter-Timing-Problem ist real: 12 bis 24 Monate Bauzeit, aber jährliche Chip-Generationswechsel.
Die Entlassungen sollen laut TD Cowen $8 bis $10 Milliarden an Cashflow freisetzen – Geld, das Oracle für seine KI-Datenzentren dringend benötigt. Das Kuriose: Gleichzeitig meldete Oracle für das letzte Quartal einen Nettogewinn von $6,13 Milliarden, ein Plus von 95 %. Rekordgewinn und historischer Stellenabbau, beides gleichzeitig.
Auf HN fasste kyledrake die breitere Skepsis treffend zusammen: Oracle mache eine teure Datenbank für Golf-Führungskräfte und habe einen wenig wettbewerbsfähigen Cloud-Dienst – was genau solle man Oracle eigentlich noch für nutzen? Eine Frage, die sich in der aktuellen Situation zumindest operationell beantwortet: als Finanzierungsvehikel für eine KI-Infrastrukturwette, die noch nicht aufgegangen ist.
Oracle slashes 30,000 jobs with a cold 6 a.m. email
bunny.net und UpCloud: Europäische Partnerschaft für souveräne Cloud-to-Edge-Infrastruktur
Der slowenische CDN-Anbieter bunny.net und der finnische Cloud-Provider UpCloud haben eine strategische Partnerschaft angekündigt, die ab Sommer 2026 eine integrierte, europäisch-souveräne Cloud-to-Edge-Lösung bereitstellen soll. Das Ziel: Unternehmen sollen nicht mehr zwischen Performance und Datensouveränität wählen müssen.
Die Kombination klingt auf dem Papier schlüssig: UpClouds Enterprise-Cloud-Infrastruktur für Compute und Storage, kombiniert mit bunny.nets globalem Edge-Netzwerk mit über 250 Tbps Kapazität und 123 PoPs weltweit. Bunny CDN und Bunny Shield sollen direkt im UpCloud Hub und per API integriert werden – ein europäischer Single Point of Purchase mit Datensouveränität als Standard.
Für den europäischen Markt ist das eine interessante Entwicklung. Beide Unternehmen sind in der EU ansässig und betrieben – bunny.net in Slowenien, UpCloud in Finnland – und positionieren sich damit bewusst als Alternative zu den US-Hyperscalern. Gerade für Unternehmen, die vor dem Hintergrund von CLOUD Act und DSGVO nach souveränen Infrastruktur-Optionen suchen, könnte das eine pragmatische Lösung sein: nicht der funktionale Umfang eines AWS oder Azure, aber europäische Jurisdiktion ohne Kompromisse bei der Edge-Performance.
Ob die Integration in der Praxis so nahtlos funktioniert wie angekündigt, wird sich ab Sommer zeigen. Die Richtung stimmt jedenfalls – und es ist gut zu sehen, dass europäische Anbieter nicht nur über Souveränität reden, sondern gemeinsam Produkte bauen.
Sovereign cloud and edge: bunny.net and UpCloud partner to power your global growth
Wer zahlt, wer meckert: LibreOffices Finanzierungsfrage
Italo Vignoli vom Libre Office Community Blog hat genug und schreibt es offen: Die Ankündigung, dass LibreOffice 26.8 einen Spendenbanner im Start Center erhält, hatte einen kleinen Shitstorm ausgelöst, die in keinem vernünftigen Verhältnis zur Maßnahme steht.
Was konkret geplant ist: Ein Banner im unteren Viertel des Start Center – dem Begrüßungsbildschirm, den die meisten Nutzer für wenige Sekunden sehen, bevor sie eine Datei öffnen. Kein Paywall, kein eingeschränkter Funktionsumfang, kein Abo-Modell. Das Banner erscheint einmal pro Monat, nicht bei jedem Start. LibreOffice hatte bereits vorher Spendenhinweise – bisher als Leiste über offenen Dokumenten. Die neue Variante ist gemessen daran sogar weniger aufdringlich.
Vignoli zieht den naheliegenden Vergleich: Thunderbird fragt seit Jahren bei fast jedem Start um Spenden. Wikipedia beschallt seine Nutzer jährlich mit großflächigen Spendenaufrufen, teils im Vollbild. Beide gelten in der Community als sympathisch und angemessen. LibreOffice führt einen monatlichen Hinweis im Startbildschirm ein und erntet den Vorwurf, auf dem Weg zum „Freemium-Modell“ zu sein.
Auf Hacker News war die Reaktion überwiegend nüchtern. Nutzer c0l0 schrieb, er spendet bereits jährlich den Gegenwert des günstigsten Microsoft 365-Abonnements und sehe keinen Grund, damit aufzuhören. Kritischer war VadimPR: Das Banner sei für Enterprise-Deployments problematisch, solange es sich nicht zentral deaktivieren lasse – ein durchaus berechtigter Einwand.
Der eigentliche Kern bleibt unbequem: über 100 Millionen Nutzer weltweit sparen kollektiv Milliarden an Lizenzkosten, während die Document Foundation strukturell von Einzelspenden abhängt und Unternehmensanteile unter 5 % liegen. Ein Banner ist kein Angriff – es ist eine Frage, die die Nutzerschaft verdient hat gestellt zu bekommen.
Unternehmen bekommen es aber auch einfach nicht hin – alle reden von digitaler Souveränität, aber 1 % des Umsatzes spenden, wie beispielsweise Sentry das seit 5 Jahren macht – das passiert eigentlich fast nie oder ist zumindest nicht public. Gerne melden, wenn du ein anderes Beispiel hast.
LibreOffice and the art of overreacting
Digitale Souveränität, erstes Problem: Lizenzkonflikt bei OnlyOffice
Kaum ist Euro-Office angekündigt, landet der erste juristische Einschlag. ONLYOFFICE – der Anbieter der im Projekt genutzten Editor-Technologie – wirft den Initiatoren von Nextcloud und IONOS vor, AGPL-Lizenzbedingungen zu verletzen. Konkret: Das Euro-Office-Projekt soll ONLYOFFICE-Code verwenden, ohne Branding, Logo und Quellenangabe zu erhalten, wie es die AGPLv3 samt ihrer Section-7-Zusatzbedingungen vorschreibt.
ONLYOFFICE stellt das Verhältnis klar: Die Zusatzbedingungen – Pflicht zur Beibehaltung des Original-Brandings, Verbot der Nutzung von ONLYOFFICE-Marken – sind keine optionalen Schichten auf der Lizenz, sondern integraler Bestandteil des Lizenzgewährungs-Deals. Wer sie ignoriert, verliert laut ONLYOFFICE automatisch sämtliche Nutzungsrechte (Section 8 AGPLv3). Die beigefügte Anwaltsmeinung ist entsprechend eindeutig formuliert.
Der Vorwurf trifft einen empfindlichen Punkt: Die Euro-Office-Initiative hatte in ihrer Ankündigung darauf hingewiesen, dass eine Zusammenarbeit mit ONLYOFFICE „aus verschiedenen Gründen nicht möglich“ gewesen sei – eine Formulierung, die ONLYOFFICE nun als Rechtfertigungsversuch einer Lizenzverletzung liest und zurückweist.
Das ist eine unangenehme Situation für ein Projekt, das mit dem Versprechen digitaler Souveränität und offener Standards antritt. Open Source ist kein Freifahrtschein, und das Einhalten von Copyleft-Lizenzen ist kein bürokratisches Detail – das gilt auch dann, wenn die politische Motivation stimmt. Wie das Projekt diesen Konflikt löst, wird zeigen, ob hinter dem Souveränitätslabel auch die rechtliche Sorgfalt steckt, die er voraussetzt.
Zur Ankündigung von Euro-Office selbst: allesnurgecloud.com/ausgabe-192
ONLYOFFICE flags license violations in “Euro-Office” project by Nextcloud and IONOS
S3-Kosten 70 % gesenkt – mit drei Architektur-Anpassungen
Senior Solutions Architect Cedric Hu beschreibt auf dem AWS Cloud Financial Management Blog, wie ein Video-Hosting-Kunde seinen S3-Rechnungsbetrag im sechsstelligen Jahresbereich um 70 % reduziert hat – nicht durch Wechsel zu einem günstigeren Anbieter, sondern durch Analyse und Umbau der eigenen Architektur.
Der Ausgangsfehler war klassisch: Die Plattform hatte alle Videos nach 30 Tagen automatisch in S3 Glacier Instant Retrieval (GIR) verschoben – eine Storage-Klasse, die für selten abgerufene Daten gedacht ist. Das Kalkül funktioniert solange, wie die Dateien dort auch wirklich ruhen. GIR kostet rund $4 pro TB im Monat; wird dasselbe Terabyte jedoch einmal abgerufen, schlägt allein dieser Zugriff mit circa $30 an Abruf- und GET-Kosten zu Buche. Die Kostenanalyse über AWS Cost and Usage Report und S3 Access Logging via Athena förderte zutage: Lediglich 0,1 % der Dateien – größere Marketing-Videos mit hoher Aufruffrequenz – verursachten fast die Hälfte aller Retrieval-Kosten. Diese 60.000 Objekte wurden in S3 Intelligent-Tiering umgezogen, das keine Abrufgebühren kennt und GET-Anfragen zu 25-mal günstigeren Konditionen abrechnet.
Dazu kamen zwei Pipeline-Optimierungen: Die CloudFront-Cache-Hit-Rate wurde von 65 % auf 90 % angehoben, was S3-Anfragen direkt um die Hälfte reduzierte. Und die Byte-Range-Größe für GET-Requests im Packaging-Layer wurde von 256 KB auf 2 MB erhöht – dadurch sank die Anzahl der benötigten GET-Requests pro Video-Segment von 7,05 auf 1,04. Zusammen reduzierten diese Maßnahmen die S3-GET-Anfragen um 90 %.
Der Artikel ist unverkennbar AWS-Eigenwerbung, liefert aber eine ungewöhnlich konkrete Fallstudie mit echten Zahlen – und die zentrale Lehre gilt unabhängig vom Anbieter: Wer Storage-Klassen nach Annahmen über Zugriffsmuster konfiguriert, statt nach Messdaten, zahlt drauf.
Alternativ kann man aber auch zu Anbietern umziehen, die diesen ganzen Gebühren-Fou nicht haben – dann blickt man auch in der Abrechnung durch. Die Caching Hit Rate wurde natürlich nicht von Zauberhand angehoben – auch in 2026 scheint es Menschen zu geben, die HTTP Header ihrer zu cachenden Elemente nicht sauber setzen.
Petabyte-Scale Cost Optimization: How a Video Hosting platform Saved 70% on S3
Mistral AI: $830M Schulden für eigenes Rechenzentrum bei Paris
Das Pariser KI-Unternehmen Mistral AI hat laut Reuters eine Fremdfinanzierung über 830 Millionen Dollar abgeschlossen – die erste Debt-Runde in der Firmengeschichte. Das Geld fließt in 13.800 NVIDIA GPUs und den Bau eines eigenen KI-Rechenzentrums in Bruyères-le-Châtel südlich von Paris, das ab Q2 2026 in Betrieb gehen soll. Arrangiert wurde die Finanzierung von sieben Banken, darunter BNP Paribas, Crédit Agricole und HSBC.
Mistral, zuletzt mit $13,8 Milliarden bewertet und mit über $3 Milliarden an Eigenkapital Europas wertvollstes KI-Startup, baut damit eine eigene Infrastrukturschicht auf. Bis 2027 will das Unternehmen 200 Megawatt Rechenkapazität in Europa betreiben. Parallel treibt Mistral mit dem Joint Venture CampusAI – zusammen mit NVIDIA, MGX (Abu Dhabi), Bpifrance, EDF und Bouygues – den Bau eines 1,4-Gigawatt-KI-Campus bei Paris voran. Baubeginn war bereits, die volle Inbetriebnahme ist für Ende 2027 geplant.
Debt statt Equity für GPU-Käufe ist ein kluger Schachzug: Die Hardware hat kalkulierbaren Restwert, Mistral verwässert seine Anteile nicht. Dass ein europäisches KI-Unternehmen eigene Rechenzentrums-Infrastruktur aufbaut statt Cloud-Kapazität einzukaufen, ist ein Signal in Richtung Unabhängigkeit von den US-Hyperscalern.
Mistral AI raises $830M in debt to buy NVIDIA GPUs and build its own AI data centre
Schmunzelecke
SlapMac ist eine App, die dich anschreit, wenn du deinen Mac in einem Wutanfall haust. Klingt bescheuert? ist es auch… Aber es scheint einen Markt zu geben – der Indie Hacker dahinter hat damit schon 4-stellige Umsätze gemacht – slapmac.com.
Etwas geschmacklos, aber gar nicht so leicht – bei der online-walrettung kannst du das aktuelle prominente Thema mal selber probieren. Wal befeuchten, Tierarzt herbeirufen und Schaulustige vertreiben – alles muss zusammenpassen. Also ich hab ihn befreit, aber nicht im ersten Versuch …
💡 Link Tipps aus der Open Source Welt
OpenScreen – Open Source Loom & Screen Studio Alternative
OpenScreen ist eine kostenlose, quelloffene Alternative zu Loom und Screen Studio für die Erstellung von Produkt-Demos und Walkthroughs. Kein Abo, keine Wasserzeichen, frei für kommerzielle Nutzung – für alle, die keine 29$/Monat für Screen Studio ausgeben wollen.
Key Features:
- Screen Recording: Ganzer Bildschirm oder einzelne Fenster, mit Mikrofon- und System-Audio
- Automatische & manuelle Zooms: Konfigurierbare Zoom-Tiefe, Position und Dauer für fokussierte Demos
- Bearbeitung: Cropping, Trimming, Speed-Anpassung pro Segment, Motion Blur für weichere Übergänge
- Annotations: Text, Pfeile und Bilder direkt im Video platzieren
- Hintergründe: Wallpapers, Solid Colors, Gradients oder Custom Backgrounds
- Export: Verschiedene Aspect Ratios und Auflösungen
Gebaut mit Electron, React, TypeScript, Vite und PixiJS. Verfügbar für macOS, Windows und Linux. Noch im Beta-Stadium.
Deckt die Basics für ansprechende Produkt-Demos ab, die man sonst nur mit dem deutlich teureren Screen Studio oder Cap bekommt. Die Auto-Zoom-Funktion und die Annotations heben es von einfachen Screen Recordern ab. Als Beta noch mit Ecken und Kanten – wer alle Features braucht, ist bei Loom oder Screen Studio besser aufgehoben, aber für die meisten Demo-Aufnahmen dürfte OpenScreen reichen.
https://github.com/siddharthvaddem/openscreen
TaxHacker – Self-hosted AI Buchhaltung für Freelancer
TaxHacker ist eine self-hosted Buchhaltungs-App, die mit AI aus Fotos von Belegen, Rechnungen und PDFs automatisch alle relevanten Daten extrahiert – Beträge, Datum, Händler, Steuern, Einzelpositionen – und in einer strukturierten Datenbank ablegt.
Key Features:
- AI-Erkennung: Fotos oder PDFs hochladen, TaxHacker erkennt und kategorisiert automatisch. Funktioniert mit Kassenbelegen, Restaurantrechnungen, Bankauszügen, sogar handschriftlichen Quittungen – in jeder Sprache und Währung
- Multi-Currency: Automatische Währungserkennung und Umrechnung anhand historischer Wechselkurse vom Transaktionsdatum, inklusive 14 Kryptowährungen (BTC, ETH, LTC etc.)
- Custom Fields & Prompts: Eigene Felder mit individuellen AI-Prompts anlegen, um beliebige Informationen aus Dokumenten zu extrahieren – wie zusätzliche Spalten in Excel
- LLM-Auswahl: OpenAI, Google Gemini, Mistral oder OpenAI-kompatible lokale Modelle
- Export: Gefilterte Transaktionen als CSV mit angehängten Dokumenten, steuerberater-tauglich
- Self-Hosted: Docker Compose Setup mit PostgreSQL, alle Daten bleiben unter eigener Kontrolle
Tech Stack: Next.js 15+, Prisma, PostgreSQL, TypeScript.
Für Freelancer und Indie Hacker, die ihre Belege bisher in Schuhkartons oder Google Sheets verwalten, ist TaxHacker ein enormer Zeitgewinn. Die Möglichkeit, eigene AI-Prompts für die Datenextraktion zu schreiben, macht es extrem flexibel. Noch früh (v0.6.1, 6 Contributors), aber der Ansatz ist überzeugend – vor allem, weil man den LLM Provider frei wählen kann und nicht an einen Cloud-Dienst gebunden ist.
Leider gibt es noch keine Datev oder LexOffice Anbindung….
https://github.com/vas3k/TaxHacker
❓ Feedback & Newsletter Abo
Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.
Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren: