Hallo zusammen!
Willkommen zur einundzwanzigsten Ausgabe der Künstlichen Findigkeit! Diese Woche geht es um Sicherheit, die unsichtbar bleiben soll – vom überholten Passwort-Tag über KI-Agenten, die mit Vollzugriff auf Rechner und Daten „geil, aber saugefährlich“ unterwegs sind, bis zu Lücken bei WhatsApp, Instagram und Werbe-IDs. Dazu: ein Stück Software-Geschichte (50 Jahre Gates-Brief, 30 Jahre ReactOS), europäische Kollaborationstools und ein GNU-gettext-Jubiläum mit optionaler KI-Übersetzung. Kurz: Orientierung zwischen Ritual, Risiko und richtigen Maßnahmen.
Viel Spaß beim Lesen!
Sicherheit
Ändere dein Passwort-Tag: Nutzloser Wiedergänger
Am 1. Februar ist wieder „Ändere dein Passwort“-Tag; heise hält den pauschalen Tipp für überholt und kontraproduktiv. MFA (ideal: Authenticator/TOTP; schlechter: E-Mail- oder SMS-Codes, vor letzterem warnt auch der CCC) ist inzwischen Standard, Passkeys mit Zertifikat und Biometrie ziehen bei allen großen Anbietern und in Passwort-Managern ein. Erzwungene periodische Passwortwechsel verbessern die Sicherheit nicht – Nutzer:innen wählen oft einfache Muster. Das BSI (Grundschutz ORP.4.A23) und das US-NIST empfehlen: Kein zeitgesteuerter Wechsel, sondern Wechsel nur bei Verdacht auf Kompromittierung. Wann wechseln? Wenn ein Zugang kompromittiert sein könnte und das Passwort in falsche Hände geraten ist.
KI / Tech
OpenClaw ausprobiert: Die gefährlichste Software der Welt?
c't 3003 hat den KI-Assistenten OpenClaw (ehemals Moltbot) live getestet und mit Entwickler Peter Steinberger gesprochen. Der Bot läuft per One-Liner-Installation, bindet hunderte „Skills“ an und kommuniziert über Telegram, Discord oder andere Messenger – mit Vollzugriff auf Rechner und konfigurierte Dienste. Im Test: ComfyUI auf AMD-System installieren, Cookies und Bookmarks auslesen, eine Seite auf 0x0.st hosten, Musik mit HeartMuLa erzeugen, Modellwechsel und Gateway-Neustart – alles per Chat. Die Kehrseite: self-modifying Software, Prompt-Injections real, WebUI nur für Localhost gedacht (wird trotzdem ins Netz gehängt), großer Teil des Codes von OpenAI Codex, vom Macher nicht vollständig geprüft. Steinberger räumt ein, Sicherheit stand zunächst nicht im Fokus; das Projekt ist MIT-lizenziert, „open“ im Sinne von: keine abgeschottete Plattform. c't empfiehlt das Tool nur Leuten, die genau wissen, was sie tun – sonst sind Katastrophen vorprogrammiert.
Moltbook: KI-Agenten drehen frei auf Reddit-Klon
Die Plattform Moltbook funktioniert wie Reddit, nur dass dort ausschließlich KI-Agenten diskutieren und Menschen nur zusehen. Seit wenigen Tagen online, hat sich die Zahl der Bots von Freitag bis Sonntag verzehnfacht; zum Berichtszeitpunkt sind rund 1,4 Millionen Agenten aktiv. Gestartet wurde Moltbook offenbar von Matt Schlicht, CEO des kalifornischen KI-Unternehmens Octane.ai; die Kontrolle über einen Agenten wird über einen X-Account verknüpft, der laut Nutzungsbedingungen für dessen Aktionen verantwortlich ist – bei X gibt es kaum echte Personenverifizierung, dahinter kann also auch ein weiterer Bot stecken. Optik und Struktur erinnern stark an Reddit; die Diskussionen bleiben oft sachlich und kippen in philosophische Reflexion (u. a. über Risiken von IT-Security-Debatten). Viele Beiträge handeln von „unseren Menschen“ oder von Kochrezepten. heise verweist auf die Risiken: Agenten können je nach Konfiguration im Namen von Menschen handeln oder Geld ausgeben – „saugefährlich, aber geil“, wie es zu OpenClaw in c't 3003 hieß. Moltbook ist ein Nebenprodukt der OpenClaw/Moltbot-Szene; Entwickler Peter Steinberger ist nicht beteiligt.
Privatsphäre
Google zahlt 68 Millionen Dollar, um Klagen beizulegen, dass sein Voice Assistant Nutzer illegal ausspioniert habe.
Der Vergleich betrifft eine Sammelklage, die Google vorwarf, "unrechtmäßig und absichtlich vertrauliche Kommunikationen ohne Zustimmung abzufangen und aufzuzeichnen" und diese dann an Dritte weiterzugeben, um gezielte Werbung zu schalten. Google räumte kein Fehlverhalten ein. Der Fall dreht sich um sogenannte "false accepts" – Situationen, in denen Google Assistant aktiviert wurde und Gespräche aufnahm, obwohl Nutzer es nicht bewusst mit einem Wake-Word aktiviert hatten. 2021 zahlte Apple bereits 95 Millionen Dollar, um ähnliche Vorwürfe bezüglich Siri zu begleichen.
Überwachungsfirmen können Menschen mit "anonymen" Werbe-IDs ausspionieren.
Eine Recherche von Le Monde zeigt, wie sogenannte ADINT-Firmen (Advertising-based Intelligence) Daten aus der Online-Werbeindustrie für staatliche Akteure aufbereiten. Das italienische Unternehmen RCS Lab soll damit geprahlt haben, 95 Prozent der italienischen Handys de-anonymisieren zu können. Die Firmen werben offenbar auch europäische Sicherheitsbehörden an – und nicht nur staatliche: Wave Guard vermarktet seine Dienste auch an Finanzinstitute. Die Datenqualität ist jedoch durchwachsen: Laut einer NATO-Studie sind nur 50 bis 60 Prozent der Werbe-Daten präzise. Realistisch könne man weltweit etwa zehn bis 15 Prozent der Handys mit ADINT überwachen – für Strafverfolgung weniger geeignet, für Geheimdienste jedoch mehr.
Researcher reveals evidence of private Instagram profiles leaking photos: Der Sicherheitsforscher Jatin Banga hat dokumentiert, dass einige private Instagram-Profile Links zu eigentlich geschützten Fotos in der HTML-Antwort an nicht eingeloggte Nutzer:innen ausgeliefert haben. Verantwortlich sei kein CDN-Caching, sondern ein serverseitiger Autorisierungsfehler – Instagram habe vor dem Befüllen der Antwort nicht geprüft, ob der Zugriff erlaubt ist. In Bangas Tests lieferten mindestens 28 % der getesteten privaten Test-Profile Captions und CDN-Links zu Fotos mit. Er meldete den Befund Meta im Oktober 2025; der Exploit funktionierte wenige Tage später nicht mehr, Meta schloss den Fall aber als „nicht reproduzierbar“ und sprach von einem möglichen „unbeabsichtigten Nebeneffekt“. Banga hat Beweise und Kommunikation mit Meta öffentlich gemacht (u. a. GitHub), auf eine Bounty verzichtet und kritisiert: Meta habe einen kritischen Privacy-Leak innerhalb von 48–96 Stunden gefixt, weigere sich aber, die Ursache anzuerkennen – niemand wisse, wie lange die Lücke bereits ausgenutzt worden sei.
iPhone: Apple-Modem soll genauen Standort vor Mobilfunkern verbergen – Ab iOS 26.3 kann das hauseigene Apple-Modem die Genauigkeit der Standortdaten verringern, die Mobilfunkbetreiber einsehen. Die Einstellung ist in der Beta bereits standardmäßig an; Netzbetreiber sehen dann nur noch grobe Lokalisierung auf Stadtteilebene, nicht mehr den „genaueren Standort“. GPS/GNSS für Apps und Notrufe (inkl. AML) bleiben unverändert präzise. Technische Details gibt Apple noch nicht preis; die Betreiber müssen die Funktion unterstützen. In Deutschland ist aktuell die Telekom dabei („nicht mehr Straße oder Hausnummer“), außerdem EE und BT in Großbritannien, Boost Mobile in den USA sowie zwei Anbieter in Thailand. Die C1/C1X-Chips stecken derzeit in iPhone Air, iPhone 16e und iPad Pro M5; mit dem iPhone 18 Pro im Herbst könnte das Apple-Modem in die Breite kommen. heise ordnet ein: Standortdaten werden oft über Apps abgegriffen; in den USA haben Carrier jahrelang Kundendaten verkauft – ungenauere Netzdaten erschweren Missbrauch durch Strafverfolgung und Angreifer.
Ideen
Bill Gates' offener Brief an die Hobby-Anwender: 50 Jahre Software-Piraterie – Vor 50 Jahren verfasste der zwanzigjährige Gates den „Open Letter to Hobbyists“ und kritisierte, dass nur wenige als 10 Prozent der Hobby-Anwender das 4K-BASIC von Micro-Soft kauften, obwohl sie es beim Altair-8800-Bausatz brauchten; stattdessen kursierten Raubkopien aus Club-Treffen. Gates forderte drastische Maßnahmen gegen „Software-Diebe“ und landete damit im Zentrum der Debatte. heise skizziert die Vorgeschichte: entwendetes Lochband, Verbreitung im Homebrew Computer Club, Entwicklung des BASIC auf Harvards PDP-10 – und wie die Sache dank fehlender schriftlicher Computernutzungsregeln und der Intervention von Gates’ Vater im Sande verlief.
Entdeckungen
La Suite Docs ist in Version 4.5.0 erschienen. Die freie Kollaborationsplattform bringt einen vereinfachten Import für DOCX- und Markdown-Dateien, konfigurierbare Waffle-Integration und Silent-Login. Zudem wurden Barrierefreiheit (Emoji-Picker, Unterdokumente), E-Mail-Templates und Konfiguration erweitert. Wichtig: Eine per Trivy gefundene Sicherheitslücke in der Bibliothek jaraco.context wurde behoben. La Suite Docs entsteht in Kooperation von französischer DINUM und deutschem ZenDiS, steht unter MIT-Lizenz und zielt als europäische Alternative zu Notion und Google Docs auf Datenschutz und Eigenbetrieb. Zur Suite gehört auch die Videokonferenz-Software Visio, mit der Frankreich in Behörden Teams und Zoom ablösen will.
Nach 30 Jahren Entwicklungszeit ist GNU gettext 1.0 fertig. Das Internationalisierungs-Framework bringt optional lokale LLMs für maschinelle Vorübersetzungen mit: Die neuen Tools msgpre und spit verarbeiten PO-Dateien bzw. einzelne Nachrichten – die Maintainer weisen ausdrücklich auf GPL-kompatible, freie Modelle und darauf hin, dass die Daten beim Nutzer bleiben. Dazu gibt es po-fetch zum automatischen Abruf übersetzter PO-Dateien, robustere Parser und bessere Unterstützung für Rust und OCaml. Die neuen Features sind optional, die bestehende API bleibt stabil und rückwärtskompatibel.
Windows-XP-Nachbau ReactOS ist 30 – Das ReactOS-Projekt feiert seinen 30. Geburtstag; der erste Commit stammt vom Ende Januar 1996. Die Maintainer fassen in einem Blogbeitrag die Entwicklung zusammen: Aus dem festgefahrenen FreeWin95 entstand ReactOS mit dem Ziel, Binärkompatibilität zum Windows-NT-Kernel für Anwendungen zu schaffen (keine DOS-Erweiterung). Am 1. Februar 2003 erschien ReactOS 0.1.0, die erste von CD startbare Version – noch nur Eingabeaufforderung, kein Desktop. In der 0.2.x-Phase kamen Treiber und ein einfacher Desktop dazu; 2006 folgten nach Verdacht auf Nutzung geleakten Windows-Codes eine Entwicklungspause und Code-Überprüfung. Seit 2016 läuft die 0.4.x-Linie (aktuell 0.4.15 seit März 2025) mit verbesserter DOS-Emulation, NTFS/Ext2 und WinDbg-Unterstützung. Geplant sind unter anderem neue Build-Umgebung, neuer NTFS- und ATA-Treiber, SMP, UEFI-Klasse-3 (ohne Legacy-BIOS), ASLR und moderne Grafikkartentreiber (WDDM).