In dieser Episode spricht Ralf D. Müller mit Simon Martinelli über den AI Unified Process (AIUP), einen agilen und iterativen Entwicklungsansatz, der Requirements ins Zentrum stellt – nicht den Code. Martinelli zeigt, wie man mit AIUP moderne Software entwickelt, bei der Anforderungen, Spezifikationen, Code und Tests gemeinsam durch kurze Iterationen wachsen, während KI als Konsistenz-Engine dient.

Das Duo diskutiert die zentrale Frage: Braucht es perfekte, deterministische Spezifikationen für KI-Code-Generierung? Simon Martinelli argumentiert, dass das der falsche Ansatz ist. Stattdessen ermöglicht AIUP iterative Verbesserung: Requirements treiben die Entwicklung, Spezifikationen werden detaillierter und Tests schützen das Systemverhalten, während der generierte Code sich gemeinsam mit allem anderen weiterentwickelt.

Lisa Maria Schäfer malt dieses Mal keine Sketchnotes.

Livestream am 16. Januar

Die Ausstrahlung findet am Freitag, 16. Januar 2026 live ab 13:00 Uhr statt. Die Folge steht im Anschluss als Aufzeichnung bereit. Während des Livestreams können Interessierte Fragen via Twitch-Chat, YouTube-Chat oder anonym über das Formular auf der Videocast-Seite einbringen.

software-architektur.tv ist ein Videocast von Eberhard Wolff, Blogger sowie Podcaster auf iX und bekannter Softwarearchitekt, der als Head of Architecture bei SWAGLab arbeitet. Zum Team gehören außerdem Lisa Maria Schäfer (Socreatory) und Ralf D. Müller (DB Systel). Seit Juni 2020 sind über 250 Folgen entstanden, die unterschiedliche Bereiche der Softwarearchitektur beleuchten – mal mit Gästen, mal Wolff, Schäfer oder Müller solo. Seit mittlerweile mehr als zwei Jahren bindet iX (heise Developer) die über YouTube gestreamten Episoden im Online-Channel ein, sodass Zuschauer dem Videocast aus den Heise Medien heraus folgen können.

Weitere Informationen zu den Folgen finden sich auf der Videocast-Seite.

(mdo)

Linus Torvalds, der sich bislang eher kritisch zum Einsatz von KI geäußert hat, ist selbst unter die Vibe-Coder gegangen. Er ließ die künstliche Intelligenz, in diesem Fall Googles Antigravity AI, jedoch weder auf den Linux-Kernel noch auf Git los, sondern erstellte mit ihrer Hilfe ein Hobby-Programm namens AudioNoise.

Das auf GitHub gehostete Tool simuliert Gitarrenpedal-Effekte wie Echo oder Phaser, und Torvalds hat es in erster Linie entwickelt, um selbst die Grundlagen der digitalen Signalverarbeitung besser zu verstehen. Für etwa die Hälfte des Programmcodes nutze er C, für die Python-basierte Visualisierung der Audiosamples kam dann Antigravity zum Einsatz.

„Über analoge Filter weiß ich mehr – wenn auch nicht viel mehr – als über Python“, sagt Torvalds im Readme-File zu AudioNoise. Daher habe er anfangs noch nach dem Motto „googlen und nachmachen“ programmiert, sich dann aber immer mehr aus dem Python-Coding zurückgezogen und den Audio-Sample-Visualizer schließlich komplett von der Google-KI in deren Eigenregie entwickeln lassen.

Fazit: Bestenfalls für Spaßprojekte geeignet

Auch das Ergebnis lässt sich in der Readme-Datei nachlesen: „Das Python-Visualizer-Tool ist im Grunde durch Vibe Coding entstanden“, erklärt Torvalds darin. Und es macht, was es machen sollte. Er hatte am KI-generierten Code so wenig auszusetzen, dass er ihn ohne Änderungen übernommen hat.

Für die Kernel-Entwicklung oder andere seriöse Projekte sei Vibe Coding jedoch ungeeignet, sagte Torvalds auf dem Open Source Summit im November 2025. Dem Linux-Kernel-Chef wird auch das Zitat zugeschrieben, „Vibe“ sei eine Abkürzung von „Very inefficient but entertaining“.

Immer wieder stellen Studien fest, dass sich die Codequalität durch den zunehmenden Einsatz von KI-Assistenten verschlechtert. Auch das Problem der KI-Halluzinationen ist weiterhin ungelöst.

(who)

In der populären JavaScript-Laufzeitumgebung Node.js wurden mehrere Sicherheitslücken entdeckt, die teils mit hohem Risiko eingestuft werden. Jetzt sind für bereits Mitte Dezember angekündigte aktualisierte Versionen erschienen, die die Schwachstellen ausbessern. Entwickler sollten sicherstellen, dass die fehlerbereinigten Fassungen zeitnah zum Einsatz kommen.

In der Ankündigung vom Dienstag dieser Woche schreiben die Node.js-Entwickler, dass die Updates drei Sicherheitslücken mit hohem Risiko, vier mit mittlerem und ein Leck mit niedriger Risikoeinstufung schließen. Angreifer können sie missbrauchen, um etwa eingeschleusten Schadcode auszuführen, ihre Rechte auszuweiten, Sicherheitsmaßnahmen zu umgehen und Daten zu manipulieren oder vertrauliche Informationen abzugreifen, wie das CERT-Bund zusammenfasst. Außerdem enthalten die Sicherheits-Releases aktualisierte Abhängigkeiten, um öffentlich bekannte Schwachstellen anzugehen, und zwar „c-ares“ in Version 1.34.6 und „undici“ in den Fassungen 6.23.0 und 7.18.0.

Hochriskante Sicherheitslücken

In der Programmlogik zum Allokieren von Puffern kann nicht initialisierter Speicher offengelegt werden, wenn das „vm“-Modul mit einem Timeout verwendet und die Allokierung des Speichers davon unterbrochen wird (CVE-2025-55131, CVSS 8.1, Risiko „hoch“). Die Restriktionen mit den Optionen --allow-fs-read und --allow-fs-write ließen sich außerdem durch das Zusammensetzen von relativen Symlink-Pfaden umgehen (CVE-2025-55130, CVSS 7.7, Risiko „hoch“). Ein präparierter „HTTP/2 HEADERS“-Frame mit übergroßen und ungültigen „HPACK“-Daten kann Node.js zum Abstürzen bringen, was in einem Denial-of-Service mündet (CVE-2025-59465, CVSS 7.5, Risiko „hoch“).

Details zu den mittelschweren sowie den als niedriges Risiko eingestuften Schwachstellen finden Interessierte in der Ankündigung der Node.js-Entwickler. Die Schwachstellen sind in den Versionen Node.js 25.3.0, 24.13.0, 22.22.0 und 20.20.0 sowie neueren nicht mehr vorhanden. Die Aktualisierungen sollten Nutzerinnen und Nutzer zeitnah vornehmen.

Im vergangenen September konnte ein Kryptowährungsdieb mit einer Spearphishing-Attacke Zugriff auf das npm-Konto eines Entwicklers erlangen – npm ist die Paketverwaltung für Node.js-Pakete. Damit gelang dem bösartigen Akteur, Schadcode in rund 20 Pakete des Entwicklers qix, die zusammen auf mehr als zwei Milliarden wöchentliche Downloads kommen.

(dmk)