Mit Version 3.1.0 erhält die Open-Source-Webanalyse Umami mehrere größere Funktionen für Auswertung, Debugging und Performance-Monitoring. Im Mittelpunkt stehen frei konfigurierbare Dashboards namens „Boards“ sowie Session Replays, mit denen sich echte Nutzersitzungen nachvollziehen lassen. Hinzu kommen ein integriertes Tracking der Core Web Vitals, deutlich erweiterte Filter- und Segmentfunktionen sowie überarbeitete Sharing-Optionen. Außerdem schließt das Release mehrere Sicherheitslücken, führt Schema-Migrationen aus und hebt die Mindestanforderungen an die Plattform an.

Umami ist eine datenschutzfreundliche, selbst hostbare Alternative zu klassischen Webanalyse-Diensten wie Google Analytics. Die Software erfasst Seitenaufrufe und Events ohne Third-Party-Tracking und richtet sich vor allem an Entwickler und Unternehmen, die ihre Analyse selbst kontrollieren wollen.

Die neuen Boards bringen ein flexibles Dashboard-System. Anwender stellen Auswertungen aus Diagrammen, Tabellen und Kennzahlen in einem frei gestaltbaren Raster zusammen. Einzelne Komponenten lassen sich verschiedenen Websites zuordnen, live anpassen und anschließend im Team teilen oder duplizieren. Damit nähert sich Umami funktional spezialisierten Monitoring- und BI-Tools an. Ein Marketing-Team kann so etwa ein Board für Kampagnenkennzahlen pflegen, während das Produktteam parallel eines für Feature-Nutzung und Conversions führt.

Ebenfalls neu ist Session Replay. Die Funktion spielt reale Nutzersitzungen im Browser nach und basiert auf der Bibliothek rrweb. Session Replay zeichnet Klicks, Scrollbewegungen und Eingaben auf. Über konfigurierbare Maskierungsstufen lassen sich sensible Inhalte ausblenden. Die Aufzeichnungen sind pro Besuch segmentiert und nach Events filterbar. Das hilft etwa dabei, Abbrüche in Formularen oder Checkout-Prozessen zu analysieren.

Performance-Monitoring und feinere Auswertungen

Im Bereich Performance erfasst Umami nun die Core Web Vitals direkt im Browser der Besucher, darunter Largest Contentful Paint (LCP), Interaction to Next Paint (INP), Cumulative Layout Shift (CLS), First Contentful Paint (FCP) und Time to First Byte (TTFB). Eine überarbeitete Performance-Ansicht stellt die Werte dar und bewertet sie anhand gängiger Schwellenwerte. So lässt sich zum Beispiel erkennen, ob blockierendes JavaScript Interaktionen auf Mobilgeräten verzögert.

Auch die Filter- und Segmentlogik wächst spürbar. Neu sind ODER-Verknüpfungen zwischen Bedingungen, Regex-Operatoren und Mehrfachauswahl bei Vergleichsoperatoren. UTM-Parameter stehen jetzt systemweit zur Verfügung. Damit lassen sich komplexere Auswertungen formulieren, etwa Nutzersegmente über mehrere Kampagnen oder Regionen hinweg. Funnels unterstützen außerdem Filter auf Event-Eigenschaften pro Schritt sowie Wildcards in Zieldefinitionen.

Die überarbeitete Share-Funktion erlaubt eine feinere Steuerung freigegebener Inhalte. Einzelne Bereiche wie Übersichten oder Events lassen sich ein- oder ausblenden, Share-Links können einen Namen erhalten. Die Darstellung ist vollständig für Mobilgeräte optimiert.

Administration, Internationalisierung und kleinere Verbesserungen

Weitere Neuerungen sind unter anderem die zusätzliche Filterdimension „Distinct ID“, eine flexible Zeitaggregation nach Stunde, Tag oder Monat, ein Download für Berichte sowie Performance-Optimierungen durch Pagination-Limits und Cache-Control-Header. Hinzu kommen Geolocation-Header für EdgeOne und zusätzliche Konfigurationsoptionen über Umgebungsvariablen.

Im Administrationsbereich wechselt Umami von react-intl zu next-intl und liefert vollständige Übersetzungen für 51 Sprachen. Mit „react-zen“ führt das Projekt zudem ein einheitliches Design-System ein und überarbeitet die Navigation. Die Teamfunktionen sind nun konsolidiert und um eine Redis-basierte Feature-Steuerung ergänzt.

Sicherheit, Migrationen und Bugfixes

Auf der Sicherheitsseite schließt das Release IDOR-Schwachstellen in Berichten und Segmenten und schränkt Share-Tokens stärker ein. Zusätzlich aktualisiert es mehrere Abhängigkeiten mit bekannten Lücken.

Für die neuen Funktionen führt Umami automatisch Schema-Migrationen aus, etwa für Boards, Session Replay und die Sharing-Mechanismen. Die Mindestanforderung steigt auf Node.js 22, weil das Release auf Prisma 7 setzt.

Daneben behebt Version 3.1.0 zahlreiche Bugs, vor allem bei der PostgreSQL-Kompatibilität, in SQL-Abfragen, bei der Zeitzonenverarbeitung sowie im Tracker und in der Oberfläche. Details zu allen Änderungen finden sich in den Release Notes auf der GitHub-Projektseite von Umami. Version 3.0 erschien im November 2025 und fügte in Umami neue Tracking-Features hinzu.

(fo)

Das vor gut zwei Wochen vorgestellte KI-Werkzeug des US-Unternehmens Anthropic zum Aufspüren von Software-Schwachstellen bereitet den Verantwortlichen in mehreren deutschen Behörden Kopfzerbrechen. Denn zu der Sorge, das wirkmächtige KI-Modell Claude Mythos Preview könne in die falschen Hände geraten, gesellt sich inzwischen auch die Befürchtung, Schwachstellen als Zugang für die Aufklärung verschlüsselter Kommunikation – etwa von Terroristen – könnten in Zukunft womöglich nur noch ausgewählten Behörden in den USA zur Verfügung stehen. Offiziell äußern sich die Verantwortlichen vorsichtig zu den mit Mythos verbundenen Herausforderungen und Risiken.

Schwachstellen zu schließen ist erst einmal gut

„Es ist zunächst eine gute Entwicklung, wenn Schwachstellen schneller gefunden und geschlossen werden können“, teilt der Leiter der Abteilung Cybercrime beim Bundeskriminalamt (BKA), Carsten Meywirth, auf Anfrage mit. Die Erfahrung zeige jedoch, dass sich cyberkriminelle Vorgehensweisen und Angriffsvektoren sehr schnell an den Stand der Technik anpassten. Diese Dynamik lasse sich nicht einseitig aufhalten.

Meywirth betont: „Cybersicherheit bleibt deshalb auch in Zukunft eine Gemeinschaftsaufgabe im steten Zusammenspiel von Software-Herstellern, Anwendern, privaten Sicherheitsdienstleistern und Behörden.“ Als Zentralstelle der deutschen Polizei fördere das BKA dabei die nationale und internationale Zusammenarbeit, auch mit dem privaten Sektor.

KI-Modell soll nicht öffentlich zugänglich sein

Mythos gelang es laut Anthropic, zum Teil über Jahrzehnte unentdeckt gebliebene Sicherheitslücken in verschiedener Software zu finden. In den falschen Händen könnte das KI-Modell deshalb zur Entwicklung gefährlicher Cyberwaffen führen. Anthropic hat keine Pläne, Mythos zu veröffentlichen – und gewährt bisher nur einen Zugang für ausgewählte Unternehmen und Organisationen, damit sie Schwachstellen in ihrer Software schließen können.

Wie heikel das Thema ist, zeigt eine Antwort des Bundesfinanzministeriums auf die Frage, wie das Ministerium mit der Entwicklung des neuen potenziell gefährlichen KI-Modells umgehe. Das Informationstechnikzentrum Bund, der zentrale IT-Dienstleister der Bundesverwaltung, analysiere aktiv die Lage mit Blick auf Softwareschwachstellen. Zugleich bat das Finanzministerium um Verständnis, dass „zu den Details vorgenommener Schwachstellenanalysen“ und damit zusammenhängender Prozesse „aus Gründen der Sensibilität des Themas öffentlich keine weitergehenden Auskünfte gegeben werden können“.

BSI wies früh auf Umwälzungen hin

Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hatte bereits kurz nach der Vorstellung von Claude Mythos Preview erklärt, das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“.

Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“ Zudem stelle sich die Frage, ob und wenn ja wie lange derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. „Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität.“

(mho)

Ist denn schon wieder Donnerstag? OpenAI hat sein nächstes Sprachmodell vorgestellt: GPT-5.5 versteht sich weniger als Chatbot und stärker als eigenständig arbeitender KI-Agent. Wie das Unternehmen mitteilt, soll das Modell Aufgaben selbstständig planen, Werkzeuge nutzen, Zwischenergebnisse prüfen und über längere Zeiträume konsistent arbeiten. GPT-5.5 löst damit den erst Anfang März erschienenen Vorgänger GPT-5.4 als Flaggschiff-Modell ab.

Die Schwerpunkte liegen auf Softwareentwicklung, Recherche, Datenanalyse und Bedienung von Software über Schnittstellen hinweg. Trotz höherer Leistungsfähigkeit soll die Antwortgeschwindigkeit pro Token identisch mit GPT-5.4 bleiben, heißt es im OpenAI-Blog. OpenAI nennt als Grund Optimierungen in der gesamten Infrastruktur, darunter KI-gestützte Lastverteilung – technische Details zur konkreten Umsetzung bleibt das Unternehmen allerdings schuldig. Zudem soll GPT-5.5 für dieselben Aufgaben deutlich weniger Tokens verbrauchen als sein Vorgänger.

Bestwerte beim agentischen Coding

Besonders stark präsentiert sich das Modell laut OpenAI beim sogenannten agentischen Coding, also der eigenständigen Bearbeitung komplexer Entwicklungsaufgaben inklusive Planung, Debugging und Tool-Nutzung. Auf der Ankündigungsseite für GPT-5.5 zeigt OpenAI mehrere Ergebnisse, etwa einen Erdbebentracker, zwei einfache 3D-Spiele und eine interaktive Visualisierung einer Mondmission:

Auf Terminal-Bench 2.0, einem Benchmark für mehrstufige Kommandozeilen-Workflows, erreicht GPT-5.5 eine Genauigkeit von 82,7 Prozent. Damit liegt es vor Claude Opus 4.7 (69,4 Prozent) und Gemini 3.1 Pro (68,5 Prozent). Auf dem Artificial Analysis Coding Index soll GPT-5.5 die gleiche Leistung wie Konkurrenzmodelle zu den halben Kosten liefern.

Auch bei der Desktop-Steuerung über Screenshots – OpenAI spricht von „Computer Use“ – zeigt sich ein Fortschritt: Im Benchmark OSWorld-Verified kommt GPT-5.5 auf 78,7 Prozent und liegt damit knapp vor Claude Opus 4.7 mit 78,0 Prozent. Anthropic hat sein jüngstes Modell Opus 4.7 erst eine Woche vor GPT-5.5 freigegeben und dabei vorwiegend die verbesserte Anweisungsbefolgung betont.

Benchmark-Vergleiche mit Lücken

Bei genauerem Blick auf die von OpenAI veröffentlichten Leistungsdaten fällt auf, dass die Vergleichbarkeit eingeschränkt ist. Mehrere Benchmarks enthalten keine Werte für Konkurrenzmodelle. Beim internen Expert-SWE etwa tritt GPT-5.5 ausschließlich gegen den eigenen Vorgänger an – externe Referenzwerte fehlen komplett. Auch bei Toolathlon und CyberGym sind die Tabellen lückenhaft.

Wo externe Modelle einbezogen werden, ergibt sich ein differenzierteres Bild. Beim Wissensarbeits-Benchmark GDPval erreicht GPT-5.5 mit 84,9 Prozent zwar den Spitzenwert, liegt aber nur knapp vor GPT-5.4 (83,0 Prozent) und Claude Opus 4.7 (80,3 Prozent). Bei BrowseComp, einem Test für mehrstufige Web-Recherche, überholt Gemini 3.1 Pro mit 85,9 Prozent sogar das Basismodell GPT-5.5 (84,4 Prozent) – erst die Pro-Variante zieht mit 90,1 Prozent davon. Für eine belastbare Einordnung der tatsächlichen Leistung bleiben unabhängige Tests abzuwarten.

Spezialisierte Modelle als Strategie

GPT-5.5 reiht sich in eine Serie schneller Veröffentlichungen ein, mit der OpenAI zuletzt das Modellangebot ausdifferenziert hat. Erst vergangene Woche stellte das Unternehmen ein verbessertes Bildmodell mit Thinking-Modus vor. Wenige Tage zuvor war GPT-Rosalind erschienen, ein auf Biologieforschung spezialisiertes Modell. Und bereits Mitte April hat OpenAI mit GPT-5.4-Cyber eine Variante mit gelockerten Sicherheitsbeschränkungen für verifizierte Sicherheitsforscher angekündigt.

Beim Thema Sicherheit betont OpenAI für GPT-5.5 die bisher umfangreichsten Schutzmaßnahmen. Vor dem Release habe es gezielt erweiterte Cybersecurity- und Biologie-Fähigkeiten getestet, internes und externes Redteaming durchgeführt sowie Feedback von rund 200 Early-Access-Partnern eingeholt. Ausgewählte Nutzer erhalten über ein „Trusted Access“-Programm erweiterten Zugriff auf sicherheitsrelevante Funktionen – ein Konzept, das OpenAI bereits bei GPT-5.4-Cyber etabliert hatte.

GPT-5.5 steht zunächst für Plus-, Pro-, Business- und Enterprise-Nutzer in ChatGPT und Codex zur Verfügung. Die Pro-Variante GPT-5.5 Pro ist auf Pro-, Business- und Enterprise-Konten beschränkt. Eine allgemeine API-Freigabe hat OpenAI angekündigt, aber dafür noch keinen Termin genannt. Zur Preisgestaltung in Europa und zur DSGVO-Konformität äußert sich das Unternehmen bislang nicht.

(vza)