Die Idee, eine agentische KI mit Einkäufen zu beauftragen, klingt auf den ersten Blick bizarr und auch risikoreich. Wie kann sie wissen, welche Produkte passen oder gefallen? Sind die Zahlungsverfahren sicher? Was, wenn sie Dinge falsch versteht und in einen Kaufrausch kommt? Und was ist mit dem Datenschutz, Stichwort gläserner Kunde?

In dieser Folge des c’t uplink sprechen wir über die Details und Herausforderungen von Agentic Commerce, welche Perspektiven das Konzept hat und warum zur Zeit noch viel (auch rechtliche) Unsicherheit herrscht.

Zu Gast im Studio: Markus Montz
Host: Jan Schüßler
Produktion: Tobias Reimer

►Mehr zum Thema Agentic Commerce lesen Sie in unserem Schwerpunkt bei heise+ (€).

► c’t Magazin
► c’t auf Mastodon
► c’t auf Instagram
► c’t auf Facebook
► c’t auf Bluesky
► c’t auf Threads
► c’t auf Papier: überall, wo es Zeitschriften gibt!

(jss)

Stellen Sie sich vor, das Telefon klingelt, auf dem Bildschirm erscheint das vertraute Gesicht eines Kollegen, die Stimme klingt genauso, wie Sie sie seit Jahren kennen – und doch sprechen Sie mit niemandem. Genau dieses mulmige Szenario haben wir in der Redaktion in einem Selbstversuch durchgespielt und einen ahnungslosen Mitarbeiter per Live-Deepfake angerufen. Das Ergebnis dieses Experiments mit KI-gestützter Video- und Sprachfälschung ist gleichermaßen faszinierend wie verstörend. Wenige Fotos und kurze Audioschnipsel reichen heute aus, um digitale Doppelgänger zu erschaffen, die selbst geübte Augen täuschen. Gemeinsam mit einem IT-Sicherheitsexperten zeigen wir aber auch, woran sich die Fälschungen trotz aller technischen Fortschritte noch erkennen lassen.

Jetzt aber ausnahmsweise mal genug mit KI, hin zu handfester Hardware: Intel hat mit der Baureihe Core Ultra 300, intern Panther Lake genannt, einen Gegenangriff auf die erstarkte ARM-Konkurrenz gestartet. Endlich sollen lange Akkulaufzeiten und hohe Performance unter einer Haube vereint sein, so wie es Apple und Qualcomm seit Jahren vormachen. Ob das gelingt, haben wir im Vergleichstest von vier 14-Zoll-Notebooks mit den neuen Panther-Lake-Chips geprüft. Mit dabei sind HPs OmniBook X 14 für unter 1100 Euro sowie deutlich teurere Edelgeräte von Dell, Lenovo und Samsung jenseits der 2700-Euro-Marke. Dass solche Preise inzwischen für Neuerscheinungen üblich sind, hat übrigens auch mit der KI-getriebenen Speicherkrise zu tun – ein Thema, das uns wohl noch eine Weile begleiten wird.

Wer ein neues Notebook bevorzugt fernab des Schreibtischs nutzen möchte, plant womöglich auch das Wochenende öfter mit den Füßen statt mit dem Auto. Apropos: Reguläre Karten-Apps sind nicht immer ideal, wenn man wandern oder gemütlich durch unbekannte Städte streifen will. Wir haben deshalb neun praktische Tipps zusammengetragen, wie Sie mit iPhone, iPad und Mac besser zu Fuß ans Ziel kommen. Wussten Sie etwa, dass in Apple Karten ein recht versteckter, manueller Routenplaner für Fußgänger schlummert, mit dem sich mehrere Orte zu einer Wegstrecke verknüpfen lassen? Ein schöner Begleiter für entspannte Herbstspaziergänge.

Für alle, die lieber elektrisch unterwegs sind, haben wir einen Blick auf die Batterietechnologie unter der Motorhaube. In China stecken bereits in über 80 Prozent der neu zugelassenen E-Autos LFP-Zellen, in Europa sind es bislang nur gut 13 Prozent – doch der Trend kippt. Anschaulich erklären wir, warum Lithium-Eisenphosphat-Zellen günstiger, robuster und sicherer als die hier noch dominierenden NMC-Akkus sind – und wo ihre Schwächen liegen, etwa bei Kälteempfindlichkeit und geringerer Energiedichte. Ich fand spannend, wie sehr die Kristallstruktur der Kathode darüber entscheidet, ob ein Akku im Crash-Fall ins gefürchtete „Thermal Runaway“ gerät oder eben nicht.

Von der Materialschlacht im Akku zur Materialschlacht an der Börse: Am 12. Juni soll mit SpaceX einer der größten Börsengänge der Geschichte über die Nasdaq gehen. 75 Milliarden US-Dollar will Elon Musk einsammeln, die Bewertung läge bei mindestens 1,75 Billionen – mehr als Saudi Aramco, Meta oder Tesla. Was das für Privatanleger bedeutet, wie deutsche Investoren überhaupt an die Aktie kommen und welche ETFs künftig automatisch SpaceX-Anteile enthalten, beleuchten wir in einer ausführlichen Analyse zum SpaceX-IPO und seinen Folgen für Anleger. Spoiler: Die größte Umsatzquelle ist längst nicht mehr das Raketengeschäft, sondern Starlink.

Für alle, die sich fragen, warum manche CI/CD-Pipelines so zickig sind, beschreiben wir, warum klassische Ansätze für moderne Testautomatisierung oft nicht mehr ausreichen und plädieren für ein radikales Testdaten-Engineering. Gerade wenn Cloud-native Microservices und historisch gewachsene Datenbankmonster aufeinandertreffen, wird die Bereitstellung valider Ausgangszustände zur Königsdisziplin – ein Muss für alle, die ihre Tests endlich zuverlässig grün bekommen möchten.

Auch wenn die Fußball-WM in diesem Jahr von allerhand politischem Theater überschattet wird, bringt sie wieder einige technische Änderungen mit: einen neuen gechippten Ball, KI-Spieleravatare, einen erweiterten Video-Schiedsrichter und mehr Regeln sollen für mehr Fairness sorgen. Welche Vor- und Nachteile die Neuerungen mit sich bringen, habe ich in einem Hintergrundartikel beschrieben. Außerdem können sie sehen, was passiert, wenn man sich auf KI-Coding einlässt: Eigentlich wollte ich nur eine interaktive Animation des WM-Balles „Trionda“ bauen, jetzt können Sie auf „Bottis Bolzplatz“ gegen unser Maskottchen antreten…

In diesem Sinne wünsche ich Ihnen ein schönes Wochenende – und falls Sie demnächst einen Videoanruf bekommen, schauen Sie vielleicht zweimal hin.

Ihr
Volker Zota
Chefredakteur heise medien

P.S.: An dieser Stelle möchte ich Sie noch auf unseren Expertentalk am 17. Juni um 17 Uhr hinweisen, in dem wir Ihre Fragen zu mobilen Klimageräten beantworten.

(vza)

Hunderte Webseiten mit offenen Datenbanken

Die Erstellung von Webseiten und Apps mittels KI, oft als „Vibecoding“ oder „Webcoding“ bezeichnet, birgt erhebliche Sicherheitsrisiken. Das ergab eine Recherche der IT-Expertin Eva Wolfangel. In dieser Ausgabe des KI-Updates übernehmen daher die Kolleginnnen des c’t-Podcasts „They Talk Tech“ das Ruder. Eva Wolfangel spricht mit Svea Eckert über die weitreichenden Folgen des Vibecodings für das Internet. Gemeinsam mit dem KI-Sicherheitsforscher Christopher Helm hatte Wolfangel hunderte Webseiten mit ungesicherten Datenbanken gefunden, in denen sensible Daten wie Kundendaten, Produktionspläne oder Bewerbungsunterlagen offen im Netz lagen.

Als exemplarisches Beispiel dient der Fall einer jungen Startup-Gründerin, die Wolfangel „Larissa“ nennt, um ihre Identität zu schützen. Sie hatte sich mit einem nachhaltigen Online-Shop selbstständig gemacht. Als Wolfangel sie kontaktierte und über die Sicherheitslücke informierte, war die Gründerin schockiert. „Sie hat gesagt, Mann, ich kann kaum noch schlafen. Ich habe mich ruiniert. Ich bin so dumm“, berichtet Wolfangel im Podcast. Die Daten all ihrer Kunden waren frei zugänglich.

Bequemlichkeit vor Sicherheit

Die Ursache für die Sicherheitslücke liegt oft in der Funktionsweise der eingesetzten Werkzeuge. „Vibecoding“ beschreibt Wolfangel als „Programmieren auf Basis natürlicher Sprache“. Nutzerinnen uns Nutzer müssen also keine Programmiersprache mehr beherrschen, sondern können einer KI in einfachen Worten Anweisungen geben. Dafür werden Plattformen wie „Lovable“ genutzt. Diese greifen wiederum auf sogenannte „Backend-as-a-Service“-Anbieter wie „Supabase“ zurück, um die Datenbanken und die Infrastruktur hinter der Webseite zu organisieren.

Das Problem entsteht durch die Standardeinstellungen dieser Dienste. Supabase stand laut Wolfangel lange in der Kritik, weil der voreingestellte Schutzmechanismus der schwächste war: Die Datenbanken waren standardmäßig offen im Netz. „Am Ende wurde Bequemlichkeit gewählt und nicht Sicherheit“, erklärt Wolfangel. Denn wenn alle die Datenbank sehen können, funktioniert die erstellte Anwendung auf jeden Fall. Komplexere Berechtigungen, die für Laien schwer zu durchschauen sind, werden so umgangen. Das Ergebnis ist eine funktionierende, aber unsichere Webseite.

Wie intelligent ist Künstliche Intelligenz eigentlich? Welche Folgen hat generative KI für unsere Arbeit, unsere Freizeit und die Gesellschaft? Im „KI-Update“ von Heise bringen wir Euch gemeinsam mit The Decoder werktäglich Updates zu den wichtigsten KI-Entwicklungen. Freitags beleuchten wir mit Experten die unterschiedlichen Aspekte der KI-Revolution.

Auch große Unternehmen sind betroffen

Die Recherche von Wolfangel und Helm zeigte, dass nicht nur kleine Start-ups betroffen sind. Unter den mehr als 600 untersuchten Webseiten fanden sich auch große Namen. So waren etwa bei der VOM-Hochschule, einer der größten privaten Hochschulen Deutschlands, Daten von hunderten Studierenden offen einsehbar. Auch ein deutscher Industrieanlagenbauer legte Produktionsdatensätze offen. Ein besonders drastischer Fall war ein US-Anbieter für IT-Sicherheitsschulungen für Behörden, der die privaten E-Mail-Adressen von FBI-Mitarbeitern ungeschützt im Netz hatte.

Die Behebung der Lücken gestaltete sich oft schwierig. „Auch die VOM-Hochschule hat mehrere Anläufe gebraucht und am Ende hat sie die Datenbank einfach vom Netz genommen“, so Wolfangel. Dies zeige den Teufelskreis: Entwicklerinnen und Entwickler, die KI-Unterstützung nutzen, laufen Gefahr, Fehler zu übersehen, die später nur mit hohem Aufwand zu beheben sind.

Auf die Frage, ob „Vibecoding“ generell unsicher sei, rät Wolfangel zur Vorsicht. Das Versprechen, dass jeder ohne Vorkenntnisse eine App bauen könne, sei trügerisch. Man müsse bereit sein, sich tief mit der Materie zu beschäftigen. Besonders bei kritischen Anwendungen wie einem Webshop mit Kundendaten sei das Risiko hoch. „Genau dieser Use-Case ist tatsächlich, würde ich sagen, einer der sehr gefährlichen und da würde ich die Finger davon lassen“, schließt Wolfangel.

(igr)