Connect with us

Entwicklung & Code

Android Studio Quail 2 mit parallelen Agentenchats und LeakCanary-Integration


Android Studio Quail 2 steht als stabiles Release bereit. Gegenüber dem Vorgänger Quail 1 zeichnet sich die Android-IDE durch drei wesentliche Neuerungen aus: eine Multitasking-Architektur für parallele Agentenchats, native LeakCanary-Integration im Profiler sowie eine jetzt vollständig mit Agent Mode integrierte agentengestützte Crash-Analyse in App Quality Insights.

Weiterlesen nach der Anzeige

Die parallelen Agentenchats von Android Studio Quail 2 überwinden den bisherigen Engpass, dass sich Agenten-Tasks nur sequenziell abarbeiten ließen. Damit erlaubt es die neue Version Entwicklerinnen und Entwicklern beispielsweise, in einem Tab ein UI-Refactoring zu starten, in einem zweiten eine ProGuard-Regel neu zu definieren und in einem dritten die Dokumentation zu generieren. Jedem Tab lässt sich ein individuelles Modell zuweisen. Worktree-Support gibt es mit den parallelen Agentenchats allerdings nicht.


Screenshot von  Android Studio Quail 2

Screenshot von  Android Studio Quail 2

Mit dem History-Icon von Android Studio Quail 2 können Entwicklerinnen und Entwickler zwischen aktiven Tasks umschalten.

(Bild: Google)

LeakCanary und App Quality Insights (AQI) greifen Entwicklern unter die Arme, um Fehler aufzuspüren und zu beheben, ebenfalls KI-gestützt. Das Open-Source-Tool LeakCanary steckt nativ im Profiler und spürt Speicherlecks laut Google bis zu fünfmal schneller auf als bisher, indem es die Leak-Nachverfolgung vom Testgerät auf den Entwicklungsrechner verlagert. Der Button „Go to Declaration“ springt zur entsprechenden Codestelle, während „Fix with Agent“ sie nach User-Zustimmung mittels KI-generiertem Codepflaster schließt.

AQI setzt auf den gleichen Modus Operandi. Klicken Developer im AQI-Panel auf ein Crash-Ereignis, erhalten sie eine Zusammenfassung des Problems, in einem eigenen Chat und auf Wunsch noch eine umfassende Erklärung dazu. Beides basiert auf dem jeweils ausgewählten Modell. „Fix with AI“ soll dann ebenfalls für schnelle Abhilfe sorgen.

Weiterlesen nach der Anzeige

Google bietet Android Studio Quail 2, dessen tierischer Codename Quail (Wachtel) für die 2026-Generation der IDE steht, für Windows, macOS, Linux und ChromeOS zum Download an. Android Studio Quail 3 ist bereits als Release Candidate verfügbar.

Lesen Sie auch


(mro)



Source link

Entwicklung & Code

Fake-GitHub-Repositorys: Infostealer statt Security- oder Developer-Tools


Angreifer haben hunderte GitHub-Repositorys angelegt, die vermeintlich von bekannten Firmen stammen. Ein Link auf die „official page“ im Readme führt zu einer Seite der Angreifer, die einen Infostealer verteilt.

Weiterlesen nach der Anzeige

Die Schadsoftware greift Credentials und vertrauliche Daten von mindestens 19 Webbrowsern und zahlreichen Krypto-Wallets ab. Auch Messenger und Social-Media-Anwendungen sowie Steam-Accounts sind im Fokus der Angreifer.

Der Angriff nutzt keine Schwachstellen aus, sondern setzt auf Brandjacking und Social Engineering. Die Repositorys geben vor, von bekannten Firmen unter anderem aus den Bereichen Security, Entwicklungswerkzeuge, Krypto-Tools, Fintech und Gaming-Software zu stammen. Der Schadcode läuft ausschließlich auf Windows-Rechnern.

Sicherheitsforscher von Arctic Wolf haben den Angriff entdeckt. Der Auslöser war, dass ein Fake-Repository vorgab, von Arctic Wolf zu stammen. Bei den weiteren Untersuchungen haben die Forscher festgestellt, dass die Angreifer insgesamt 292 Repositorys erstellt hatten, von denen GitHub inzwischen die meisten entfernt hat.

Einige Repositorys sind jedoch vermutlich noch aktiv und es ist möglich, dass die Angreifer weitere Fake-Repositorys erstellen.

Der Angriffsvektor ist jedes Mal derselbe. Für das Fake-Repository zu Arctic Wolf enthielt die Markdown-Datei mit dem Readme (README.md) einen Link zur vermeintlichen „official page“ des Anbieters und der Software. Dieser Link führte zu einer Domain der Angreifer, die sich wiederum als Arctic-Wolf-Seite ausgab und ein Paket zum kostenlosen Download angeboten hat.

Weiterlesen nach der Anzeige

Der Download-Button trug die Schrift „Download Secure Content“ und zahlreiche Badges wiesen darauf hin, dass die Verbindung sicher und die Software auf Viren geprüft sei.


Screenshot Arctic Wolf Download

Screenshot Arctic Wolf Download

Viel grüne Farbe und viel „Secure“ sollen ein Gefühl der Sicherheit vermitteln (Abb. 1).

(Bild: Arctic Wolf)

Der Klick auf den Button löste den Download einer ZIP-Datei aus. Offenbar erzeugte der Server, der das Paket verteilte, im Minutentakt frische Pakete mit jeweils geänderten ZIP-Dateinamen und neuen Namen der Executables.

Neben dem Schadcode enthielt das Archiv viel Beifang, der nach Vermutung der Sicherheitsforscher lediglich dazu dient, die ZIP-Datei auf die erwartete Größe zu bringen. Der eigentliche Schadcode steckte in zwei Dateien: gup.exe zum Laden der Datei libcurl.dll, die wiederum den Infostealer dekodiert und im Speicher ausführt.




(Bild: AliaAyah / Shutterstock)

Am 22. und 23. September findet die heise devSec 2026 statt. Die zehnte Auflage der Konferenz zu sicherer Softwareentwicklung wandert dieses Jahr nach Marburg. Weiterhin lautet das Motto „Sichere Software beginnt vor der ersten Zeile Code“.

Der Infostealer ist laut der Analyse von Arctic Wolf eine Variante des im März von Trend Micro entdeckten BoryptGrab, der darauf ausgelegt ist, zahlreiche Daten und Credentials abzugreifen. Allerdings ist der für den Angriff genutzte Schadcode auf ein Minimum reduziert und lädt im Gegensatz zu BoryptGrab keine weiteren Payloads nach.

Die einzelnen Module des Infostealers zielen dabei auf unterschiedliche Browser, Messenger, Krypto-Wallets und mehr.

Die gesammelten Daten schickt die Software schließlich als ZIP-Archiv an einen russischen Server.



Der Schadcode greift Daten aus diversen Browsern, Messengern, Steam und anderen Anwendungen ab und schickt die gesammelten Informationen komprimiert an den Server der Angreifer (Abb. 2).

(Bild: Arctic Wolf)

Der Infostealer läuft nach dem Start nur einmal durch und versucht nicht, sich als automatisch gestarteter Prozess festzusetzen. Er macht auch keine Anstalten, sich auf andere Systeme zu verteilen.

Auch verzichtet der Schadcode auf Aufräumarbeiten: Alle gesammelten Daten und auch Logdateien der Software bleiben in einem temporären Verzeichnis, das die Software nach getaner Arbeit nicht löscht.

Weitere Details zu den einzelnen Modulen im Infostealer und den spezifischen IP-Adressen der Angreifer finden sich im Arctic-Wolf-Blog.


(rme)



Source link

Weiterlesen

Entwicklung & Code

Mozilla: Offene KI kommt an – das Geld aber nicht


Open-Source-KI hat nach Einschätzung von Mozilla einen Wendepunkt erreicht. Der Browserhersteller sieht offene Sprachmodelle nicht länger als technologisch deutlich unterlegen gegenüber proprietären Angeboten wie ChatGPT oder Claude. Laut dem ersten „State of Open Source AI“-Report beträgt der Leistungsabstand zu den führenden geschlossenen Modellen auf Basis der LMSYS Chatbot Arena nur noch rund 3,3 Prozentpunkte. Gleichzeitig seien die Inferenzkosten innerhalb von drei Jahren von rund 20 US-Dollar auf etwa 40 Cent pro Million Token gesunken.

Weiterlesen nach der Anzeige

Trotz dieser Entwicklung profitiert das Open-Source-Ökosystem wirtschaftlich bislang kaum. Mozilla zufolge kommen offene Modelle inzwischen auf etwa ein Drittel der realen KI-Nutzung, erzielen aber lediglich rund vier Prozent der Umsätze. Der Report basiert auf einer eigenen Analyse sowie einer weltweiten Umfrage unter mehr als 950 Entwicklern, die Mozilla gemeinsam mit dem Marktforschungsunternehmen SlashData durchgeführt hat.

Nach den Umfragedaten setzen 79 Prozent der befragten Entwickler offene KI-Modelle ein. In produktiven Umgebungen landen sie jedoch deutlich seltener: 51 Prozent haben Open-Source-Modelle produktiv eingeführt, während der Anteil bei proprietären Modellen 63 Prozent beträgt.

Mozilla führt diese Lücke weniger auf die Qualität der Modelle als auf fehlende Infrastruktur zurück. Die Autoren sehen Defizite vor allem bei Werkzeugen für den produktiven Betrieb, Standardisierung und Enterprise-Support. Als häufigste Hürden nennen die Befragten Infrastruktur- und Rechenkosten, Sicherheits- und Compliance-Anforderungen sowie den Aufwand für Betrieb und Skalierung. Auffällig sei zudem, dass der produktive Einsatz offener Modelle mit zunehmender Unternehmensgröße kaum zunehme – anders als bei proprietären Angeboten.

Nach Auswertung verschiedener Benchmarks haben offene Modelle in Bereichen wie Programmierung, allgemeinem Wissen und dem Befolgen von Anweisungen weitgehend zu proprietären Systemen aufgeschlossen. Vorteile sehen die Autoren für geschlossene Modelle weiterhin bei komplexen Reasoning-Aufgaben, langen Kontextfenstern und agentischen Anwendungen.

Regional sieht Mozilla Ostasien und insbesondere China bei der Einführung offener KI-Modelle vorn. Dort sei Open Source inzwischen Teil der nationalen KI-Strategie. Zugleich würden immer mehr Staaten ihre KI-Infrastruktur als strategische Ressource betrachten. Nach Angaben des Berichts wurden 2024 zwölf neue nationale KI-Strategien verabschiedet. Zudem hätten inzwischen 47 Staaten Einschränkungen für die Verarbeitung kritischer Daten im Ausland eingeführt.

Weiterlesen nach der Anzeige

Als wichtigste Entwicklung beschreibt Mozilla den Bedeutungsgewinn der Software rund um die eigentlichen KI-Modelle. Entscheidend sei zunehmend die sogenannte agentische Steuerungsschicht (Agentic Harness). Sie legt fest, auf welche Daten ein KI-Agent zugreifen darf, welche Werkzeuge er verwendet, welche Informationen er dauerhaft speichert und welche Aktionen er selbstständig ausführen kann.

Nach Einschätzung von Mozilla beeinflusst diese Schicht das Verhalten eines KI-Systems teilweise stärker als der Wechsel des zugrunde liegenden Sprachmodells. Wer diese Software kontrolliere, bestimme damit maßgeblich die Fähigkeiten und Grenzen von KI-Agenten.

Der Report warnt zugleich vor Sicherheits- und Governance-Problemen. Nutzer würden Anfragen von KI-Agenten in bis zu 93 Prozent der Fälle standardmäßig bestätigen. Mozilla sieht darin Anzeichen für eine zunehmende „Consent Fatigue“: Häufige Zustimmungsabfragen führten dazu, dass Nutzer Berechtigungen kaum noch kritisch prüfen.

Mozilla fordert deshalb stärkere Investitionen in Infrastruktur, Werkzeuge und Governance für offene KI. Zu den konkreten Empfehlungen des Reports zählen unter anderem der Aufbau eines offenen Agentic Harness, die Abkehr von proprietären Metering-Systemen sowie die Schaffung portabler Berechtigungsstandards für KI-Agenten. Andernfalls bestehe die Gefahr, dass sich zwar offene Modelle technisch etablierten, skalierbare KI-Plattformen aber dauerhaft von proprietären Anbietern dominiert würden.


(fo)



Source link

Weiterlesen

Entwicklung & Code

OpenSpec: Software von KI mit Spezifikationen entwickeln


Das Tool OpenSpec für Spec-driven Development führt in Version 1.6 einen Update-Befehl ein und unterstützt Projekte mit dem Coding-Agenten Oh My Pi und dem KI-Editor TRAE.

Weiterlesen nach der Anzeige

Mit dem neuen Befehl /opsx:update können Entwicklerinnen und Entwickler eine vorhandene, mit OpenSpec erzeugte Spezifikation vor der Implementierung ändern, ohne einen komplett neuen Anlauf nehmen zu müssen.

Außerdem erzeugt OpenSpec nun Kommandos und Skills für den CLI-Agenten Oh My Pi und für die KI-Entwicklungsumgebung TRAE von ByteDance. Für Prompts hat das OpenSpec-Team zudem die Genehmigungsregeln vereinfacht, die Entwickler jetzt pauschal im Vorfeld erteilen können. Auch die Validierung von Anforderungen an ein neues Projekt arbeitet laut Release Notes nun konsistenter.

Das Kommandozeilen-Tool OpenSpec organisiert KI-Projekte mit Spec-driven Development. Das heißt, Entwickler teilen dem Tool ihre Idee mit (/opsx:explore), wobei sich auch explizit bestehender Code einbinden lässt. Das Tool arbeitet also auch brown field.

Mit /opsx:propose erzeugt OpenSpec dann die Spezifikation in verschiedenen Ordnern und Markdown-Dateien. Die Spezifikation dient als Grundlage für die eigentliche Entwicklung und führt insbesondere KI-Agenten in die richtige Richtung. Eine Ablagemöglichkeit der Specs in einem Repo ist noch beta und soll als zentrale Single Source of Truth für ein Team dienen.

Weiterlesen nach der Anzeige

Sobald die Specs fertig sind und kein /opsx:update erforderlich war, startet man die Umsetzung mit /opsx:apply. Dabei arbeitet OpenSpec mit über 25 Tools zusammen, wie Antigravity, Claude Code, Codex, Cursor, Gemini CLI, GitHub Copilot, Junie, Kiro, Mistral Vibe, Qwen Code und neu eben Oh My Pi sowie TRAE. Als Modelle für OpenSpec selbst empfiehlt der Herausgeber Codex 5.5 oder Opus 4.7.

OpenSpec läuft auf Node ab Version 20.19 und ist Open Source unter MIT-Lizenz. KI-Contributions sind willkommen, solange sie geprüft und mit Modellbezeichnung im Pull Request erfolgen.


(who)



Source link

Weiterlesen

Beliebt