Zunehmender Tokenverbrauch und die Umstellung auf verbrauchsbasierte Abrechnungsmodelle werden laut Prognose der Marktforscher von Gartner Coding mit generativer KI zunehmend verteuern. 2028 dürften die Tokenkosten pro Entwickler dann laut Gartner den globalen Durchschnittslohn eines Entwicklers übersteigen. Die Prognose basiert auf einem weltweiten Mittelwert von rund 2.000 US-Dollar pro Monat – also deutlich unter dem, was man in Deutschland in der Branche verdient.

Gartner-Analyst Nitish Tyagi betonte auch, dass die Kosten natürlich nicht jedes Entwicklergehalt auf der Welt übersteigen würden – in den USA werde etwa deutlich besser bezahlt als in Indien. Laut Gartnerdaten würden aber schon sechs Prozent der Unternehmen Token-Kosten von über 2000 US-Dollar pro Entwickler pro Monat erreichen, was über dem typischen Gehalt indischer Entwickler mittlerer und höherer Erfahrungsstufen liege.

„Unternehmen gehen rasch von der Testphase zur groß angelegten Einführung von KI-Codingsagenten über, doch viele unterschätzen die finanziellen Auswirkungen des steigenden Token-Verbrauchs“, führte Tyagi weiter aus. Mehr Disziplin beim Tokenverbrauch werde aber nicht allein aus den Entscheidungen der Entwickler erwachsen. Die neigten Tyagis Ansicht nach eher zu Komfort und Schnelligkeit als zu Kosteneffizienz. Ohne ein geregeltes Betriebsmodell für die Entwicklung könnten die Kosten in den Unternehmen schneller steigen als die Produktivitätsgewinne, die KI-Tools erreichen sollen.

Kein ROI, nirgends?

„Führungskräfte im Bereich Softwareentwicklung sind zunehmend besorgt, da sich tokenbasierte KI-Ausgaben immer schwerer rechtfertigen lassen und Budgets oft früher als erwartet aufgebraucht sind“, sagte Tyagi. Unter anderem hatte im April der Uber-CTO Praveen Neppalli Naga mit der Aussage für Aufsehen gesorgt, dass das jährliche Token-Budget der Firma bereits aufgebraucht sei. Darauf legte Uber-Präsident Andrew Macdonald im Mai in einem Podcast nach, dass der Nutzen des KI-Einsatzes auch nicht klar sei. Ein Zuwachs an nützlichen Funktionen für Verbraucher habe sich nicht abgezeichnet. Ein ähnliches Bild zeigt sich auch in Deutschland, wo laut einer Bitkom-Umfrage rund ein Drittel der befragten Unternehmen von den Kosten ihres KI-Einsatzes überrascht worden ist.

Laut Gartner mangelt es bei den Anbietern auch an Transparenz bei der Berechnung und Abrechnung des Token-Verbrauchs. Integrierte Funktionen zur Kostenoptimierung in ihren KI-Codierungsagenten hätten die Anbieter ebenfalls noch nicht bereitgestellt. Das mache es den Unternehmen schwerer, Kosten genau zu prognostizieren und zu kontrollieren.

Transparenz und Steuerung fehlen

Hinzu komme ferner die mangelhafte Steuerung der Nutzung in den Unternehmen, die für übermäßige Ausgaben sorge. Als häufige Fehlerquellen nennt Gartner etwa unkontrollierte Autonomie in agentengesteuerten Arbeitsabläufen sowie überladene Kontextfenster. Insgesamt dürfte sich die Preisspirale noch weiter drehen, schätzt Tyagi ein: „Die Kosten für KI-Coding werden weiter steigen, da Infrastrukturinvestitionen und Herausforderungen bei der Rentabilität die Modellpreise in die Höhe treiben.“

Um die Kosten im Griff zu halten, empfehlen die Gartner-Analysten unter anderem Tokenschwellenwerte und automatisierte Überwachung einzuführen. Ebenfalls sollten Aufgaben für die KI möglichst segmentiert werden, damit sie auch von kleineren Modellen bewältigt werden können. Spitzenmodelle sollten lediglich für komplexe Aufgaben mit hoher Wertschöpfung zum Einsatz kommen. Ferner sollten Entwickler geschult werden, ihre KI-Prompts auf Sparsamkeit zu optimieren, indem sie nur relevante Informationen einbeziehen und Inhalte nach Möglichkeit zusammenfassen.

(axk)

Wie wirkt sich KI auf Teams aus? Mit Jasmine Simons-Zahno spricht Richard Seidl darüber, wie der zunehmende KI-Einsatz unser soziales Miteinander verändert: Kommunikation wird sachlicher, Vertrauen erodiert langsam, und das soziale Lernen, das gerade junge Menschen am Anfang ihrer Karriere brauchen, findet schlicht nicht mehr statt.

Jasmine Simons-Zahno erklärt, warum Reibung im Team kein Fehler ist, sondern eine Voraussetzung für Innovation, und warum der Allwissende in der Tasche uns gegenüber anderen glatter, aber nicht vertrauenswürdiger macht. Ihr Vorschlag klingt einfach, braucht aber echte Entscheidung: KI wie ein neues Teammitglied integrieren, also mit klaren Rollen, expliziten Vereinbarungen und dem Bewusstsein, dass dieser Aufwand kein Nice-to-have ist.

„Es gibt eine hohe Korrelation zwischen Vulnerabilität und Likeability.“ – Jasmine Simons-Zahno

Jasmine Simons-Zahno brennt für die menschliche Seite der Produktentwicklung. Sie coacht mit Leichtigkeit, Leidenschaft und Anspruch in Führungskontexten beliebiger Flughöhen in Unternehmen verschiedenster Größen. Ihre Stärke ist es, authentischer Spiegel für Menschen zu sein, die sich entwickeln dürfen, aber dem Ruf dazu gerade noch allzu gerne ausweichen möchten. Als Mitgründerin der Agile Growth, dreifache Mutter und ambitionierte Hobby-Köchin lässt sie nichts anbrennen.

Softwarequalität im Gespräch

Dieses Format fokussiert sich auf Softwarequalität: Ob Testautomatisierung, Qualität in agilen Projekten, Testdaten oder Testteams – Richard Seidl und seine Gäste betrachten die Dinge, die die Qualität in der Softwareentwicklung steigern.

Die aktuelle Episode ist auch auf Richard Seidls Blog verfügbar.

(mai)

Cloudflare öffnet sein OAuth-Ökosystem für alle Kunden, unter dem Namen Self-managed OAuth. Unternehmen und Entwickler können nun eigene OAuth-Anwendungen anlegen, die auf ihr Cloudflare-Konto zugreifen dürfen, und damit Integrationen auf Basis der Cloudflare-API bauen. Bislang stand Third-Party-OAuth nur für wenige, manuell zugelassene Partner zur Verfügung. Wer eigene Anbindungen entwickeln wollte, musste meist auf API-Tokens ausweichen, die für delegierte Zugriffe oft weniger geeignet sind und sich schlechter verwalten lassen.

OAuth ist ein Standard, mit dem eine Anwendung im Namen eines Nutzers auf begrenzte Ressourcen zugreift, ohne dessen Passwort zu erhalten. Das Verfahren nutzt Zustimmungsdialoge, begrenzt Berechtigungen (Scopes) und ermöglicht es Anwendern, erteilte Zugriffe zentral zu widerrufen.

Mehr Kontrolle für Entwickler und Anwender

Cloudflare begründet in seinem Blog die Öffnung mit dem gewachsenen Bedarf der Entwicklerplattform. Da immer mehr Kunden Integrationen, Automatisierungen und agentische Werkzeuge nutzen, ist ein delegierter Zugriff für SaaS-Anbindungen und interne Entwicklerplattformen wichtiger geworden.

Parallel zur Öffnung hat Cloudflare die Sicherheits- und Verwaltungsfunktionen ausgebaut. Dazu gehören ein präziserer Zustimmungsdialog, eine bessere Sichtbarkeit der App-Inhaberschaft zur Abwehr von Phishing sowie eine zentrale Widerrufsfunktion im Dashboard.

Aufwendiger Umbau im Hintergrund

Die Freigabe erforderte tiefgreifende Änderungen an der OAuth-Infrastruktur. Cloudflare setzt weiterhin auf die Open-Source-Engine Hydra, musste jedoch auf eine neuere Version migrieren. Der Anbieter teilte den Umbau in zwei Schritte auf: erst ein Upgrade auf die aktuelle 1.x-Reihe, danach der Wechsel auf 2.x.

Das erste Upgrade brachte technische Hürden mit sich. Die Datenbankmigrationen hätten Tabellen zeitweise exklusiv gesperrt und damit laufende OAuth-Operationen blockiert. Cloudflare passte deshalb die SQL-Migrationen an, nutzte CREATE INDEX CONCURRENTLY und änderte die Abfragen der Hydra-SDKs, um deserialisierungsanfällige SELECT *-Operationen zu vermeiden.

Für den größeren Sprung auf 2.x wählte Cloudflare ein Blue-Green-Verfahren. Dabei lief die neue Version auf einer Kopie der Produktionsdatenbank parallel. Erst nach Abschluss der Migration schaltete der Betreiber um. Um Datenverlust während der Übergangsphase zu verhindern, fing Cloudflare Widerrufe über eine Queue ab und spielte diese nach dem Umschalten in die neue Umgebung zurück.

Token-Verhalten und Migrationseffekte

Nach dem Wechsel auf 1.x registrierte Cloudflare vermehrt Fehler bei Refresh Tokens. Die Ursache lag in einem strengeren Verhalten der neuen Version: Wurde ein Refresh Token erneut verwendet, invalidierte Hydra die gesamte Kette aus Zugriffs- und Refresh-Token. Dies betraf insbesondere Clients mit hoher Anfragefrequenz wie Wrangler und MCP-Clients. Cloudflare fing dies vorübergehend in einem Worker ab, der den OAuth-Verkehr weiterleitet: Doppelte Refresh-Versuche werden dort kurz gepuffert und nicht an Hydra durchgereicht.

Auch der Wechsel auf 2.x verlief nicht völlig reibungslos. Ein Bereinigungsjob im Autorisierungsdienst löschte OAuth-Policy-Daten zu aggressiv. Ursache davon war eine fehlerhafte Hydra-Migration, die den Zustand gültiger Sitzungen beschädigte. Dies führte zu abweichenden Bewertungen zwischen Hydra und dem Autorisierungsdienst, was sich in gehäuften 403-Fehlern äußerte. Cloudflare spielte daraufhin Daten zurück und optimierte das Autorisierungsverhalten.

Mit dem Abschluss der Migration läuft der OAuth-Verkehr nach Angaben des Unternehmens stabiler und performanter. Das Live-System basiert nun auf derselben Grundlage wie die neueren OAuth-APIs, die Cloudflare bereits zuvor in der Staging-Umgebung validiert hatte. Kunden können jetzt ohne Sonderfreigabe eigene OAuth-Apps anlegen und Integrationen auf dieser Basis entwickeln.

(fo)