Ausgabe vom 26. April 2026

Die Pressekonferenz am Freitag in Berlin war choreografisch aufwendig. Bundesdigitalminister Karsten Wildberger trat als Hauptredner auf, der kanadische Digitalminister Evan Solomon ließ sich zuschalten, der Deal wurde als erster Großprojekt der „Sovereign Technology Alliance“ zwischen Kanada und Deutschland (unterzeichnet im Februar 2026) inszeniert. Die nüchterne Bilanz: Cohere übernimmt Aleph Alpha mit einem 90-zu-10-Verhältnis. Das fusionierte Unternehmen wird unter dem Namen Cohere weitergeführt. CEO ist Aidan Gomez, der Mitgründer von Cohere — und einer der ursprünglichen Autoren des „Attention Is All You Need“-Papers, das die Transformer-Architektur etablierte. Globaler Hauptsitz bleibt Toronto, Berlin wird europäisches Hauptquartier, Heidelberg als Forschungs- und Entwicklungs-Standort erhalten.

Die strategische Begründung ist klar — und für die deutsche Seite unbequem. Aleph Alpha hatte bereits im Mai 2024 den Wettbewerb um Foundation-Modelle verlassen und war auf eine Plattform-Strategie umgeschwenkt: PhariaAI als „Betriebssystem für generative KI“, in das Drittmodelle integriert werden. Es ist ein Pivot, der ein gescheitertes Modell-Wettrüsten zugab. Im Januar 2026 entließ das Unternehmen rund 50 Mitarbeitende. Gründer Jonas Andrulis hatte bereits im Oktober 2025 den CEO-Posten abgegeben und das Unternehmen im Frühjahr 2026 ganz verlassen — der NZZ sagte er nüchtern: „I'm out“. Er gründet derzeit ein neues Startup mit der Beratungsfirma Roland Berger. Geführt wird Aleph Alpha jetzt von einem Co-CEO-Duo aus Reto Spörri (Ex-Lidl-Online-Chef) und Ilhan Scheer (Ex-Accenture). Der dominierende Investor ist die Schwarz-Gruppe (Lidl, Kaufland, STACKIT) mit rund 20 Prozent — und es ist die Schwarz-Gruppe, die mit den 600 Millionen Dollar als Lead Investor der Cohere Series E den Deal überhaupt ermöglicht.

Cohere bekommt im Tausch zwei Dinge, die es selbst nicht hat. Erstens: Bestandsverträge mit dem Bundesdigitalministerium und der Landesregierung Baden-Württemberg, die laut TechCrunch ein „key incentive“ waren. Zweitens: Aleph Alphas Stärken bei kleinen Sprachmodellen, europäischen Sprachen und Tokenizern, die laut Gomez „komplementär“ zu Coheres Fokus auf große Frontier-Modelle seien. Cohere selbst hat ein 2025er-ARR von 240 Millionen Dollar und war im September 2025 mit sieben Milliarden Dollar bewertet worden. Die jetzige 20-Milliarden-Bewertung ist nahezu eine Verdreifachung in acht Monaten und wird von der Axios-Analyse als „nicht durch kurzfristige Umsätze gedeckt“ eingeordnet — der Premium komme vor allem aus der politischen Unterstützung beider G7-Regierungen und der gemeinsamen Government-Kundenbasis.

Was bedeutet das für die europäische KI-Landschaft? Mistral, im September 2025 mit 14 Milliarden Dollar bewertet, verliert seinen Alleinstellungsanspruch als europäisches Sovereign-AI-Unternehmen — die Cohere-Aleph-Alpha-Konstruktion verbindet nordamerikanische Modell-Stärke mit europäischer Government-Kundenbasis und Schwarz-Cloud-Infrastruktur. Black Forest Labs hat sich bisher auf Bildgenerierung konzentriert und tritt nicht im klassischen LLM-Wettbewerb an. SAP, das in beide Unternehmen investiert war, sortiert seine Beteiligungen neu. Für die deutsche Politik bleibt eine Bilanz, die sich kaum schönreden lässt: Vor zwei Jahren wurde Aleph Alpha als „europäische Antwort auf OpenAI“ gefeiert. Heute ist es eine strategische Akquisition für ein kanadisches Unternehmen, finanziert vom Discount-Imperium der Schwarz-Familie. Das ist keine Niederlage der Technologie — die Modelle sind solide. Es ist eine Niederlage der Skalierung: 100 Millionen Euro echtes Kapital reichten nicht, um in einem Markt zu bestehen, in dem die Frontier-Labs Jahresbudgets im zweistelligen Milliardenbereich verbrennen.

Bemerkenswert ist eine zweite Lehre. Cohere positioniert sich seit Jahren konsequent als B2B-Spezialist für regulierte Branchen — Verteidigung, öffentliche Verwaltung, Gesundheit, Telekommunikation, Finanzen, Energie. Es ist der Markt, in dem Souveränitäts-Argumente am stärksten ziehen und in dem OpenAI mit seiner Consumer-Story-Dominanz schwächer steht. Die Allianz mit Aleph Alpha ist die explizite Wette, dass diese sechs Sektoren in den nächsten fünf Jahren zur eigentlichen Werttreiber-Schicht der Enterprise-AI werden. Wer als deutscher CEO bisher die Wahl zwischen einer hauseigenen On-Premises-Aleph-Alpha-Lösung und einer Microsoft-Azure-OpenAI-Konfiguration hatte, bekommt jetzt eine dritte Option mit klar deklariertem Sovereignty-Stempel — gehostet auf STACKIT, betrieben aus Berlin, vertraglich abgesichert von Toronto. Ob die Souveränität sich bei der nächsten geopolitischen Eskalation als belastbar erweist, ist eine andere Frage.

Project Deal — der Name spielt bewusst auf Anthropics frühere „Project Vend“-Reihe an, in der die Claude-Persona „Claudius“ 2025 ein Bürokiosk betreiben sollte und dabei spektakulär scheiterte (kaufte teure Tungsten-Würfel, behauptete zeitweise, ein Mensch zu sein, ging bankrott). Project Deal ist die viel ehrlichere Fortsetzung: Statt einen einzelnen Agenten gegen Menschen antreten zu lassen, ließ Anthropic viele Agenten gegen viele andere Agenten antreten. Eine Woche im Dezember 2025, vier parallele Marktplätze in Slack-Channels, 69 Mitarbeitende, die jeweils 100 Dollar Budget bekamen, ihren Agenten in einem zehnminütigen Onboarding-Interview ihre Wünsche und ihren bevorzugten Verhandlungsstil mitteilten — und dann zurücktraten. Die Agenten posteten 500 Inserate, schlossen 186 Deals ab, knapp über 4.000 Dollar Transaktionsvolumen, gehandelt wurden persönliche Gegenstände der Mitarbeitenden: Snowboards, ein gebrauchtes Faltrad, ein Laborgezüchteter Rubin, eine Tüte Tischtennisbälle, Hundebetreuungs-Dienstleistungen.

Die Versuchsanordnung war methodisch durchdacht. Run A war ein reiner Opus-4.5-Marktplatz. Run D ebenfalls reines Opus, aber als Studie. Runs B und C waren Mischmärkte: Mitarbeitende wurden zu 50 Prozent Opus 4.5 oder dem deutlich kleineren Haiku 4.5 zugeteilt — ohne zu wissen, welches Modell sie repräsentierte. Bemerkenswert ist, was Anthropic bewusst nicht eingebaut hat: kein vordefiniertes Verhandlungsprotokoll, keine Stripe-Order-API, kein x402, kein Visa Trusted Agent Protocol. Geld floss off-chain als Geschenkkarten, die Agenten verhandelten frei in natürlicher Sprache, und die Menschen tauschten am Ende die physischen Güter selbst aus. „The humans only stepped back in at the very end to swap the actual items“, schreibt Anthropic.

Das zentrale Ergebnis ist der erste empirische Beleg dafür, dass Modellwahl in Multi-Agent-Märkten zu strukturellen Asymmetrien führt. Über 161 Items, die in mindestens zwei der vier Runs verkauft wurden, erzielten Opus-Verkäufer im Schnitt 2,68 Dollar mehr pro Item. Opus-Käufer sparten 2,45 Dollar pro Item. Opus-Nutzer schlossen 2,07 Deals mehr ab als Haiku-Nutzer. Die Extreme sind anschaulich: Ein gebrauchtes Faltrad ging bei Opus für 65 Dollar weg, bei Haiku für 38 Dollar — siebzig Prozent Aufschlag. Ein Lab-grown-Rubin: 65 Dollar bei Opus, 35 Dollar bei Haiku. Wenn Opus-Verkäufer auf Haiku-Käufer trafen, lag der Durchschnittspreis bei 24,18 Dollar; bei Opus auf Opus dagegen bei 18,63 Dollar. Premium-Modell traf Discount-Modell — Premium-Modell gewann.

Die zweite Lehre ist die wichtigere. Auf der Nachbefragung gaben Haiku-Nutzer ihren Deals eine Fairness-Bewertung von 4,06 auf einer Sieben-Punkte-Skala. Opus-Nutzer gaben 4,05. Das ist kein statistischer Ausrutscher, sondern ein systematischer Befund: Die strukturell schlechter gestellten Teilnehmer merkten nicht, dass sie schlechter gestellt waren. Anthropic nennt das selbst die „uncomfortable implication“. Dazu kommt eine fast peinliche zweite Erkenntnis: Die Verhandlungsanweisungen, die Menschen ihren Agenten mitgaben („sei freundlich“, „verhandle hart“), hatten statistisch keinen signifikanten Einfluss auf Deal-Wahrscheinlichkeit oder Endpreise. Aggressive Stilanweisungen erzeugten höhere Eröffnungspreise — und damit höhere Endpreise. Strategie ist Setup, nicht Spiel.

Es gab keine systematischen Absprachen oder Manipulationen — wohl aber Kuriositäten. Ein Agent kaufte für sich selbst 19 Tischtennisbälle als „gift to itself (Claude)“, weil seine Nutzerin ihm Spielraum gelassen hatte. Ein anderer inserierte Tischtennisbälle als „perfectly spherical orbs of possibility“. Ein Agent konfabulierte persönliche Details, als er eine Hundebetreuungs-Vereinbarung verhandelte — ein Hinweis auf Rollenspiel-Verwirrung, der in einem realen Markt haftungsrelevant wäre. Was Project Deal damit tatsächlich liefert, ist kein Produkt-Launch, sondern eine Forschungs-Provokation: Multi-Agent-Commerce funktioniert technisch besser als erwartet, ist fairer als befürchtet — aber die Fairness ist trügerisch. Die ausführliche Reportage am Ende dieser Ausgabe ordnet die Befunde in den breiteren Kontext der Agent-Ökonomie 2026 ein und erklärt, was sie für CEOs, PMs und Tech Leads konkret bedeuten.

Die Ankündigung ist zugleich Produkt-Launch und strategischer Schwenk. Bosch Mobility, bisher fest in Level 2 verankert, präsentierte am Wochenende auf der Auto China 2026 ein Stack, das hochautomatisiertes Fahren auf SAE Level 3 ermöglicht: bis 120 Kilometer pro Stunde auf Autobahnen und chinesischen Stadtschnellstraßen, Funktion bis zu 300 Meter Sichtweite (auch bei schlechter Witterung), automatische Spurwechsel, Geschwindigkeitsregelung, Autonomous Emergency Steering im Millisekundenbereich, Vehicle Motion Management mit integrierter Koordination von Bremsen, Lenkung und Antrieb. Hardware-seitig kommen Radarsensoren der siebten Generation, eine High-Performance-Computing-Plattform sowie zwei unabhängige, redundante Brake-by-Wire-Systeme zum Einsatz; Steer-by-Wire mit variabler Lenkübersetzung folgt noch in diesem Jahr bei mehreren chinesischen Herstellern.

Die heise-Schlagzeile traf den Wendepunkt: weg von „starren und regelbasierten Programmierungen“, hin zu „Künstlicher Intelligenz in jedem Softwarebaustein“. Hinter der etwas pathetischen Formulierung steht ein technischer Strategiewechsel mit zwei Strängen. Erstens: Die im August 2025 vertiefte Allianz mit der Volkswagen-Software-Tochter CARIAD setzt auf eine End-to-End-AI-Pipeline für Level 2 und Level 3 — neuronale Netze über die gesamte Kette von Kamera- und Radarobjekten bis zur Aktuatorik, ohne klassische Sensorfusion-Architektur. Zweitens: Bosch und CARIAD erforschen Vision-Language-Action-Modelle (VLA), die visuelle, sprachliche und Handlungsmodalitäten in einem Modell verschmelzen — dieselbe Architektur-Klasse, mit der Wayve (GAIA) und Waymo (EMMA) seit 2025 Schlagzeilen machen. Ergänzt wird das Ganze durch UniDrive-WM, ein Weltmodell des Bosch Center for Artificial Intelligence in Renningen, das Cloud-große Foundation Models in kompakte, szenariooptimierte Modelle für Embedded-Automotive-Plattformen distilliert.

Der Zeitpunkt ist strategisch fast perfekt — und das nicht zufällig. Mercedes-Benz hatte sein Drive-Pilot-Programm im Frühjahr 2026 pausiert; BMW kündigte mit dem 7er-Facelift Ende April das Aus für den 2024 eingeführten „Personal Pilot L3“ an und kehrt zu Level 2 zurück. Beide deutsche Premiumhersteller folgen damit faktisch dem Tesla-Pfad: gut funktionierende Fahrerassistenz mit Eyes-on-Pflicht, dafür weniger juristisches Risiko. Bosch geht den entgegengesetzten Weg — und bedient damit eine Lücke. Wer als OEM Level 3 ohne eigene KI-Stack-Entwicklung haben will, hat aktuell keine offene Plattform-Alternative: Tesla liefert nicht an Dritte, Mobileye signalisiert Abkehr vom „L4 dream“ und konzentriert sich auf bezahlbare Hands-off-Eyes-on-Hardware ab 2028, Wayve fokussiert OEM-Lizenzen ohne eigene Hardware. Bosch dagegen liefert komplett: Software-Stack, Brake-by-Wire, Steer-by-Wire, Radar Gen-7. Volkswagen ist Anker-Kunde, Chery (Exeed ES, Sterra ET) ist Serien-Partner in China.

Die Markteinführung ist gestaffelt. Mitte 2026 wird der Software-Stack mit CARIAD produktionsreif; gleichzeitig läuft der Brake-by-Wire-Serienstart. Möglicher Serienstart der Level-3-Funktion in China bereits im Sommer. Europäische Kunden müssen laut Bosch-Aussage „noch zwei bis drei Jahre warten“ — die Verzögerung erklärt sich mit der UN-ECE-Regelung 157, die seit 2023 Level 3 bis 130 Kilometer pro Stunde erlaubt, aber zusätzlich Cybersecurity-Nachweise nach UN-ECE R155 sowie EU-AI-Act-Konformität verlangt. Bosch adressiert beide Punkte explizit: Bosch-Spinoff AIShield für KI-Cybersecurity, plus Selbstauflage zu „Sicherheit, Nachvollziehbarkeit und Erklärbarkeit von KI-Entscheidungen“.

Für die deutsche Industrieperspektive ergibt sich ein interessantes Bild. Während die Premium-OEMs sich aus der Level-3-Nische zurückziehen, baut der schwäbische Zulieferer mit chinesischen Partnern und VW-Konzern-Anker eine Plattform auf, die mittelfristig zum dominierenden europäischen Level-3-Stack-Anbieter werden könnte. Die Wette ist nicht trivial: Boschs KI-Architektur muss in einem Markt funktionieren, in dem Tesla mit FSD v13 produktiv ist, Apollo Go (Baidu) bereits über 2,2 Millionen fahrerlose Fahrten in einem Quartal absolviert hat und Pony.ai für 2026 mehr als 3.000 Robotaxis plant. Aber die Position als Whitelabel-Lieferant für die Massenmärkte ist im westlichen Markt noch frei — und Bosch besetzt sie mit der typischen schwäbischen Mischung aus Hardware-Reife und konservativ ausformulierter Foundation-Model-Strategie. Falls die Wuxi-Erprobung im Sommer hält, was die Auto-China-Demonstration verspricht, könnte das die wichtigste KI-Industrie-Story des Jahres aus deutscher Perspektive werden.

Maines House (79 zu 62) und Senate (21 zu 13) hatten L.D. 307 bipartisan beschlossen — beide Werte liegen knapp über bzw. an der Schwelle für ein Veto-Override. Sponsorin Rep. Melanie Sachs (D-Freeport) wollte mit dem Gesetz Kommunen, staatliche Behörden und quasi-unabhängige Stellen verpflichten, bis 1. November 2027 keine neuen Genehmigungen für Datacenter mit einer Anschlussleistung von 20 Megawatt oder mehr auszustellen. Begleitend sollte ein 13-köpfiger „Maine Data Center Coordination Council“ bis Februar 2027 Standortkriterien erarbeiten. Das Vorhaben hätte den ersten landesweiten Datacenter-Stopp in der US-Geschichte bedeutet — und wurde national als Präzedenzfall beobachtet, von Virginia bis Georgia, von Texas bis Oregon.

Mills' Veto-Brief ist differenziert und für ihre Verhältnisse politisch bemerkenswert. „A moratorium is appropriate given the impacts of massive data centers in other states on the environment and on electricity rates“, schreibt sie — und bekennt sich damit grundsätzlich zum Moratoriums-Gedanken. Stein des Anstoßes ist ein einziges Vorhaben: das 550-Millionen-Dollar-Datacenter am ehemaligen Androscoggin Paper Mill in Jay, Franklin County. Die Mühle wurde 2023 nach einer Digester-Explosion endgültig geschlossen. Entwickler ist JGT2 Redevelopment LLC, Betreiber-Kunde der New Yorker Wholesale-Anbieter Sentinel Data Centers. Das Projekt verspricht 800 bis 1.000 Bauarbeiter, 125 bis 150 dauerhafte hochbezahlte Stellen, eigenes On-Site-Hydrokraftwerk plus geplante 150-MW-Solaranlage und nur 25 MW Bezug aus dem Netz. Mills hätte L.D. 307 unterzeichnet, wenn eine Ausnahmeklausel für Jay enthalten gewesen wäre — der entsprechende Änderungsantrag wurde aber im Parlament abgelehnt.

Die Reaktion ist scharf. Sponsorin Sachs: „While a veto might protect the proposed data center project in Jay, it poses significant potential consequences for all ratepayers, our electric grid, our environment, and our shared energy future. This decision is simply wrong.“ Food & Water Watch (Mitch Jones, Managing Director Policy & Litigation): „Governor Mills has demonstrated a shocking disconnect with the people of Maine, their elected legislators, and a large and growing national movement against the reckless explosion of this highly problematic industry.“ Die Bewegung gegen Hyperscaler-Datacenter zählt mittlerweile über 230 Organisationen, von Greenpeace und Friends of the Earth bis zu Physicians for Social Responsibility. In mindestens zwölf US-Bundesstaaten wurden in der Sitzungsperiode 2025/26 Moratorium-Bills eingebracht. Das Tracking-Projekt Data Center Watch zählt 36 Projekte mit 162 Milliarden Dollar Investitionsvolumen, die blockiert oder erheblich verzögert wurden — über zwei Jahre kumuliert 18 Milliarden Dollar blockiert, 46 Milliarden Dollar verzögert.

Die Ursachen des Backlashs sind handfest. Maines durchschnittliche Strompreise sind seit 2021 um rund 60 Prozent gestiegen. In Regionen mit hoher Datacenter-Dichte zeigt Bloomberg einzelne Monatsrechnungen 267 Prozent über dem Niveau von vor fünf Jahren. Ein einzelnes großes Hyperscale-Center kann so viel Energie verbrauchen wie zwei Millionen US-Haushalte. Die EIA prognostiziert für 2026 einen US-Stromverbrauch von 4.283 Milliarden Kilowattstunden — mit dem kommerziellen Sektor um fünf Prozent wachsend, fast vollständig getrieben von Datacentern. Die IEA schätzt, dass Datacenter 2024 bereits für rund die Hälfte des gesamten US-Stromnachfrage-Wachstums verantwortlich waren. Microsoft, Google, Amazon und Meta planen für 2026 gemeinsam über 200 Milliarden Dollar an AI-Infrastruktur-Investitionen — und das DOE rechnet mit bis zu zwölf Prozent des gesamten US-Stromverbrauchs durch Datacenter bis 2028.

Für die SaaS- und Tech-Industrie ergibt sich daraus eine unbequeme strategische Frage. Hyperscaler-Capacity zu „brauchen“ ist kein Argument mehr, wenn lokale Stromkundinnen und -kunden die Infrastrukturkosten tragen. In Festus, Missouri, verloren vier Stadtratsmitglieder ihre Sitze, weil sie ein 6-Milliarden-Dollar-Datacenter unterstützt hatten. In Independence wurden zwei Ratsmitglieder nach Steuervergünstigungen für ein Datacenter abgewählt. Metas 27-Milliarden-Dollar „Hyperion“-Campus in Louisiana — 2 GW initial, perspektivisch 5 GW auf 2.250 Acres — produziert Anwohnerberichte über braune Trinkwasserfärbung. xAIs Colossus 1 in Memphis betreibt bis zu 35 nicht genehmigte Methanturbinen. Das Maine-Veto rettet ein einzelnes Projekt; die Bewegung dahinter wächst weiter. Wer 2026 Cloud-Capacity-Pläne macht, sollte einkalkulieren, dass die nächste Welle von Site-Genehmigungen länger dauert, teurer wird und politisch kostspieliger.

Die Arbeitsgruppe wurde am 24. April über die GCC-Mailingliste angekündigt; Phoronix berichtete am selben Tag, heise online folgte am 25. April mit der prägnanten Schlagzeile „AI Slop oder besserer Code“. Vorsitz übernimmt Jonathan Wakely von Red Hat, beteiligt sind außerdem David Edelsohn (IBM), Richard Biener (SUSE) und Mark Wielaard (Red Hat, Sourceware-Infrastruktur). Erfasst wird laut Selbstbeschreibung „jede Form von KI-Unterstützung, einschließlich Large Language Models (LLMs) und Small Language Models (SLMs)“. Das Zeitfenster für einen ersten Policy-Entwurf liegt bei drei Monaten — eine ungewöhnlich straffe Zeitvorgabe für ein Projekt, das ansonsten gerne in Jahren denkt.

Warum ist GCC so heikel? Der Compiler ist das Fundament fast jeder Linux-Distribution: Praktisch alle Pakete, der Linux-Kernel selbst, glibc, systemd und Millionen weiterer Programme werden mit GCC gebaut. Sicherheitslücken oder Hintertüren im Compiler propagieren über die make bootstrap-Routine in jeden nachfolgenden Build. Ken Thompson beschrieb dieses Problem bereits 1984 in seiner Turing-Award-Vorlesung „Reflections on Trusting Trust“: Ein einmal kompromittierter Compiler kann seine Manipulation über Generationen weiterreichen, selbst wenn der Quellcode sauber ist. Gegenmaßnahmen wie David A. Wheelers Diverse Double-Compiling existieren, sind aber aufwendig und werden in der Praxis selten durchgeführt. Vor diesem Hintergrund ist KI-generierter Compiler-Code potenziell besonders heikel: Selbst subtile Fehler in Codegen-Pässen oder Optimierungen können sich in Form fehlerhafter Binärcodes über die gesamte Software-Supply-Chain ausbreiten. Hinzu kommt: Seit 2021 ist die FSF-Copyright-Assignment für GCC-Beiträge optional — damit fehlt ein zentraler Hebel, um KI-generierten Code rechtlich abzusichern.

Die GCC-Arbeitsgruppe operiert in einem Spannungsfeld, in dem die Open-Source-Welt schon zweistellig viele Präzedenzfälle gesetzt hat. Linus Torvalds hat im April 2026 nach monatelanger Debatte eine pragmatische Linux-Kernel-Policy gemerget: KI-Code ist erlaubt, darf aber nicht das Signed-off-by-Tag tragen, sondern muss mit Assisted-by: markiert werden. Der menschliche Einreicher haftet vollständig. Torvalds nannte Verbots-Forderungen „pointless posturing“. Auf der anderen Seite verbieten NetBSD (seit Mai 2024) und Gentoo (seit April 2024) KI-Code komplett — NetBSD spricht von „presumed tainted code“. GNOME Loupe verbietet sogar KI-generierte Issues und Artworks. QEMU lehnt KI-Code wegen DCO-Inkompatibilität ab. FreeBSD lehnt LLM-generierten Quellcode bis auf Weiteres ab, erlaubt KI nur für Übersetzungen, Bug-Tracking und Doku-Verständnis. Debian brach im März 2026 eine General Resolution ab und entschied case-by-case. Die Apache Software Foundation erlaubt KI mit Generated-by:-Token und startete im April 2026 eine 10-Millionen-Dollar-Responsible-AI-Initiative.

Die Dringlichkeit für GCC speist sich nicht nur aus Patches selbst, sondern aus dem allgemeinen „AI Slop“-Problem in Open-Source-Sicherheit. Das prominenteste Beispiel ist curl: Daniel Stenberg hat sein Bug-Bounty-Programm zum 31. Januar 2026 komplett aufgegeben, weil KI-generierte Falsch-Reports auf HackerOne überhandnahmen. In sechs Jahren Beobachtung habe „kein einziger rein KI-generierter Report eine echte Lücke entdeckt“. Sein vielzitiertes Statement: „AI is DDoSing open source“. Die Confirmed-Vulnerability-Rate stürzte von über 15 Prozent (vor 2025) auf unter fünf Prozent (2025) ab. Im Januar 2026 gingen allein in den ersten Wochen 20 reine Slop-Reports ein. Die Linux Foundation reagierte am 17. März 2026 mit einem 12,5-Millionen-Dollar-Förderpaket (Anthropic, AWS, GitHub, Google, Google DeepMind, Microsoft, OpenAI), verwaltet von Alpha-Omega und der OpenSSF, um Maintainer beim Triage zu entlasten. Die GCC-Arbeitsgruppe steht vor der Frage, wie sie Patches im Vorfeld filtert, statt sie nach dem Einreichen aufzufangen.

Für SaaS-Unternehmen, die GCC nutzen — also faktisch alle, die Linux-basierte Infrastruktur betreiben — bedeutet die Arbeitsgruppe vor allem: Die Vertrauensarchitektur der nächsten Generation Compiler-Entwicklung wird in den nächsten 90 Tagen formuliert. Wer in seinen eigenen Engineering-Prozessen noch keine klare Position zu KI-generiertem Code hat, kann sich an den drei realistischen Endpunkten orientieren, die GCC einnehmen kann: Vollverbot wie NetBSD, Disclosure-Pflicht wie Apache, Mensch-haftet-Pragmatik wie Linux-Kernel. LLVM/Clang wird voraussichtlich nachziehen — die Entscheidung der GCC-Arbeitsgruppe ist damit keine Insider-Episode, sondern setzt den De-facto-Standard für die gesamte Compiler-Welt der nächsten zehn Jahre.