programmier.bar – der Podcast für App- und Webentwicklung

News 14/26: Claude Code Source Leak // Axios Security Incident // Apple App Store vs. Vibe Coding

17 snips

Apr 2, 2026

Es geht um einen Source-Map-Leak, bei dem viele Zeilen TypeScript-Code kurzzeitig publik wurden. Ein komplexer NPM-Supply-Chain-Angriff mit Post-Install-Remote-Code wird analysiert. Diskussionen drehen sich um Apples Maßnahmen gegen Vibe-Coding-Apps und die Folgen für Entwickler. Außerdem gibt es Eindrücke zu Google Stitch als AI-gestütztem Vibe-Design-Tool.

Ask episode

AI Snips

Chapters

Transcript

Episode notes

INSIGHT

Cloud Code Source‑Map Leak enthüllte große TypeScript‑Teile

Durch den Source-Map-Leak wurden ~500.000 Zeilen unverschlüsselter TypeScript-Dateien von Anthropic/Cloud Code kurzfristig öffentlich.
Anthropic patchte schnell, doch Kopien verbreiteten sich, einige Repos wurden per DMCA entfernt.

INSIGHT

Leak inspirierte schnelle AI‑Reimplementierung auf GitHub

Einige Entwickler nutzten das Leak, um die Funktionalität mit AI neu zu implementieren; ein Repo sammelte binnen Stunden Zehntausende Stars.
Das Leak offenbarte Teile der lokalen Harness‑Logik, aber nicht zwingend alle serverseitigen Geheimzutaten wie System Prompts.

INSIGHT

Gezielte Supply‑Chain Attacke nutzte bösartigen Crypto‑Fork

Der Axios‑Fall zeigte eine wohl geplante Supply‑Chain‑Attacke: ein bösartiger Fork (OpenCryptoJS) wurde als Dependency eingeschleust.
Angreifer nutzten Post‑Install und Manipulation der package.json, um Spuren zu verwischen.

Get the Snipd Podcast app to discover more snips from this episode

Get the app

Wie hat dir die Folge gefallen?
Gut 👍
Schlecht 👎
(Keine Anmeldung erforderlich)

Habt ihr unsere Videopodcasts schon gesehen? Unsere News-Folgen gibt es auf YouTube und Spotify als Video.

Ihr möchtet auf der programmier.con 2026 (25.-26. November 2026) einen Talk halten? Dann meldet euch jetzt unter: cfp.programmier.bar

Außerdem gibt es noch freie Plätze bei unserem nächsten Meetup: Am 9. April spricht Julia Kordick über Agentic Coding.

In dieser Folge sprechen wir über folgende Themen:

Durch einen Source-Map-Leak wurden etwa 500.000 Zeilen unverschlüsselten TypeScript-Codes von Claude Code temporär veröffentlicht. Dennis und die Crew diskutieren, wie relevant dieser Code tatsächlich ist und wo sich eigentlich die Alleinstellungsmerkmale von Coding Agents verstecken.

Weiter geht es mit einem NPM-Sicherheitsfall, bei dem ein bösartiges Paket als Dependency eingeschleust wurde. Die Post-Install-Scripts führten Remote-Code aus, was eine vollständige Kompromittierung von Systemen ermöglichen konnte. Jan erklärt, wie clever der Angriff vorbereitet war und welche Sicherheitsmaßnahmen für Maintainer:innen und Entwickler:innen zu empfehlen sind.

Dave berichtet von Apples Vorgehen gegen Vibe-Coding-Apps. Im App Store wurden mehrere Apps blockiert oder entfernt, die es User:innen ermöglichen, eigene Apps zu vibecoden. Die Diskussion dreht sich um die Balance zwischen Kontrolle, Qualitätssicherung und Innovation: Apple will scheinbar die Plattformintegrität wahren, gleichzeitig entstehen neue Unsicherheiten für Entwickler:innen, die interaktive Coding-Tools anbieten.

Dennis richtet den Blick auf das neuste Update von Google Stitch, ein AI-gestütztes Tool für Design- und Vibe-Design-Workflows. Die Hosts teilen ihre ersten Erfahrungen und reflektieren über Limitierungen bei der Integration bestehender Designs. Für Prototyping und neue Interfaces bietet Stitch spannende Ansätze, bleibt aber in der iterativen Nutzung hinter klassischen Design-Tools zurück.

Außerdem wirbt Jan für die SoCraTes Konferenz: Die 15. Ausgabe der „International Conference for Software Craft and Testing“ findet vom 27. bis 30. August in Soltau statt und widmet sich im Open-Space-Format samt Workshops allen Themen rund um So