AI Shorts 6 Min. Lesezeit

AI Picks der 27 . KW

Fable 5 ist zurück, und die Begründung wiegt schwerer als die Rückkehr. Dazu markiert Claude Code Requests still per Unicode, LangChain bringt OpenWiki, Google TabFM für Tabellen und OpenAI teasert mit Codex Micro seine erste Hardware. Die AI Picks der 27. KW mit Einordnung.

Dunkler, digitaler Hintergrund mit leuchtend violetten und blauen Wellenlinien. Zentral steht "27. Kalenderwoche" für AI

Diese Woche weniger Modelle. Sonnet 5 habe ich separat behandelt, und Nano Banana 2 sowie Omni Flash gehen ein bisschen an meinen Schwerpunktthemen vorbei. Genug anderes mit Nachrichtenwert liegt trotzdem herum, auch wenn die Flut saisonbedingt gerade etwas zurückgeht. Los geht's.

Redeploying Fable 5

Diese Woche kam frisch Sonnet 5, und wenige Tage später war auch Fable 5 wieder da – das Modell, das die US-Regierung im Juni hatte abschalten lassen. Zunächst klang die Rückkehr nach einem stillen „Deal“ zwischen Anthropic und Washington. Tatsächlich liegt die Sache offener, als der Gerüchteweg vermuten lässt.

Die Reihenfolge war so: Am 12. Juni hatte die US-Regierung per Exportdirektive – auf Basis einer Executive Order vom 2. Juni – den Zugang für Nicht-US-Bürger gekippt, woraufhin Anthropic das Modell für alle offline nahm. Die ganze Vorgeschichte mit Amazon als Melder steht in den Picks der 24. KW. Am 30. Juni wurden diese Kontrollen wieder aufgehoben, verkündet hat das Commerce Secretary Howard Lutnick per X. Seit dem 1. Juli ist Fable 5 wieder global verfügbar, Mythos 5 seit dem 26. Juni für einen Kreis von US-Organisationen.

Interessant ist, was Anthropic drumherum gebaut hat. Ein neuer Safety-Classifier fängt die von Amazon gemeldete Technik nach eigenen Angaben in über 99 % der Fälle ab und reicht blockierte Fable-Anfragen still an Opus 4.8 weiter. Dazu kommt ein branchenweites Framework zur Bewertung von Jailbreak-Schwere, gemeinsam mit Amazon, Microsoft und Google. Die 99 % sind eine herstellereigene Zahl, unabhängig nachgemessen hat das niemand.

Der eigentliche Seitenhieb steckt im Kleingedruckten. Anthropic schreibt selbst, dass schwächere Modelle wie Opus 4.8, GPT-5.5 und Kimi K2.7 dieselben Schwachstellen fanden und jedes getestete Modell die eine Exploit-Demo reproduzieren konnte. Der Fund, der ein weltweit ausgerolltes Frontier-Modell offline geschickt hat, war also nichts, was nur Fable konnte.

Heißer Take: Das Modell ist zurück, der Präzedenzfall bleibt. Ein einzelner gemeldeter Bypass reicht, um ein kommerzielles Modell weltweit abzuschalten – und die nachgereichte Erklärung, es sei halb so wild gewesen, macht die Sache nicht wirklich beruhigender, sondern nur absurder.

Claude Code Is Steganographically Marking Requests

Mehr Anthropic-Gossip, weil das so langsam Tradition wird.

thereallo – er, sie, man weiß es nicht genau, spielt aber auch keine Rolle – hat sich angesehen, was Claude Code eigentlich mit den Requests macht, die hinten rausgehen. Herausgekommen ist, dass der ins System-Prompt injizierte Datums-String still mit sichtbaren und teils unsichtbaren Unicode-Markierungen versehen wird.

Ein Beispiel ist noch offensichtlich. Das Trennzeichen im Datum wechselt von 2026-06-30 zu 2026/06/30, gesteuert über einen Timezone-Check auf Asia/Shanghai oder Asia/Urumqi. Subtiler wird es beim Apostroph in einem String wie „Today's“, das je nach Hostname- und Keyword-Prüfung durch verschiedene Unicode-Varianten ersetzt wird. Ausgelöst wird der Mechanismus, wenn ANTHROPIC_BASE_URL auf einen Endpoint abseits des offiziellen zeigt.

thereallo vermutet dahinter den Versuch, API-Wiederverkäufer, nicht autorisierte Claude-Code-Gateways und Modell-Pipelines für Destillationsangriffe zu identifizieren. Klingt plausibel und passt ins Bild der letzten Wochen. Den Haken benennt thereallo in seinem Blogpost selbst. Der Bypass ist trivial, und wer damit auffällt, sind vor allem normale Entwickler, die legitime, aber ungewöhnliche Dinge tun. Wer wirklich klont, umschifft so eine Markierung im Zweifel als Erstes.

Introducing OpenWiki

Nach dem großen Hype um Web 2.0 Ende der 2000er war ein Thema ziemlich von der Bildfläche verschwunden: das Wiki. Jetzt entdeckt man es wieder, weil auffällt, dass das mit dem kontextbasierten, gegenseitigen Verlinken von Entitäten in Knowledge-Artikeln nicht die schlechteste Idee war. Das dachte sich wohl auch LangChain und hob OpenWiki aus der Taufe.

OpenWiki generiert ein Repo-Wiki und trägt anschließend in die Instruction-Files wie AGENTS.md und CLAUDE.md einen Verweis darauf ein. Von dort findet der Coding-Agent die Dokumente allein und nutzt sie. Unter der Haube läuft das auf DeepAgents, eine GitHub Action hält das Wiki per git-diffs auf Stand. Open Source unter MIT-Lizenz, das Repo liegt auf GitHub.

Learn how coding agents are built

Wo ich über den Link gestolpert bin, weiß ich leider nicht mehr. Tau ist ein schlanker Python-Coding-Agent, den twotimespi.dev bewusst zum Lernen gebaut hat – man liest ihn wie ein Lehrbuch. Aufgeteilt ist er in drei Schichten: tau_ai für die Provider-Abstraktion, tau_agent für den Agent-Loop und tau_coding für die eigentliche Coding-Umgebung mit Files, Shell und Skills.

Inspiriert ist das Ganze von Pi, der Harness, die mir schon beim Omnigent-Pick der 24. KW über den Weg lief. Installiert wird per uv tool install tau-ai. Wer verstehen will, was in Claude Code und Co. unter der Oberfläche passiert, findet hier den Kurzweg ohne Framework-Ballast.

Introducing ZCode

Z.ai wirft ZCode mit eigener Harness für GLM-5.2 in den Ring, im Marketing-Sprech eine Desktop-App, mit der du „plan, code, review, and deploy without friction“ sollst. Viel mehr an Substanz gibt die Ankündigung nicht her.

Immerhin die harten Fakten: eine Electron-App für macOS, Windows und Linux, letzteres noch Beta, und laut Tweet auch mit den eigenen Abos und APIs nutzbar. Auf der Produktseite selbst steht davon wenig, da wird vor allem der GLM Coding Plan beworben. Das Versprechen „nimm dein eigenes Modell mit“ und die Seite, die dir das hauseigene Abo unterschieben will, passen nicht ganz so zusammen.

10 Agentic AI Frameworks You Should Know in 2026

KDnuggets hat eine Übersicht rausgehauen, wenig Überraschendes, aber eine solide Aufstellung: LangGraph, CrewAI, das OpenAI Agents SDK, Googles ADK, PydanticAI, smolagents, Mastra, Microsofts Agent Framework, Strands und LlamaIndex Workflows.

Einiges davon war mir neu, PydanticAI zum Beispiel (wohl auch, weil bei uns die Anforderungen an so etwas bisher nicht auf dem Tisch lagen). Von LangChain schaue ich mir gerade neben den Open-Source-Frameworks auch die Bezahllösungen näher an, weil sie vieles abdecken würden, was wiederum bei uns aktuell anfällt, und weil die Doku ordentlich ist. Das erspart Frickelei.

Extending the LlamaParse MCP

Neue Woche, neue LlamaIndex-Meldung. Nach dem n8n-Node vergangene Woche legt der hauseigene MCP nach: Mit generateExtractionConfig gibt es ein Command, das ein JSON-Schema plus Extraktionsregeln erzeugt, die du dann an extractFile übergibst. Lässt du einen Agenten darauf los, eröffnet das einen Wandschrank an Optionen.

Nebenbei haben sie eine Erkenntnis verarbeitet, die naheliegt und trotzdem selten beherzigt wird. Stopfst du einen MCP mit Features voll, blickt da irgendwann keiner mehr durch. Also haben sie die Struktur in produktspezifische Endpoints zerlegt, für Parsing, Extraction, Indexing usw. Das nenne ich doch mal sauber gelöst. Der neue Index v2 bringt obendrein file-orientierte Tools mit, mit denen ein Agent gezielt einzelne Dateien aus einem Index greift, statt alles in den Kontext zu kippen.

Introducing TabFM

Google veröffentlicht mit TabFM ein Foundation-Model für tabellarische Daten, für Klassifikation und Regression, und spricht von „Zero-Shot“. Hinter dem Schlagwort steckt In-Context-Learning. Das Modell bekommt den kompletten Datensatz als einen Prompt und sagt in einem einzigen Forward-Pass voraus, ohne Feature-Engineering, ohne Hyperparameter-Tuning, ohne Nachtrainieren. Das gleiche Prinzip hat Google mit TimesFM schon bei Zeitreihen gefahren.

Trainiert wurde ausschließlich auf Hunderten Millionen synthetischer Datensätze. Gemessen wird auf TabArena, einem Drittanbieter-Benchmark, und dort reklamiert Google die Spitze gegen getuntes XGBoost – was man als herstellereigene Platzierung mit dem üblichen Sternchen lesen darf. Die Model Card liegt auf Hugging Face, eine BigQuery-Integration über AI.PREDICT ist angekündigt.

Neue Procedures in ElevenAgents

In ElevenAgents gibt es jetzt Procedures. So wie ich das lese, ist das ein SOP-Layer: Schritt-für-Schritt-Anweisungen für definierte Szenarien wie Rückerstattung oder Support, entweder in natürlicher Sprache formuliert oder aus bestehenden SOPs importiert. Das Ganze gehört zu Guardrails 2.0 und läuft noch im Alpha.

Wichtig zur Einordnung, weil man das leicht in einen Topf wirft: Die Procedures sind die Aufgaben-Schicht, die eigentlichen Guardrails wie Focus, Manipulation und Content sind die Durchsetzung daneben. Beides kam zusammen raus, ist aber nicht dasselbe. Eigene Erfahrungswerte mit ElevenLabs fehlen mir aktuell mangels Anwendungsfällen, das der Ehrlichkeit halber dazu erwähnt.

OpenAI teasert erste Hardware

OpenAI auf X so:

„Your favorite Codex shortcuts are getting an upgrade. July 15th.“

Dazu ein Teaser-Video mit einem quadratischen, in Farben leuchtenden Tastenfeld.

Ich hatte kurz das hart angekündigte Teil von Jony Ive im Verdacht, aber das ist es nicht. Die erste ausgelieferte OpenAI-Hardware ist ein Macro-Pad namens Codex Micro, gebaut mit Work Louder auf Basis von deren Creator Micro 2, im Grunde ein Stream Deck für Codex-Shortcuts, mit 199 Dollar als Preisanker. Das große Ive-Gerät ist ein anderes Projekt und wie man so hört und liest frühestens im Februar 2027 zu erwarten.

Ganz ehrlich: Mich berührt das gerade so überhaupt gar nicht. Ein Brett mit physischen Tasten für einen Workflow, der eigentlich auf natürlicher Sprache aufsetzt, löst ein Problem, das die Software längst gelöst hat. Am 15. Juli müssen sie dann schon schwere Geschütze auffahren, um mich noch irgendwie abzuholen.

Cybersecurity and LLMs

Das Wichtigste aus dem ganzen Artikel steht gleich am Anfang:

„… stops being a helper and starts becoming part of your attack surface.“

Gemeint ist der Moment, in dem ein Chatbot Systemzugriff bekommt. Der Text frühstückt danach die Albtraum-Palette einmal komplett ab, von Prompt Injection über Excessive Agency bis zu RAG-Leaks und der ganzen OWASP-LLM-Top-10. Kein Deepdive, aber ein guter Reminder, woran man denken sollte.

Ein Bonus am Rande, den man sich nicht ausdenken kann: Der Blog ist nach eigener Auskunft komplett KI-geschrieben. Eine KI erklärt dir, warum die KI mit Systemzugriff zu deinem Angriffsvektor wird. Die Warnung nimmst du trotzdem besser ernst, die Quelle liest du am besten mit einem Schmunzeln im Hinterkopf.

Und damit Feierabend für diese Woche.

Artikel teilen: