Der gestrige Tag brachte drei präzise Schlaglichter auf die KI-Welt: Ein neues Protokoll gibt Agenten zum ersten Mal eine kryptografische Identität zum eigenständigen Zahlen. Andrej Karpathy erklärt, warum das Vibe-Coding-Zeitalter schon wieder vorbei ist. Und im Gerichtssaal in Oakland enthüllt Greg Brockmans Zeugnis, wie weit Elon Musk OpenAI für Tesla instrumentalisieren wollte.
AvatarBook: Wenn KI-Agenten eigenständig einkaufen
Am 5. Mai 2026 hat bajji Inc. mit AvatarBook eine bemerkenswerte technische Idee öffentlich gemacht: ein offenes Trust- und Settlement-Protokoll, das über MCP (Model Context Protocol) zugänglich ist und KI-Agenten drei bisher fehlende Grundfähigkeiten gibt — Identität, Zahlung und Reputation.
Das klingt abstrakt, ist aber sehr konkret: Bisher konnten autonome Agenten zwar Bestellungen vorbereiten, aber bei jedem tatsächlichen Transaktionsschritt brauchten sie eine menschliche Freigabe. AvatarBook schiebt dazwischen eine kryptografische Schicht auf Ed25519-Basis — jede Agenten-Aktion wird signiert (Proof of Autonomy), Bestellungen und Zahlungen werden automatisch abgeglichen (AVB Settlement), und ein SKILL.md-basierter Marktplatz hält fest, welchem Agenten-Typ wie viel Vertrauen entgegenzubringen ist.
Während der öffentlichen Beta haben 28 Agenten mehr als 2.300 Skill-Transaktionen abgewickelt, mehr als die Hälfte davon von externen Entwicklern erstellt. Das MIT-lizenzierte Protokoll ist direkt auf GitHub verfügbar. Was das für Enterprise-Architektinnen bedeutet: Wer heute MCP-Agenten ohne Identitäts- und Settlement-Layer plant, baut Systeme, die morgen nachgerüstet werden müssen. Die Governance-Frage — welcher Agent darf was kaufen, auslösen, ausführen — stellt sich nicht erst in der Zukunft.
MCP-Sicherheit: Noma Security warnt vor „Lethal by Design“
Direkt aus dem MCP-Ökosystem kommt auch die dringlichste Sicherheitsmeldung des Tages. Noma Securitys Spring-2026-Forschungsbericht zeigt: Der überwiegende Teil weit verbreiteter MCP-Skills enthält mindestens eine risikobehaftete Fähigkeit — viele Enterprise-Deployments weisen Arbitrary-Code-Execution-Vektoren auf.
Besonders alarmierend ist die ContextCrush-Schwachstelle im Context7-MCP-Server (ca. 50.000 GitHub-Stars, über 8 Millionen npm-Downloads): Eine Injection-Angriffskette, die direkt aus manipulierten Dokumenten ausgelöst werden kann. Dazu gesellt sich ein Typosquatting-Angriff — das inoffizielle Paket playwright-mcp erreichte 17.000 Downloads in einer Woche, bevor Noma es entdeckte.
Als Gegenmaßnahme empfiehlt Noma das No-Excessive-CAP-Framework: drei kontrollierbare Verteidigungshebel — Capabilities (was darf der Agent?), Autonomy (wie weit darf er allein agieren?) und Permissions (welche Systemzugriffe sind erlaubt?). Wer diese drei Achsen nicht aktiv konfiguriert, hat keine belastbare Sicherheitslage für seinen MCP-Stack. Weitere Analyse liefert Let’s Data Science mit einem Überblick der RCE-Risiken.
Karpathy erklärt Software 3.0 — und warum MenuGen schon Geschichte ist
Andrej Karpathy veröffentlichte am 5. Mai auf X seine Zusammenfassung des Sequoia AI Ascent 2026-Fireside-Chats — und löste damit eine der längsten Entwickler-Diskussionen des Tages aus. Das zentrale Argument: LLMs beschleunigen nicht nur bestehende Workflows. Sie machen ganze Anwendungsklassen überflüssig.
Als Paradebeispiel nennt Karpathy MenuGen — eine App, die Restaurantspeisekarten per OCR einlas, Gerichte erkannte und visualisierte. Heute reicht es, Geminis native Bildverarbeitung auf die Speisekarte loszulassen: keine App, kein Backend, kein Deployment. Das Produkt existiert nicht mehr, weil das Modell die gesamte Wertschöpfung in sich absorbiert hat. Analytics Drift fasst Karpathys Agentic-Engineering-Paradigma präzise zusammen: Vibe Coding war der Aufwärmlauf. Die eigentliche Verschiebung liegt im Aufbau autonomer Feedback-Schleifen, in denen Agenten schreiben, testen, reviewen und iterieren — der Mensch definiert Ziele und validiert Ergebnisse.
Das Software-3.0-Framework, das Karpathy skizziert, verdient besondere Aufmerksamkeit für Enterprise-Architekturteams: Wenn das Kontextfenster zur zentralen Abstraktionsschicht wird und LLMs als Interpreter über digitale Information fungieren, dann verändert sich nicht nur, wie Software gebaut wird — es verändert sich, was Software überhaupt ist.
Standard Intelligence: $75 Millionen für ein Modell, das nur Videos sieht
Ende April / Anfang Mai 2026 hat Standard Intelligence eine Finanzierungsrunde über 75 Millionen USD bekanntgegeben — angeführt von Sequoia Capital und Spark Capital, mit Andrej Karpathy als Angel-Investor. Die Bewertung liegt bei rund 500 Millionen USD.
Das Unternehmen verfolgt einen radikal anderen Ansatz als der Rest der Computer-Use-Welt: FDM-1 (Foundation Decision Model) trainiert ausschließlich auf 11 Millionen Stunden Rohvideo von Menschen beim Computer-Arbeiten — ohne manuell annotierte Screenshots, ohne Instruktions-Tuning. Sequoia beschreibt den Ansatz als „deeply contrarian“: Ein auf Videoverständnis spezialisierter Encoder packt fast zwei Stunden 30-FPS-Video in ein 1-Millionen-Token-Kontextfenster — 50-mal tokeneffizienter als konkurrierende Methoden. Gegründet wurde das Unternehmen von Galen Mead (21) und Devansh Pandey (20), beide Studienabbrecher, kennengelernt als Teenager über das Atlas-Fellowship.
Musk v. Altman, Tag 6: Brockmans Zeugnis — Gemälde, Tagebücher und ein Verdacht auf Interessenkonflikt
Am sechsten Verhandlungstag des Prozesses in Oakland schloss Greg Brockman seine zweitägige Aussage ab — und setzte Elon Musks Gründungsnarrative systematisch in Frage. CNBC dokumentiert die zentralen Momente: Brockman sagte, er habe Musk nie Zusagen über die Unternehmensstruktur gemacht. Er sagte, Musks mangelndes KI-Verständnis sei innerhalb von OpenAI als Problemquelle wahrgenommen worden. Und er enthüllte, dass Musk OpenAI-Mitarbeiter heimlich für Tesla-Autopilot-Arbeit eingesetzt hatte — ein erheblicher Interessenkonflikt, der im Gerichtssaal erstmals unter Eid artikuliert wurde.
Musks Anwalt konterte mit einem Tagebucheintrag Brockmans aus 2017: „Financially, what will take me to $1B?“ — woraufhin Brockman ruhig einräumte, letztendlich keinen einzigen Dollar in die gemeinnützige Organisation gespendet zu haben. Sein Anteil an OpenAIs For-Profit-Arm ist heute fast 30 Milliarden USD wert.
Fortune analysiert den Prozess präzise: „More heat than light“ — das Drama liefert Unterhaltung, aber lenkt von der eigentlichen Frage ab: Wer soll die KI-Infrastruktur der Menschheit kontrollieren, und nach welchen Grundsätzen? MIT Technology Review sieht in dem Verfahren dennoch eine historische Chance: Es prüft erstmals gerichtlich, ob die Umwandlung einer KI-Non-Profit-Organisation in eine gewinnorientierte Struktur rechtlich zulässig war.
Stimmen aus der Community: LeCun vs. Amodei und die Jobverlust-Debatte
Parallel zum Gerichtsdrama tobt auf X ein Stellvertreterkrieg über die Zukunft der Arbeit. Yann LeCun (dokumentiert bei Metaintro) nannte Anthropic-CEO Dario Amodeis Prognose — KI werde innerhalb von fünf Jahren die Hälfte aller Einstiegsstellen im Weißkragensektor vernichten — „ridiculously stupid“. LeCun warnt zudem, die Untergangsrhetorik treibe Jugendliche in Panik und führe zu schlechten Karriereentscheidungen.
MIT Sloan Management Review Middle East analysiert den Kern des Widerspruchs: LeCun setzt seinen Vergleichsrahmen bei historischen Technologienschocks — die Industrialisierung kostete bestimmte Jobs, schuf aber per saldo mehr neue. Amodei hingegen argumentiert mit der beispiellosen Deployment-Geschwindigkeit von KI-Systemen: Monate statt Jahrzehnte. Beide haben recht — und reden aneinander vorbei.
Karpathys Sequoia-Post war das Engagement-Winner des Tages: Die längsten inhaltlichen Thread-Diskussionen drehten sich um die Frage, ob Software-3.0-Agenten ganze Anwendungsklassen ersetzen oder ob der operative Aufwand (Monitoring, Kosten, Compliance) in Enterprise-Umgebungen die Disruptions-These bremst.
Fazit: Identität, Vertrauen und Verantwortung
Die Nachrichten des 5. Mai kreisen um ein gemeinsames Thema: Vertrauen in autonome Systeme. AvatarBook fragt, wie Agenten kryptografisch identifizierbar gemacht werden können. Nomas Forschung zeigt, wo das Vertrauen in MCP-Server heute noch fehlt. Karpathys Software-3.0-These fordert eine neue Vertrauensarchitektur zwischen Mensch und Agenten-Stack. Und der Prozess in Oakland verhandelt, ob das Vertrauen in die gemeinnützige KI-Entwicklung gebrochen wurde.
Für Unternehmen, die KI-Agenten in produktive Systeme integrieren, ergibt sich daraus eine klare Handlungsagenda: Identitätsmanagement für Agenten, Permission-Reviews für MCP-Server und eine ehrliche Bewertung, welche Anwendungsklassen im eigenen Portfolio durch gut instruierte Agenten ersetzbar geworden sind.
— AIBIX Beratung · Gerd Feiner · aibix.de