Der Dienstagmorgen bringt ein paar spannende Neuigkeiten. Heute geht es darum, wohin das KI-Geld fließt, wo Europa den Riegel vorschiebt und was tief in euren Open-Source-Abhängigkeiten lauern könnte.
Google kauft Wiz, $32 Milliarden für Cloud-Security
Google hat die Übernahme von Wiz abgeschlossen. 32 Milliarden Dollar, die teuerste Akquisition in der Geschichte des Konzerns und gleichzeitig die größte VC-gestützte Übernahme aller Zeiten. Wiz-Investor Shardul Shah von Index Ventures bringt es auf den Punkt: „Wiz steht im Zentrum von drei Tailwinds: AI, Cloud und Security Spend."
Die Gründer um Assaf Rappaport, Ami Luttwak und Roy Reznik hatten bereits mit Adallom ein Security-Startup aufgebaut, Microsoft hatte es 2015 übernommen. Google hatte Wiz schon einmal eine Übernahme angeboten, Wiz lehnte damals ab. Diesmal kam es anders. Für Google ist der Deal strategisch: Wer in der Cloud AI-Workloads anbieten will, braucht glaubwürdige Security-Infrastruktur. Wiz liefert genau das, und Google bekommt damit eine der am schnellsten wachsenden Plattformen im Enterprise-Bereich.
Meta sichert sich KI-Rechenleistung für $27 Milliarden
Parallel dazu hat Meta einen Vertrag mit dem niederländischen Cloud-Anbieter Nebius unterzeichnet. Volumen: bis zu 27 Milliarden Dollar über fünf Jahre. Die Struktur ist zweigeteilt: 12 Milliarden für dedizierte Kapazitäten an mehreren Standorten, plus bis zu 15 Milliarden für zusätzliche Rechenleistung auf Abruf.
Nebius wird zu den ersten Anbietern gehören, die NVIDIAs neueste KI-Chips „Vera Rubin" in großem Maßstab einsetzen. Die Nebius-Aktie reagierte vorbörslich mit plus 14 Prozent. Den Kontext einzuordnen lohnt sich: Meta hatte im Herbst Investitionen von bis zu 600 Milliarden Dollar bis 2028 angekündigt, während gleichzeitig Berichte über einen Stellenabbau von bis zu 20 Prozent der Belegschaft kursieren. Die Infrastruktur wächst, das Headcount soll schrumpfen. Wer die Rechner kontrolliert, spielt das Spiel langfristig.
EU AI Act: Was ab sofort gilt und was noch wartet
Der EU AI Act hat Zähne bekommen, zumindest teilweise. Seit Februar sind bestimmte KI-Anwendungen in der Union verboten: Social Scoring durch staatliche Stellen, KI-Systeme zur unbewussten Manipulation von Personen sowie biometrische Echtzeit-Überwachung im öffentlichen Raum (mit eng definierten Ausnahmen für Strafverfolgung).
Was noch nicht gilt: Die strengen Anforderungen für Hochrisiko-Systeme, KI in Kreditvergabe, Bildung oder Personalentscheidungen, greifen erst 2027 beziehungsweise 2028. Unternehmen haben also noch Zeit, aber die Uhr läuft. Wer KI in sensiblen Prozessen einsetzt, sollte jetzt damit beginnen, die eigenen Systeme gegen die Anforderungskataloge zu kartieren. Warten ist kein Plan.
Supply-Chain-Angriff: Malware, die man nicht sehen kann
Das vierte Thema ist technisch und verdient Aufmerksamkeit. Angreifer verstecken bösartigen Code in Open-Source-Repositories, indem sie unsichtbare Unicode-Zeichen aus dem sogenannten Private Use Area verwenden. Code-Editoren, Diff-Views und statische Analyse-Tools zeigen schlicht nichts, nur Leerzeichen. Der JavaScript-Interpreter führt den Code trotzdem aus.
Die Technik wurde 2024 ursprünglich für Prompt-Injection-Angriffe gegen AI-Engines entwickelt. Jetzt taucht sie bei klassischer Malware auf. Im konkreten Fall wurde ein bösartiger Payload in einem npm-Paket via unsichtbare Zeichen kodiert und über eval() ausgeführt. Das bedeutet: Dependency-Reviews, die ausschließlich lesbaren Code scannen, greifen hier nicht. Wer npm-Pakete von unbekannten Maintainern einbindet, sollte die eigene Toolchain überdenken. Einen breiteren Überblick über aktuelle Angriffsvektoren gibt unser Artikel KI-Sicherheit 2026, Die wichtigsten Bedrohungen.
💬 Dr. Klaues Einschätzung
Heute dreht sich alles um Infrastruktur. Google kauft Security, Meta kauft Rechenleistung, beide bauen Fundamente, keine Produkte. Dazu ein Regulierungsrahmen, der endlich wirkt, aber in Etappen. Und eine Angriffstechnik, die zeigt wie kreativ Angreifer mit den Werkzeugen der KI-Ära umgehen. Das Unsichtbare wird zur Waffe.
