Der Shai-Hulud Wurm hat das NPM-Ökosystem mit einem selbst-replizierenden Supply-Chain-Angriff erschüttert und über 500 Pakete kompromittiert. In dieser Folge analysieren wir die Angriffsmethode, die weitreichenden Konsequenzen für Entwickler und Open Source sowie die Sofortmaßnahmen und langfristigen Strategien zur Absicherung unserer Paket-Lieferkette.

---

Ihr wollt uns etwas Gutes tun? Spendiert uns gerne einen Kaffee:

https://www.buymeacoffee.com/todocast

---

Links:

NPM Trusted Publishing:

https://docs.npmjs.com/trusted-publishers

CISA - Cybersecurity and Infrastructure Security Agency:

https://www.cisa.gov/news-events/alerts/2025/09/23/widespread-supply-chain-compromise-impacting-npm-ecosystem

TruffleHog:

https://github.com/trufflesecurity/trufflehog

Liste Packete von JFrog:

https://jfrog.com/de/blog/shai-hulud-npm-supply-chain-attack-new-compromised-packages-detected/

---

todo:shop - unser Shop für Nerdkram und alle Fans des Podcast:

https://todoshop.io

todo:cast auf TikTok:

https://www.tiktok.com/@todo_cast

todo:cast auf Instagram:

https://www.instagram.com/todo_cast

todo:cast auf YouTube:

https://www.youtube.com/@todo_cast

Feedback und Anregungen:

todopodcast@outlook.com

PostgreSQL 18 und Java 25 sind erschienen und bieten viele Neuerungen wie asynchrones I/O, virtuelle generierte Spalten und UUIDv7. Java 25 bringt umfangreiche Updates und Langzeitunterstützung. Spannend sind auch KI-Entwicklungen: Qwen3-Omni von Alibaba, das AI-Modell K2 aus Abu Dhabi und die Integration von Claude Sonnet 4 in Xcode 26. WebAssembly macht mit Version 3.0 wichtige Fortschritte: 64-Bit-Speicher, Garbage Collection und native Ausnahmebehandlung. Weitere Themen: Stellenabbau bei Google, Amazons interaktive Code-Review-Funktion in GitHub sowie Diskussionen über Junior-Entwickler und KI-Unterstützung beim Programmieren.

---

Ihr wollt uns etwas Gutes tun? Spendiert uns gerne einen Kaffee:

https://www.buymeacoffee.com/todocast

---

Wöchentlicher Tech-Newsletter von Robin-Manuel:

https://whatdidimiss.io/

---

Links:

PostgreSQL 18:

https://www.postgresql.org/about/news/postgresql-18-released-3142/

Java 25:

https://mail.openjdk.org/pipermail/announce/2025-September/000360.html

Qwen3-Omni:

https://github.com/QwenLM/Qwen3-Omni

Wasm 3.0:

https://webassembly.org/news/2025-09-17-wasm-3.0/

K2 AI Modell:

https://www.cnbc.com/2025/09/09/abu-dhabi-launches-ai-reasoning-model-to-rival-openai-deepseek.html

Claude in Xcode:

https://www.anthropic.com/news/claude-in-xcode

OpenAI's Codex System Prompt Leak:

https://threadreaderapp.com/thread/1967720718134915224.html

Compiling Python to Run Anywhere:

https://blog.codingconfessions.com/p/compiling-python-to-run-anywhere

Amazon Q Developer:

https://aws.amazon.com/blogs/devops/introducing-an-interactive-code-review-experience-with-amazon-q-developer-in-github/

Hiring Senior Engineers:

https://workweave.dev/blog/hiring-only-senior-engineers-is-killing-companies

Interview mit Werner Vogels:

https://everton.xyz/i-sat-down-with-werner-vogels

---

todo:shop - unser Shop für Nerdkram und alle Fans des Podcast:

https://todoshop.io

todo:cast auf TikTok:

https://www.tiktok.com/@todo_cast

todo:cast auf Instagram:

https://www.instagram.com/todo_cast

todo:cast auf YouTube:

https://www.youtube.com/@todo_cast

Feedback und Anregungen:

todopodcast@outlook.com

Load Testing ist essenziell, um die Belastbarkeit von Anwendungen unter realistischen Lastbedingungen zu prüfen und teure Ausfälle zu vermeiden. In dieser Folge erklären wir die verschiedenen Arten von Load Testing, wichtige Metriken, gängige Tools und Strategien sowie den Nutzen für Kostenersparnis, Kundenzufriedenheit und Skalierbarkeit. Außerdem behandeln wir Monitoring, typische Fehler und die Integration von Load Tests in CI/CD-Pipelines.

---

Ihr wollt uns etwas Gutes tun? Spendiert uns gerne einen Kaffee:

https://www.buymeacoffee.com/todocast

---

Links:

LoadView Load Testing Guide:

https://www.loadview-testing.com/learn/load-testing-tips/

Microsoft Engineering Playbook:

https://microsoft.github.io/code-with-engineering-playbook/automated-testing/performance-testing/load-testing/

BrowserStack Performance Testing Guide:

https://www.browserstack.com/guide/performance-testing

OWASP Web Security Testing Guide:

https://owasp.org/www-project-web-security-testing-guide/

SmartBear Load Testing Checklist:

https://smartbear.com/blog/checklist-of-load-testing-best-practices/

Google Cloud Load Testing Best Practices:

https://cloud.google.com/run/docs/about-load-testing

---

todo:shop - unser Shop für Nerdkram und alle Fans des Podcast:

https://todoshop.io

todo:cast auf TikTok:

https://www.tiktok.com/@todo_cast

todo:cast auf Instagram:

https://www.instagram.com/todo_cast

todo:cast auf YouTube:

https://www.youtube.com/@todo_cast

Feedback und Anregungen:

todopodcast@outlook.com

Wir diskutieren aktuelle Entwicklungen aus der Entwicklerwelt: OpenAI unterstützt MCP-Tools in ChatGPT, Microsoft führt neue Rückkehr-ins-Büro-Regeln ein, und Google verbessert AI-gestützte Code-Reviews. Außerdem Themen wie kritische Stimmen zu Package Managern, der harte 996-Arbeitsrhythmus in San Francisco sowie neue Projekte wie MCP Registry, das Apertus LLM aus der Schweiz und den Agent Client Protocol Standard.

---

Ihr wollt uns etwas Gutes tun? Spendiert uns gerne einen Kaffee:

https://www.buymeacoffee.com/todocast

---

Links:

Rust compiler performance survey 2025 results:

https://blog.rust-lang.org/2025/09/10/rust-compiler-performance-survey-2025-results/?utm_source=tldrdevops

We've (finally) added full support for MCP tools in ChatGPT:

https://x.com/OpenAIDevs/status/1965807401745207708?utm_source=tldrai

Introducing the MCP Registry:

https://blog.modelcontextprotocol.io/posts/2025-09-08-mcp-registry-preview/?utm_source=tldrai

Microsoft sets new RTO policy, requiring employees in the office 3 days per week:

https://links.tldrnewsletter.com/G2BeJi/

Package Managers are Evil:

https://www.gingerbill.org/article/2025/09/08/package-managers-are-evil/?utm_source=tldrwebdev

Our data shows San Francisco tech workers are working Saturdays:

https://ramp.com/velocity/san-francisco-tech-workers-996-schedule?utm_source=tldrnewsletter

Claude Code System Prompt leaked:

https://www.reddit.com/r/ArtificialInteligence/s/5u6s7zTETE

Google's Jules ships code review upgrades with PR comments and more:

https://www.testingcatalog.com/googles-jules-ships-code-review-upgrades-with-pr-comments-and-more/?utm_source=tldrai

Python: The Documentary – An origin story:

https://www.youtube.com/watch?v=GfH4QL4VqJ0

Go is still not good:

https://blog.habets.se/2025/07/Go-is-still-not-good.html

Get prepped for Hacktoberfest 2025:

https://hacktoberfest.com/

Switzerland launches transparent ChatGPT alternative - SWI swissinfo.ch:

https://www.swissinfo.ch/eng/swiss-ai/switzerland-launches-transparent-chatgpt-alternative/89929269?utm_source=superhuman&utm_medium=newsletter&utm_campaign=anthropic-scores-13b-in-new-funding&_bhlid=81dd3c9df2a26db6bb57c77263affc32507709b8

Anthropic developing Claude Code web version to rival Codex:

https://www.testingcatalog.com/anthropic-developing-claude-code-web-version-to-rival-codex/

Zuckerberg’s AI hires disrupt Meta with swift exits and threats to leave:

https://arstechnica.com/ai/2025/08/zuckerbergs-ai-hires-disrupt-meta-with-swift-exits-and-threats-to-leave/?utm_source=tldrai

Blocky Planet — Making Minecraft Spherical:

https://www.bowerbyte.com/posts/blocky-planet/?utm_source=tldrnewsletter

Agent Client Protocol (GitHub Repo):

https://github.com/zed-industries/agent-client-protocol?utm_source=tldrwebdev

---

todo:shop - unser Shop für Nerdkram und alle Fans des Podcast:

https://todoshop.io

todo:cast auf TikTok:

https://www.tiktok.com/@todo_cast

todo:cast auf Instagram:

https://www.instagram.com/todo_cast

todo:cast auf YouTube:

https://www.youtube.com/@todo_cast

Feedback und Anregungen:

todopodcast@outlook.com

In dieser Folge diskutieren wir die Risiken beim Einsatz von KI-basierten Coding Agents: unsicheren Code durch LLMs, Prompt Injections und sogar das Aufkommen von KI-Viren wie Agent Hopper. Wir beleuchten Beispiele, Folgen und Schutzmaßnahmen – von Code-Reviews mit KI bis zu Branch-Schutz und Sandboxing. Außerdem stellen wir das OWASP AIVSS-Projekt vor, das neue Sicherheitsbewertungen für autonome KI-Agenten ermöglicht.

---

Ihr wollt uns etwas Gutes tun? Spendiert uns gerne einen Kaffee:

https://www.buymeacoffee.com/todocast

---

Links:

LLM Vibe Coding Security Nightmare Artikel:

https://blog.himanshuanand.com/posts/2025-08-22-llm-vibe-coding-security-nightmare/

GitHub MCP-Server Secret Scanning:

https://github.blog/changelog/2025-08-13-github-mcp-server-secret-scanning-push-protection-and-more/

Brave Blog zu Prompt Injection:

https://brave.com/blog/comet-prompt-injection/

CSO Online zu Rowhammer Attack:

https://www.csoonline.com/article/4044876/rowhammer-attack-can-backdoor-ai-models.html

OWASP AIVSS Projekt:

https://aivss.owasp.org/

Agent Hopper PoC:

https://embracethered.com/blog/posts/2025/agenthopper-a-poc-ai-virus/

Trail of Bits MCP Sicherheitslayer:

https://blog.trailofbits.com/2025/07/28/we-built-the-security-layer-mcp-always-needed/

---

todo:shop - unser Shop für Nerdkram und alle Fans des Podcast:

https://todoshop.io

todo:cast auf TikTok:

https://www.tiktok.com/@todo_cast

todo:cast auf Instagram:

https://www.instagram.com/todo_cast

todo:cast auf YouTube:

https://www.youtube.com/@todo_cast

Feedback und Anregungen:

todopodcast@outlook.com

Grok Code Fast von xAI ist der neue Star unter den KI-Coding Modellen. Natürlich nicht ganz unumstritten, aber die Ergebnisse sehen gut aus. OpenAI will sich die Butter aber nicht vom Brot nehmen lassen und hat Codex mit neuen GPT-5 Features und mehr Integrationen in IDEs erweitert. Wir sprechen in dieser News-Folge außerdem über Firebase Studio, Apples native Claude-Integration in Xcode, das AGENTS.md Projekt für AI-Coding-Agenten und die Debatte um KI und Junior Entwickler. Viel Spaß.

---

Ihr wollt uns etwas Gutes tun? Spendiert uns gerne einen Kaffee:

https://www.buymeacoffee.com/todocast

---

Links:

AGENTS.md:

https://agents.md/?utm_source=tldrwebdev

AWS CEO says AI replacing junior staff is 'dumbest idea' • The Register:

https://www.theregister.com/2025/08/21/aws_ceo_entry_level_jobs_opinion/?utm_source=hackernewsletter&utm_medium=email&utm_term=working

Apple preps native Claude integration on Xcode - 9to5Mac:

https://9to5mac.com/2025/08/18/apple-preps-native-claude-integration-on-xcode/?utm_source=tldrnewsletter

New trend: extreme hours at AI startups - The Pragmatic Engineer:

https://blog.pragmaticengineer.com/new-trend-extreme-hours-at-ai-startups/

GPT-5 Coding Cheat Sheet by OpenAI:

https://cdn.openai.com/API/docs/gpt-5-for-coding-cheatsheet.pdf?utm_source=tldrai

Stanford-Studie:

https://siliconangle.com/2025/08/26/stanford-study-finds-ai-reduced-availability-entry-level-programming-jobs/

Microsoft AI-Modelle:

https://microsoft.ai/news/two-new-in-house-models/

OpenAI Codex GPT-5:

https://www.linkedin.com/posts/kevinweil_we-launched-a-host-of-great-features-in-activity-7366620300613984256-Ebtq/

Firebase Studio:

https://firebase.studio/

Minecraft MCP-Server:

https://github.com/yuniko-software/minecraft-mcp-server

---

todo:shop - unser Shop für Nerdkram und alle Fans des Podcast:

https://todoshop.io

todo:cast auf TikTok:

https://www.tiktok.com/@todo_cast

todo:cast auf Instagram:

https://www.instagram.com/todo_cast

todo:cast auf YouTube:

https://www.youtube.com/@todo_cast

Feedback und Anregungen:

todopodcast@outlook.com

In dieser Folge diskutieren wir, warum die meisten AI Coding Agents wie Claude Code, Gemini-CLI oder Cursor CLI als Kommandozeilen-Tools statt als Editor-Plugins erscheinen. Wir beleuchten die Vorteile wie Editor-Unabhängigkeit, Automatisierung und Marketing-Chancen der CLI-Tools sowie die Nachteile gegenüber den benutzerfreundlichen und kontextreichen Integrationen in IDEs, wie VS Code. Außerdem betrachten wir hybride Ansätze und das Potenzial künftiger Entwicklungen im Zusammenspiel von CLI und Editor.

---

Ihr wollt uns etwas Gutes tun? Spendiert uns gerne einen Kaffee:

https://www.buymeacoffee.com/todocast

---

Links:

iterate=>RUHR 2025:

https://it-visions.de/Apps/IterateRuhr/Anmeldung?g=IR25-ML-10-E

Terminal-Bench Benchmark:

https://www.tbench.ai/

---

todo:shop - unser Shop für Nerdkram und alle Fans des Podcast:

https://todoshop.io

todo:cast auf TikTok:

https://www.tiktok.com/@todo_cast

todo:cast auf Instagram:

https://www.instagram.com/todo_cast

todo:cast auf YouTube:

https://www.youtube.com/@todo_cast

Feedback und Anregungen:

todopodcast@outlook.com

GPT-5 ist da und hatte einen holprigen Start, verspricht aber coole Neuerungen für Developer, ebenso wie Anthropic’s ebenfalls neues Claude Opus 4.1 Modell. Außerdem wird der GitHub CEO Thomas Dohmke die Firma verlassen und seine Rolle wird wohl auch nicht nachbesetzt - schauen wir mal, was das für uns als Developer bedeutet. Bei Windsurf geht das Übernahme-Drama weiter und es gibt jetzt doch Entlassungen oder sehr harte Arbeitsbedingungen. Wir werfen außerdem noch einen Blick auf OpenAIs offene Modelle bei AWS, Cursor CLI und Welches KI-Modell am besten Schach spielt.

---

Ihr wollt uns etwas Gutes tun? Spendiert uns gerne einen Kaffee:

https://www.buymeacoffee.com/todocast

---

Links:

GPT-5 is here:

https://openai.com/gpt-5/

GitHub & Microsoft CoreAI:

https://theverge.com/news/757461

GPT-5 Prompting Guide:

https://cookbook.openai.com/examples/gpt-5/gpt-5_prompting_guide

Perplexity & stealth crawler:

https://blog.cloudflare.com/perplexity

Cursor CLI Beta:

https://cursor.com/en/cli

OpenAI Modelle auf AWS:

https://aws.amazon.com/blogs/aws/

Gemini CLI GitHub Actions:

https://blog.google/technology/developers/

Claude Opus 4.1:

https://anthropic.com/news/claude-opus-4-1

Windsurf/Cognition Übernahme:

https://techcrunch.com/2025/08/05/

Chess.com KI-Liga:

https://bsky.app/profile/chess.com/post/3lvtdzeu4jk2b

---

todo:shop - unser Shop für Nerdkram und alle Fans des Podcast:

https://todoshop.io

todo:cast auf TikTok:

https://www.tiktok.com/@todo_cast

todo:cast auf Instagram:

https://www.instagram.com/todo_cast

todo:cast auf YouTube:

https://www.youtube.com/@todo_cast

Feedback und Anregungen:

todopodcast@outlook.com