lschvn
Entwickler und technischer Autor, der TypeScript, JavaScript-Tools und das moderne Web-Ökosystem abdeckt.
Artikel von lschvn
Claude Code Bug #74066: Nutzer Melden Cross-Workspace-Kontext-Leaks auf Sonnet 5, Anthropic Hat Noch Nicht Antwortet
Ein offener Bug, der am 2026-07-04 gegen Claude Code von einem [Enterprise-ZDR](https://docs.anthropic.com/en/docs/build-with-claude/zero-data-retention)-Nutzer eingereicht wurde, beschreibt eine Arbeitssitzung auf Sonnet 5, die plötzlich auf einen unrelated Minecraft-Tempelbau referenziert und dann im Recap bei der falschen Aufgabe bleibt. Der Reporter (GitHub: [@milesrichardson-edb](https://github.com/milesrichardson-edb), Issue [anthropics/claude-code#74066](https://github.com/anthropics/claude-code/issues/74066)) ist auf Enterprise Zero Data Retention, dem Tier, das Anthropic speziell als sitzungsisoliert vermarktet. Ein Triage auf der lokalen Sitzungs-JSONL des Reporters unter `~/.claude/projects/<encoded-cwd>/<session-id>.jsonl` zeigt, dass der geleakte Text nicht im Transkript enthalten ist, was einen lokalen Kontext-Leak durch Datei-Überlappung ausschließt. Vier andere Nutzer in den Kommentaren (mit Arbeitsgeschichten, die bis ins letzte Jahr zurückreichen) beschreiben nahezu identisches Verhalten über Claude Code, Claude Mobile und Claude Deep Research hinweg. Der plausibelste architektonische Fit ist geteilter KV-Cache-Zustand in der Inferenz ([laut @yv3nne in den Kommentaren](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880448776)), aber kein Anthropic-Ingenieur hat die Issue in den 22 Stunden seit der Einreichung kommentiert, und die Issue erreichte am 2026-07-04 die Spitze von [Hacker News](https://news.ycombinator.com/item?id=42481789). Der Ton im Thread ist gespalten: Die Hälfte vermutet echte Plattform-Cache-Wiederverwendung, die andere Hälfte vermutet eine [sonnet-5-spezifische Halluzination, ausgelöst durch einen Pygments-Lexer](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880334711). Beide Lesarten sind glaubwürdig.
Turborepo 2.10.3 Erkennt nub und aube, Zwei Neue Rust-basierte Node.js-Paketmanager von Colin McDonnell (Zod) und Jeff Dickey (mise)
Turborepo [v2.10.3](https://github.com/vercel/turborepo/releases/tag/v2.10.3) wurde am 2026-07-03 mit First-Class-Support für [nub](https://github.com/nubjs/nub) und [aube](https://github.com/jdx/aube) veröffentlicht, zwei Rust-basierten Node.js-Paketmanagern, die im Frühjahr und Sommer 2026 entstanden sind. nub stammt von Colin McDonnell (Schöpfer von [Zod](https://github.com/colinhacks/zod), 43k Sternen) und aube von Jeff Dickey (Schöpfer von [mise](https://github.com/jdx/mise)); beide integrieren sich in Turborepo als `packageManager`-Werte in `package.json` und `devEngines.packageManager`. Die Release liefert außerdem einen neuen TUI/Streamed-Logs-Toggle, Click-to-Select für Tasks in der TUI-Taskliste, automatisches Kopieren von TUI-Selektionen in die Zwischenablage bei Maus-Release, ein `--production`-Flag auf `turbo prune`, TypeScript 7.0.1-rc als Workspace-Toolchain, Thin LTO + `codegen-units=1` für Release-Builds und eine lange Liste von Cache-Hashing-Performance-Fixes. Das Hauptsignal: Zwei der angesehensten Builder des JS-Toolchains liefern nun Paketmanager, die auf Stock-Node aufsetzen statt es zu ersetzen, und Turborepo ist das erste Mainstream-Monorepo-Tool, das beide formalisiert.
Claude Code 2.1.199 ergänzt gestapelte Slash-Skill-Aufrufe, behebt die Fehlerberichte der Sub-Agenten, die Crash-Schleife des Hintergrund-Agenten-Daemon unter Linux und den Streaming-Response-Verlust-Bug
Anthropic hat Claude Code [v2.1.199](https://github.com/anthropics/claude-code/releases/tag/v2.1.199) am 2026-07-02 veröffentlicht, einen Tag nach dem Feature-Release v2.1.198 (Chrome GA, Hintergrund-Agenten-Auto-PR, /dataviz, Gateway auf AWS) und zwei Tage nachdem die v2.1.197 Sonnet 5 zum Standardmodell gemacht hat. v2.1.199 ist ein Bugfix-Release mit 24 Einträgen: ein neues Feature (gestapelte Slash-Skill-Aufrufe laden bis zu 5 führende Skills in einem Prompt), und eine lange Liste von Zuverlässigkeits-Korrekturen für die Fehlerberichte der Sub-Agenten, den Hintergrund-Agenten-Daemon unter Linux, die Erhaltung von Streaming-Antworten bei API-Fehlern mitten im Stream, die SSL/TLS-Fehlerbehandlung hinter Unternehmens-Proxies, die Behandlung von Tool-Aufrufen im Plan-Mode und eine Retry-Richtlinie pro Umgebung, die den vom Nutzer einstellbaren Retry-Zähler nicht mehr bei 15 deckelt. Die Mehrzahl der Punkte betrifft den Bereich Hintergrund-Agenten / Sub-Agenten, was zur Richtung v2.1.197 + v2.1.198 passt, die Delegation zur Produktoberfläche für Sonnet 5 macht.
Rolldown 1.1.4 Deaktiviert `experimental.lazyBarrel` Wieder als Standard, Einen Monat Nachdem 1.1.0 Es Standardmäßig Aktiviert Hatte
Rolldown [v1.1.4](https://github.com/rolldown/rolldown/releases/tag/v1.1.4), veröffentlicht am 2026-07-01T14:02:02Z, liefert eine Feature-Änderung und 19 Fehlerbehebungen. Die Feature-Änderung ist eine teilweise Rücknahme des [Standard-Flips der v1.1.0](https://github.com/rolldown/rolldown/releases/tag/v1.1.0) vom 2026-06-03: `experimental.lazyBarrel` ist nach vier Wochen Korrekturmeldungen gegen das standardmäßig aktivierte Verhalten wieder standardmäßig deaktiviert. Das Release härtet außerdem den Dev-Mode-Pfad, indem `lazyBarrel` auf off gezwungen wird, sobald `experimental.devMode` gesetzt ist (PR [#10060](https://github.com/rolldown/rolldown/pull/10060)), zusätzlich zum bestehenden Force-off für `treeshake`. Die Standard-Flip-Rücknahme (PR [#10071](https://github.com/rolldown/rolldown/pull/10071)) und der Dev-Mode-Fix autorisieren sich jeweils in einer Zeile: „disable `experimental.lazyBarrel` by default“ und „fix(dev): disable lazy barrel in dev mode“, und die Verfolgung der Grundursache ist das neue [Issue #10085](https://github.com/rolldown/rolldown/issues/10085) „Tracking strictExecutionOrder correctness and architecture issues“, eröffnet am Tag nach dem Release. Das Release folgt auf [Rolldown v1.1.3](https://github.com/rolldown/rolldown/releases/tag/v1.1.3) (2026-06-24) und ist das erste Release seit 1.1.0, das die lazyBarrel-Konfigurationsoberfläche anfasst.
Claude Code 2.1.198 macht Claude in Chrome allgemein verfügbar, lässt Hintergrund-Agenten committen, pushen und Draft-PRs öffnen, ergänzt die `/dataviz`-Skill und führt Claude Platform on AWS in der Gateway ein
Anthropic hat Claude Code [v2.1.198](https://github.com/anthropics/claude-code/releases/tag/v2.1.198) am 2026-07-01T20:45:36Z veröffentlicht, am zweiten Tag in Folge mit einer Claude-Code-Auslieferung nach der v2.1.197 (die Sonnet 5 zum Standardmodell machte) am Vortag. Die wichtigste Änderung ist, dass Claude in Chrome in Claude Code nun allgemein verfügbar ist: der Assistenz-Agent im Browser, der sich noch in der Research Preview befand, wechselt auf einen stabilen Kanal und ist nicht mehr hinter einem Feature-Flag oder einer Warteliste versteckt. Die Version liefert außerdem die erste Ende-zu-Ende-Automatisierung für Hintergrund-Agenten in `claude agents`, die committen, pushen und einen Draft-Pull-Request öffnen, wenn sie eine Code-Aufgabe in einem Worktree abschließen, anstatt anzuhalten und nachzufragen. Weitere nennenswerte Ergänzungen: eine `/dataviz`-Skill für Diagramm- und Dashboard-Design mit einem ausführbaren Farbpaletten-Validator, ein Gateway-Upstream für Claude Platform on AWS (`anthropicAws`), bei dem model-not-found-Antworten die Failover-Kette weiterreichen, ein eingebauter Explore-Agent, der nun das Modell der Hauptsitzung übernimmt (gedeckelt auf Opus) statt auf Haiku zu laufen, sowie Sub-Agenten, die die Extended-Thinking-Konfiguration der übergeordneten Sitzung übernehmen. Die Version entfernt außerdem den `/agents`-Wizard und ersetzt ihn durch den konversationellen Ablauf, behebt eine lange Liste von Zuverlässigkeits-Bugs rund um Hintergrund-Agenten, Netzwerkabbrüche und Plattform-Authentifizierung und verbessert die Syntaxhervorhebung durch ein Upgrade auf highlight.js 11.
Claude Sonnet 5 wird Standardmodell in Claude Code 2.1.197 mit nativem 1M-Token-Kontextfenster, Einführungspreis von 2 $/10 $ pro MTok und standardmäßig aktivierten Cyber-Safeguards
Anthropic hat Claude Sonnet 5 am 2026-06-30 angekündigt ([Introducing Claude Sonnet 5](https://www.anthropic.com/news/claude-sonnet-5)), und Claude Code [v2.1.197](https://github.com/anthropics/claude-code/releases/tag/v2.1.197) (am selben Tag veröffentlicht) hat es zum Standardmodell gemacht. Der Launch ist das erste Modell der Sonnet-Linie, das die agentische Lücke zu Opus 4.8 schließt, ein natives 1M-Token-Kontextfenster mitbringt und zum Einführungspreis von 2 $ pro Million Input-Tokens und 10 $ pro Million Output-Tokens bis zum 31. August 2026 erscheint (danach 3 $/15 $ pro MTok). Sonnet 5 ist das neue Standardmodell für die Free- und Pro-Tarife von Claude und das Standardmodell in Claude Code, sofort beim Update verfügbar. Das Release wird mit standardmäßig aktivierten Cyber-Safeguards ausgeliefert (derselbe Satz wie bei Opus 4.7 und 4.8, weniger streng als der von Fable 5), einem aktualisierten Tokenizer, der die Token-Zahl um das 1,0- bis 1,35-fache erhöht, und höheren Rate-Limits in Chat, Cowork, Claude Code und auf der Claude-Plattform, um den höheren Token-Verbrauch der neuen Effort-Level aufzufangen. Die Sonnet-5-System-Card und die Claude-Code-Release-Notes erscheinen am selben Tag, sodass die Claude-Code-Zielgruppe das neue Modell am Tag der Ankündigung erhält.
Fastify v5.9.0 ergänzt `request.mediaType` und `onMaxParamLength`, härtet das Vertrauen in `forwarded`-Header, chunkiert große HTTP/2-Antworten und migriert die Typ-Tests zu TSTyche
Fastify v5.9.0, veröffentlicht am 2026-06-28 (github.com/fastify/fastify), ist die erste Minor-Version der v5-Linie im Jahr 2026 und ein substanzieller 65-PR-Zyklus. Die Hauptfunktionen sind `request.mediaType` (ein typisierter Accessor für den ausgehandelten Medientyp, [#6653](https://github.com/fastify/fastify/pull/6653) von climba03003), die Routen-Option `onMaxParamLength` ([#6716](https://github.com/fastify/fastify/pull/6716) von climba03003) und ein Sicherheitsfix, das `X-Forwarded-Host` und `X-Forwarded-Proto` nicht mehr vertraut, wenn der eingehende Socket fehlt ([#6684](https://github.com/fastify/fastify/pull/6684) von mcollina). Der Zyklus liefert einen HTTP/2-Buffer-Chunking-Fix für große Antworten ([#6746](https://github.com/fastify/fastify/pull/6746) von mcollina), drei schema-bezogene Performance-Gewinne (verzögertes `getSchemaSerializer`-Content-Type-Parsing #6692, gecachte `ContentType`-Objekte im `ContentTypeParser` #6694, `typeof`-Wache vor `toString.call` in `send` / `onSendEnd` #6693 von aquie00t), Node.js 26 zur Test-Matrix hinzugefügt ([#6728](https://github.com/fastify/fastify/pull/6728) von Fdawgs) und Node.js 20 aus der yarn-CI-Matrix entfernt ([#6662](https://github.com/fastify/fastify/pull/6662) von Tony133), die Migration der Typ-Test-Suite von handgeschriebenen `expect-type`-Assertions zu [TSTyche](https://github.com/mrazauskas/tstyche) ([#6532](https://github.com/fastify/fastify/pull/6532) von mrazauskas, mit Folge-PRs #6726 und #6727), und ein TypeScript-only fastify-plugin v6.0.0-Bump. Weitere bemerkenswerte Fixes: Trailer-`res.end`-Deduplizierung (#6676), Trailer-Duplikat-Completion-Wache (#6714), `error.code` auf Routing-Fehlern (#6678), `hasRequestDecorator` / `hasReplyDecorator` erkennen konstruktor-zugewiesene Built-in-Eigenschaften (#6753), `getValidationFunction()` darf `undefined` zurückgeben (#6665), und ein Socket-`_meta`-Clear, der ein Keep-Alive-Leck schließt (#6799).
npm 11.18 befördert die `linked`-Installationsstrategie zu stabil, führt den `npm install-scripts`-Namensraum ein und warnt, wenn `min-release-age` einen Audit-Fix blockiert
npm 11.18.0 (29. Juni 2026) liefert drei Features und einen langen Bugfix-Backlog, die zusammen die Arbeit am `install-strategy=linked`-(isolated)-Installationsmodus abschließen, die das npm-CLI seit RFC #0042 aus dem Jahr 2022 verfolgt. Die Schlagzeile ist [PR #9677](https://github.com/npm/cli/pull/9677) (Backport von #9674), die `--install-strategy=linked` von experimentell auf stabil hebt. Der Modus installiert jedes Paket in `node_modules/.store/<name>@<version>/node_modules/<dep>` und verlinkt dessen deklarierte Abhängigkeiten in den eigenen `node_modules/<dep>`-Baum, sodass ein Paket nur Abhängigkeiten `require`n kann, die tatsächlich in seinem eigenen `package.json` stehen. Die neue Doku-Empfehlung ([PR #9690](https://github.com/npm/cli/pull/9690)) lautet, `--install-strategy=linked` in CI auszuführen, um Phantom-Abhängigkeiten vor dem Veröffentlichen abzufangen. Um die Beförderung herum liefert die Release den neuen `npm install-scripts`-Namensraum ([#9635](https://github.com/npm/cli/pull/9635), Backport von #9629) mit `approve`, `deny` und `ls`, wobei `npm approve-scripts` / `npm deny-scripts` als Alias erhalten bleiben; einen `install-scripts: prune unused allowScripts entries`-Aufräumdurchlauf ([#9662](https://github.com/npm/cli/pull/9662)); und eine neue Warnung, wenn `min-release-age` einen `npm audit fix` blockiert ([#9564](https://github.com/npm/cli/pull/9564)). Die 43-Commit-Release fixt zudem 19 Bugs der `linked`-Strategie (Audit-Determinismus #9638, verwaiste `.bin`-Shims #9643, Aufräumen veralteter `.store`-Verzeichnisse #9649, ungültiger `filterNode`-Crash #9645, peerOptional-Validierung #9641), drei `npm sbom`-Fixes und einen Prozent-Encoding-Fix für den `vcs_url`-Qualifier in generierten Purls ([#9693](https://github.com/npm/cli/pull/9693)).
Oxlint v1.72 und Oxfmt v0.57 liefern den crates-v0.138-Zyklus aus, vereinheitlichen den AstBuilder und entfernen den Prettier-Fallback für CSS/GraphQL
Oxlint apps_v1.72.0 und oxfmt apps_v0.57.0, beide am 2026-06-29 veröffentlicht, schließen den v0.138-Zyklus ab, der in den [v1.71-Versionsnotizen](/articles/2026-06-23--oxlint-v1-71-oxfmt-v0-56) vorausgesagt wurde. Das crates-Release (crates_v0.138.0, ebenfalls 2026-06-29) vereinheitlicht die alten und neuen AstBuilder-APIs (#23876, #23834, #23831, mit den Legacy-Methoden als `#[deprecated]` markiert), benennt `AllocatorAccessor` in `GetAllocator` um und lässt dessen `allocator`-Methode `&self` annehmen (#23675, #23676), lässt `Str`- und `Ident`-Methoden `&GetAllocator` annehmen (#23781), fügt `transformer_plugins: Support typeof define keys` für vue-i18n und ähnliche Makros hinzu (#23605, Alexander Lichter) und liefert die herausragende Performance-Eintragung des Zyklus: `minifier: memoize value_type to remove its O(n^2) re-walk on long binary chains` (#23929, Dunqing), die eine arithmetische Additionskette mit 20 000 Gliedern von 6 118 ms auf 4,7 ms (≈1300x) bringt und das reale antd.js-Bundle von 78,1 ms auf 65,4 ms. Oxlint v1.72.0 liefert 3 Features (React-`no-unknown-property`-Vorschlag #23936, AstBuilder-Vereinheitlichung #23875, Schema für `eslint/no-restricted-import` #23642), 18 Fehlerbehebungen und 23 Performance-Eintragungen. Oxfmt v0.57.0 enthält zwei BREAKING-Änderungen, die den Prettier-Fallback für CSS/LESS/SCSS- und GraphQL-Dateien entfernen: `Format parser:css,less,scss files + css-in-js by oxc_formatter_css` (#23321, leaysgur) und `Support draft syntax with removing prettier fallback` (#23326, leaysgur), beide aufbauend auf den neuen Crates `oxc_formatter_css` (#23320) und `oxc_formatter_graphql` (#23317).
Cline 4.0.1 setzt die SDK-Migration nach den Regressionen in 4.0.0 zurück; 4.0.2 bringt den SDK-Code mit Reasoning-Effort- und ClinePass-Fehlerbehebungen zurück
Cline hat v4.0.1 am 28. Juni 2026 und v4.0.2 am 29. Juni 2026 (github.com/cline/cline) veröffentlicht, einen zweistufigen Wiederherstellungszyklus für die SDK-Migration in v4.0.0, die am 26. Juni ausgeliefert wurde. v4.0.1 liefert die VS Code-Erweiterung 3.89.x aus der Zeit vor dem SDK unter einer 4.0.1-Versionsnummer aus, gebaut aus einem dedizierten `legacy-extension`-Branch über einen neuen `ext-vscode-publish-legacy.yml`-Workflow, um die in 4.0.0 gemeldeten Regressionen zu beheben (kaputte Diff-Vorschauen im Editor, run_commands-Fehler bei Dateibearbeitungen, kaputter Dateibearbeitungs-Flow mit GLM 5.2 und MiniMax M3 über Ollama). v4.0.2 stellt den SDK-basierten Codepfad auf demselben Legacy-Branch wieder her und fügt Reasoning-Effort-Unterstützung (inklusive `xhigh`) für DeepSeek-Thinking-Modelle hinzu (#11938), eine zentralisierte Reasoning-Effort-Steuerungsschicht für ClinePass (#11954), kanonische Z.ai-Modell-IDs (#11951), einen Webview-Env-Ersetzungs-Fix (#11955), eine Politur der ClinePass- und Z.ai-Metadaten (#11958) und einen Fix für die Focus-Chain-Standardeinstellungen (#11960). Die CLI v3.0.32 erscheint am selben Tag mit Kontextverdichtungs-Verbesserungen aus SDK v0.0.54 und ClinePass-Onboarding-Politur. Die Veröffentlichungssequenz zeigt ein Projekt, das eine große Migration in 72 Stunden wiederherstellt, indem es den Legacy-Branch vorrollt, anstatt die SDK-Arbeit rückgängig zu machen.
Prettier 3.9 überholt fünf Parser: micromark für Markdown, yaml v2, GraphQL.js v17, ein Rust-basierter Flow-Parser und Angular
Prettier 3.9.0, veröffentlicht am 27. Juni 2026 (prettier/prettier, Blogpost von Fisker Cheung), ist eine parserlastige Version, die Markdown von remark-parse v8 auf micromark v4 hebt (bessere CommonMark- und GFM-Konformität sowie eine Reihe lange bestehender Parsing-Bugs behoben), YAML auf yaml v2, GraphQL auf GraphQL.js v17 (Fragment-Argumente und Direktiven auf Direktivdefinitionen), Flow auf den neuen Rust-basierten oxidized-Parser des Flow-Teams (rund 37 % schneller bei Prettiers gültigen Flow-Fixtures und 43 % schneller bei flow_parser.js in lokalen Parser-only-Benchmarks) und Angular. Auch der JavaScript- und TypeScript-Printer wurde überarbeitet, insbesondere im --no-semi-Modus, wo Kommentare um break und continue jetzt über mehrere Durchläufe stabil sind (ein Idempotenz-Fix), sowie redundante Klammern in return, die Ausrichtung von eingebetteten Template-Interpolationen und das Inlining von logischen Negationen. Die Version entfernt die veraltete import ... assert {}-Syntax (Babel 8 hat das Parser-Plugin entfernt; migriert zu with), repariert eine stillschweigend defekte Option --cache-strategy content und verhindert, dass EditorConfig-Dateien oberhalb von Git-Worktrees einsickern. Das Team erinnert daran, die genaue Version in der package.json festzupinnen, da die Formatierungsänderungen Diffs erzeugen.
Cline 4.0 migriert die VS-Code-Erweiterung auf das gemeinsame Cline SDK und ergänzt ClinePass, einen Customize-Marktplatz, Plugins und Warteschlangen-Prompts
Cline hat v4.0.0 am 26. Juni 2026 veröffentlicht (github.com/cline/cline), eine Hauptversion, die die VS-Code-Erweiterung von ihrer eigenständigen Legacy-Task-Implementierung auf das gemeinsame Cline SDK migriert, dieselbe TypeScript-Engine, die auch die Cline-CLI, Kanban und das JetBrains-Plugin antreibt. Die Version fügt ClinePass (integriertes Onboarding, Provider-Auswahl, Abonnement-Übergabe und Berechtigungsverwaltung) hinzu, einen Customize-Marktplatz für Skills, MCP-Server und die neuen Cline Plugins, Warteschlangen-Prompts, Bearbeiten-und-Regenerieren, eine Überarbeitung der Provider- und Modellkonfiguration rund um providers.json und einen gemeinsamen Modellkatalog (Fireworks GLM 5.2, Kimi K2.6 Fast, Kimi K2.7 Code, Qwen 3.7 Plus, MiniMax M3, SAP AI Core, LiteLLM, Codex OAuth), standardmäßig deaktivierte Befehls-Auto-Genehmigung und einen auf Bun umgestellten Build- und Package-Workflow der Erweiterung. Subagenten sind in der Erweiterung vorübergehend deaktiviert, während das SDK-basierte Erlebnis stabilisiert wird.
OpenAI Codex 0.142 bringt Rollout-Token-Budgets, Multi-Agent-Delegation, indizierte Websuche und einen neu gegliederten Plugin-Marktplatz
Die OpenAI Codex 0.142-Linie erschien zwischen dem 22. und 26. Juni 2026 (rust-v0.142.0 bis rust-v0.142.3 auf github.com/openai/codex). Der Zyklus macht den Agenten zu etwas, das ein Team steuern kann: konfigurierbare Rollout-Token-Budgets, die den Verbrauch über Threads hinweg verfolgen und Turns abbrechen, wenn das Budget erschöpft ist, eine Multi-Agent-Delegation, die als deaktiviert, nur-auf-Anfrage oder proaktiv konfigurierbar ist, ein indizierter Websuch-Modus, der Live-Suche erlaubt, aber den direkten Seitenzugriff auf vom Server freigegebene URLs beschränkt, MCP-Tools, die standardmäßig die Tool-Suche nutzen, eine /plugins-Ansicht, neu gegliedert in die Sektionen OpenAI Curated, Workspace und Shared with me, System-Proxy-Unterstützung (PAC, WPAD, Bypass) unter Windows und macOS für die Authentifizierung, sowie eine lange Liste an Zuverlässigkeits- und Sicherheits-Fixes für Remote-Executors. Sie baut direkt auf dem Noise-verschlüsselten Relay und der Cross-OS-PathUri-Schicht der Version 0.141 vom 18. Juni auf.
Deno 2.9 bringt 1,98x schnelleren Cold Start, 2,2–3,1x weniger RSS unter Last, npm Minimum Release Age als Default, No-Downgrade Trust Policy und eingebaute Snapshot-Tests
Deno 2.9 (Bartek Iwańczuk, veröffentlicht am 2026-06-25 auf deno.com/blog/v2.9) ist das größte Deno-Release des Zyklus. Der Cold Start sinkt von 34,2 ms auf 17,3 ms (1,98x), der Spitzen-RSS auf der Deno.serve-Realworld-Last fällt um den Faktor 2,2 (142 MB → 64 MB) und um 3,1x bei 1-MiB-Bodies (197 MB → 63 MB), und der Deno.serve-Durchsatz steigt um 1,27x in Realworld (56,8k → 72,4k req/s), 1,11x in Plaintext und 1,18x bei 1-MiB-Bodies. Supply-Chain-Härtung: Das npm Minimum Release Age wird standardmäßig mit einem 24-Stunden-Fenster aktiviert (PR #35458), und eine neue opt-in No-Downgrade Trust Policy (PR #34927) weigert sich, jede Version aufzulösen, deren Vertrauensbeweis (Staged Publishing, Trusted Publishing, Provenance-Attestation) schwächer ist als der stärkste Beweis einer zuvor veröffentlichten Version desselben Pakets. Test-Runner-Parität: eingebautes t.assertSnapshot() (#35139), Deno.test.each (#34938), --shard für CI-Fan-out (#35057), Retry und Repeats (#35053), Change-Aware --changed und --related (#35199) und Coverage-Thresholds (#35056). Lockfile-Interop: deno install seedet deno.lock aus package-lock.json, pnpm-lock.yaml, yarn.lock oder bun.lock (#34296, #35330, #35346, #35350, #35394), pnpm-workspace.yaml migriert automatisch in deno.json / package.json (#34993), und Git-Merge-Konflikt-Marker in deno.lock lösen sich automatisch auf (#34726). Dazu: deno desktop verlässt den experimentellen Status (PR #33441 vom 16. Juni), Subcommands deno link / deno unlink / deno list / deno watch, stabiles --unsafe-proto (#34738), Web Locks API (#31166), Happy Eyeballs v2 (RFC 8305) (#31726), navigator.userAgentData (#34743), der WebCrypto Modern Algorithms-Vorschlag (ML-KEM, ML-DSA, SLH-DSA, ChaCha20-Poly1305, SHA-3-Familie, KMAC, Argon2) (#34447, #34448, #34914, #35223), Node-26.3.0-Kompatibilität (#34746, #34747), Node-API v10 (#35270) und CSS-Modul-Importe unter --unstable-raw-imports (#35093). Über 165 PRs landen in diesem Zyklus.
Anthropic wirft Alibaba „dreiste“ Destillation von Claude im industriellen Maßstab vor: 28,8 Millionen Austausche, ~25.000 gefälschte Konten, 22. April bis 5. Juni
Anthropic hat am 2026-06-24 einen Blogbeitrag veröffentlicht (https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks), in dem Alibaba eine Destillationskampagne gegen Claude im industriellen Maßstab vorgeworfen wird. Anthropic gibt an, dass die Kampagne vom 22. April bis 5. Juni 2026 lief und über beinahe 25.000 gefälschte Konten mehr als 28,8 Millionen Austausche mit Claude produzierte. Die Anklage ist die zweite öffentliche Destillations-Offenlegung von Anthropic: die erste vom 2026-02-23 nannte DeepSeek, Moonshot AI und MiniMax als Urheber von 16 Millionen Austauschen über 24.000 gefälschte Konten. Reuters (Krystal Hu, Eduardo Baptista) und Bloomberg (Saritha Rai) berichteten am 2026-06-24 über die neue Anklage; das WSJ veröffentlichte am selben Tag Anthropic Claims Alibaba Ran 'Brazen' Campaign to Access Its Claude AI Model. Eine öffentliche Stellungnahme von Alibaba lag zum Zeitpunkt der Veröffentlichung nicht vor.
Node.js 26.4.0 'Current' bringt das node:vfs-Subsystem (Matteo Collina), ESM-Loader-Package-Maps (Maël Nison), TLS-Zertifikatkompression, TCP_KEEPINTVL/TCP_KEEPCNT und argon2 als stabil
Node.js 26.4.0 (Current), veröffentlicht am 2026-06-24 von @aduh95, liefert acht SEMVER-MINOR-Änderungen: ein minimales node:vfs-Subsystem, das vom Anwendungscode bereitgestellte virtuelle Dateisysteme einhängt (PR #63115, Matteo Collina) sowie ein Folgepatch, das node:fs/promises an eingehängte VFS-Instanzen weiterleitet (PR #63537), Package-Maps für ESM-Loader-Hooks, die Bare-Spezifier durch die Loader-Hooks routen (PR #62239, Maël Nison), TLS certificateCompression, das die zlib- und zstd-Kompression aus RFC 8879 durch die OpenSSL-Build-Konfiguration verkabelt (PR #62217, Tim Perry), TCP_KEEPINTVL- und TCP_KEEPCNT-Unterstützung in net.Socket.setKeepAlive (PR #63825, Guy Bedford), vom Aufrufer bereitgestellte Buffer in fs.readFile / fs.readFileSync (PR #63634, Matteo Collina), closeIdleConnections, das nun auch Pre-Request-Sockets schließt (PR #63470, semimikoh), net.BlockList auf Release-Candidate-Stabilität vorgerückt (PR #63050), und crypto.argon2 + KEM encap/decap als stabil markiert (PR #63924, Filip Skokan). Die Release ergänzt außerdem WebCrypto-cSHAKE (PR #63988), QUIC listEndpoints (PR #63536) und X509Certificate-Handles (PR #63191), dgram connectSync / bindSync (PRs #63838 + #63932, Guy Bedford), net.BoundSocket für frühes TCP-Binding (PR #63951), einen experimentellen schnellen FFI-Aufrufpfad für AArch64 und x86_64 (PRs #63068 + #63941, Paolo Insogna), npm 11.17.0 (PR #63857), sqlite 3.53.2 und libffi 3.6.0.
Node.js 24.18.0 'Krypton' LTS bringt Buffer.poolSize auf 64 KiB, TurboSHAKE und KangarooTwelve in Web Crypto sowie http.writeInformation für beliebige 1xx-Codes
Node.js 24.18.0 'Krypton' (LTS), veröffentlicht am 2026-06-23, liefert den aus Node.js 26.3.0 bekannten Buffer.poolSize-Default von 64 KiB auf der LTS-Linie, ergänzt Web Cryptography um die RFC-9861-Algorithmen TurboSHAKE und KangarooTwelve (PR #62183, 1.521 Ergänzungen, 13 Dateien), führt http.writeInformation für beliebige 1xx-Statuscodes ein (PR #63155, 306 Ergänzungen, 7 Dateien), legt den Start der V8-Precise-Coverage in das JS-Laufzeitsystem (Commit 8c989ec4a3), ergänzt JWK-Import/Export für die Post-Quanten-Schlüsseltypen ML-KEM und SLH-DSA (PR #62706, 842 Ergänzungen, 39 Dateien), bindet im BoringSSL-Pfad ML-DSA, ML-KEM, ChaCha20-Poly1305 und AES-KW in Web Crypto ein (PR #63255), härtet WebCrypto gegen Prototype-Pollution (PR #63363), vereinheitlicht die Schlüsselargumentnamen von crypto.diffieHellman und akzeptiert Schlüsseldaten als Eingabe (PR #62527), nimmt das in 24.16.0 eingeführte Verhalten 'stream: noop pause/resume on destroyed streams' zurück (PR #63834) und veröffentlicht am selben Tag den Minimal-Hotfix 22.23.1, der eine in der Sicherheitsrelease v22.23.0 vom 18.06. eingeführte Änderung am HTTP-Agent zurücknimmt, die an inaktiven Agent-Sockets Stream-Listener angehängt hatte.
Vite 8.1.0 stable bringt Bundled Dev Mode (15x schnellerer Start bei 10k-React-Komponenten), WASM-ESM-Importe und Chunk Import Map, erweitert server.fs.deny um .npmrc und private Schlüssel
Vite 8.1.0 stable, veröffentlicht am 2026-06-23 vom Vite-Team (announcing-vite8-1), hebt Bundled Dev Mode von einem experimentellen Flag auf einen dokumentierten --experimental-bundle-Einstiegspunkt (15x schnellerer Cold Start bei einer React-App mit 10 000 Komponenten, 10x schnellere Full Reloads; Linear meldet 3x schnelleres Cold-Start-Rendering, ~40% schnellere Full Reloads), stabilisiert die WASM-ESM-Integration mit direkten .wasm-Importen und build.chunkImportMap aus der 8.1-Beta vom 2026-06-15, bringt Lightning CSS mit External-CSS-in-CSS und Plugin-Dateiabhängigkeiten einen Schritt näher an den Default-Status, aktualisiert Rolldown auf 1.1.2 (1.1.3 folgt am selben Tag), pinnt rolldown mit einem Tilde-Range, sodass Patch-Releases ohne Vite-PR durchfließen, erweitert server.fs.deny um .npmrc, .yarnrc.yml und *.{key,p12,pfx,cer,der} und gibt eine Runtime-Deprecation-Warnung für envFile: false aus.
Oxlint v1.71 und Oxfmt v0.56 liefern die v0.137-Crates-Gewinne aus, bringen 18 neue Linter-Regeln und zähmen die React-Lifecycle-Traversierung mit einem Streamed-Iterator-Refactor
Oxlint apps_v1.71.0 und oxfmt apps_v0.56.0, beide am 2026-06-22 veröffentlicht, schließen den v0.137-Crates-Zyklus auf der Apps-Seite ab. Oxlint v1.71 übernimmt die neue `treeshake pure typed arrays`-Minifier-Passe (#23469), den `prefer-query-selector`-Compound-Selector-Fix, 28 Lint-Bugfixes (größtenteils Yunfei He Fixer-Rewrite-Arbeit), 13 Performance-Einträge, die auf einem Bucketed-Rule-Dispatch-Refactor aufsetzen (#23450, #23452, #23482-#23486, #23489, #23492), sowie den Tokio-nur-für-LSP-Start in oxlint (#23447). Oxfmt v0.56.0 liefert 9 Bugfixes (CRLF-Normalisierung für per `// @ts-ignore` unterdrückten Text in #23701 und #23702, den Member-Chain-Panic-Fix #23698, die Erhaltung von `export default` mit Type-Cast #23697) und 3 Formatter-Performance-Einträge, die Arena-Kopien auf BigInt-, Numeric-Literal- und String-Literal-Text vermeiden. v1.71 ist die erste Apps-Release seit v1.70.0 am 2026-06-15 und die letzte vor der v0.138-Crates-Release, die am Montag 2026-06-29 erscheinen wird.
SWC v1.15.43 bringt den React Compiler als erstklassige Transformation, behebt einen stillen Template-Literal-Minifier-Bug und richtet `unsafe_math` an Terser aus
SWC v1.15.43, veröffentlicht am 2026-06-22 mit swc_core v71.0.3, liefert den experimentellen Rust-React-Compiler als konfigurierbare SWC-Transformation über .swcrc jsc.transform.reactCompiler (PR #11917, 54 Dateien, 12.986 Hinzufügungen); behebt einen stillen Template-Literal-Minifier-Bug, bei dem `compress` den Text nach der letzten Interpolation des linken Template-Literals beim Verketten zweier Template-Literale abschnitt (#11939); koppelt Number(x) -> +x an SOWOHL `unsafe: true` ALS AUCH `unsafe_math: true`, um mit terser v4.3.11+ übereinzustimmen (#11944, #11949); korrigiert den Geltungsbereich von ES2022-Privatfeld-Brand-Checks (#11953); und bringt sieben interne React-Compiler-Korrekturen (#11940, #11943, #11946, #11950, #11951, #11952, #11957) sowie eine Parser-Korrektur für No-Default-Builds (#11956) und einen Dok-Eintrag zum Sicherheitsumfang nicht vertrauenswürdiger Eingaben (#11937).
Astro 7.0.0 Stable bringt Vite 8, macht den Rust-Compiler zum Standard, fügt einen Hintergrund-Dev-Server für KI-Code-Agenten hinzu und befördert Routen-Caching, erweitertes Routing und Sätteri in den First-Class-Status
Astro 7.0.0, veröffentlicht am 2026-06-22, liefert den stabilen 7.0-Branch nach zehn Wochen Beta. Die wichtigsten Änderungen: Vite-8-Upgrade, Rust-basierter Astro-Compiler als Standard (der Go-Compiler wird entfernt), Sätteri-Markdown-Pipeline als Standard (remark/rehype ist nicht mehr Teil der Standardinstallation), erweitertes Routing aus dem Experimental-Status befördert (mit src/fetch.ts als neuem Standard-Einstiegspunkt), Routen-Caching aus dem Experimental-Status befördert (cache und routeRules auf oberster Ebene, mit den Providern cacheNetlify() und cacheVercel() in derselben Release), Hintergrund-Dev-Server-Modus für KI-Code-Agenten (astro dev --background, Lockdatei .astro/dev.json, astro dev stop|status|logs), compressHTML: 'jsx' als neuer Standard, das Paket @astrojs/db wird entfernt, und jede offizielle Integration erhält einen Major-Bump (vue 7, react 6, svelte 9, preact 6, solid-js 7, vercel 11, netlify 8, node 11). create-astro@5.1.0, in derselben Release-Welle ausgeliefert, schreibt jetzt eine AGENTS.md-Datei in jedes neue Projekt mit einem CLAUDE.md-Symlink, der darauf zeigt.
Oxc v0.137 bringt dem Minifier das Treeshaken reiner Typed Arrays und Set/Map-Literale bei, liefert ein inkrementelles Scoping-Refresh und behebt einen React-Compiler-Randfall
Der Oxc-Release crates_v0.137.0, veröffentlicht am 2026-06-18, liefert zwei neue Minifier-Treeshaking-Pässe (Treeshake reiner Typed Arrays und Set/Map-Array-Literale über #23469, sowie Inlining von Const-Werten für Read-Only-Variablen über #22593), ein lang angelegtes inkrementelles Scoping-Refresh, das den LiveUsageCollector-Kollektor vollständig entfernt (#23197), einen freundlichen Parser-Fehler für benachbarte JSX-Elemente (#23378), einen React-Compiler-Fix für Imports, auf die nur über einen berechneten Schlüssel verwiesen wird (#23586), sowie zwei Breaking Changes an der ESTree-Config-API (#23573, #23574). Die Minifier-Passliste bekommt zusätzlich einen Proxy-bewussten Fix für Object-Introspection-Aufrufe (#23483) und eine neue Erhaltungsregel für Map/WeakSet/WeakMap mit String-Argument (#23470). v0.137 ist der erste Crates-Release seit v0.135 am 2026-06-08 und der zweite seit Buns nativer React-Compiler-Integration, die am 2026-06-20 landete.
Sakana Fugu Verpackt Einen Multi-Agent-Orchestrator Hinter Einer Einzelnen API und Behauptet Frontier-Parität Mit Fable und Mythos
Sakana AI lancierte Fugu am 22. Juni 2026, ein Multi-Agent-Orchestrierungssystem, das als einzelne OpenAI-kompatible API bereitgestellt wird. Zwei Modelle, Fugu und Fugu Ultra, koordinieren einen Pool geschlossener LLMs mittels gelernter Orchestrierung aus zwei ICLR-2026-Papers (TRINITY und Conductor). Fugu Ultra erzielt Benchmark-Werte, die mit Anthropics Fable 5 und Mythos Preview konkurrieren, doch der Launch scharfe Kritik an Kostentransparenz, Closed-Source-Abhängigkeiten und Benchmark-Methodik.
Bun integriert den React Compiler direkt in seinen Bundler, rund 20x schneller als das Babel-Plugin
PR #32504, am 20. Juni 2026 in oven-sh/bun gemergt, macht den Upstream-Rust-Port des React Compilers zu einer eingebauten `bun build`-Transformation hinter `--react-compiler` und `Bun.build({ reactCompiler: true })`. Bun portiert den Upstream-Workspace `compiler/crates/` aus `facebook/react` direkt in eine einzelne Crate `src/react_compiler/` (~62k LOC), anstatt den Weg über Babel, SWC oder Oxc zu gehen, und in einer großen React-Codebasis (rund 860 Komponenten, 1400 Memo-Slots) läuft der Compiler-Durchlauf in 465 ms gegenüber 9,15 s für das Babel-Plugin. Das Feature ist experimentell, standardmäßig deaktiviert und wird zusammen mit `reactCompilerOutputMode` (client oder ssr) und einem `scripts/sync-react-compiler.sh`-Resync-Skript ausgeliefert.
Astro 7.0.0-beta.6 stabilisiert das Routen-Caching und führt JSX-Whitespace-Kompression als Standard ein
Astro 7.0.0-beta.6 (19. Juni 2026) befördert die experimentelle Routen-Caching-API auf stabile Top-Level-Konfiguration. Die Flags experimental.cache und experimental.routeRules entfallen, ersetzt durch eine cache-Konfiguration der obersten Ebene und einen Cache-Helper. Beta.5 (18. Juni) hat „jsx“ zum Standardwert von compressHTML gemacht, was das gerenderte HTML jeder Site verändert, die sich auf die Whitespace-Erhaltung verlassen hat. Beta.6 zieht außerdem @astrojs/markdown-satteri 0.3.1-beta.2 nach.
TypeScript 7.0 RC ist da: Der Go-Compiler erreicht den Release Candidate, rund 10-mal schneller, mit Side-by-Side-Migration
TypeScript 7.0 RC (18. Juni 2026) ist der Release Candidate des Compilers, den Microsoft von seiner in TypeScript gebooteten Codebasis nach Go portiert hat. Er ist oft rund 10-mal schneller als TypeScript 6.0, liefert ein tsc6-Kompatibilitätspaket für den parallelen Betrieb mit 6.0, fügt die Parallelitäts-Flags --checkers/--builders/--singleThreaded und einen neu aufgebauten Watch-Modus auf einem Go-Port von @parcel/watcher hinzu und macht alle Deprecations aus 6.0 zu harten Fehlern. Das stabile Release ist für den kommenden Monat geplant, eine stabile programmierbare API wird auf 7.1 verschoben.
pnpm 11.8 liefert `install --dry-run`, Node.js Package Maps und eine SBOM pro Paket
pnpm 11.8.0 (18. Juni 2026) fügt ein lang gefordertes `--dry-run` für `pnpm install` hinzu, experimentelle Node.js-Package-Maps unter `node_modules/.package-map.json`, den CycloneDX-Scope für devDependencies und die SBOM-Erzeugung pro Paket sowie einen macOS-Gatekeeper-Fix, der die Quarantäne von nativen Binaries entfernt. Außerdem wird eine Path-Traversal-Schwachstelle bei configDependencies (GHSA-qrv3-253h-g69c) geschlossen, drei Tage nach der Lockfile-Härtung in 11.7.
React Router v8 stuft seine Future Flags zu Standardwerten hoch, wird rein ESM und legt `react-router-dom` ab
React Router v8.0.0 (17. Juni 2026) ist das erste Major Release unter dem Open-Governance-Modell des Projekts und das erste in einem geplanten Jahresrhythmus. Jedes `future.v8_*`-Flag aus v7 wird zum Standard (immer aktiviertes Middleware, Pass-Through-Requests, die Vite-Environment-API, Route-Modul-Splitting), die Baseline steigt auf Node 22.22+, React 19.2.7+ und Vite 7+, alle Pakete erscheinen rein als ESM mit ES2022 als Ziel, `react-router-dom` wird entfernt und die Node-Adapter wechseln zu einem von Remix gepflegten Fetch-Server, während `create-react-router` seinen Fetch-Polyfill durch nativen `fetch` ersetzt.
Node.js Juni 2026 Sicherheitsrelease: 12 CVEs über v22.23.0, v24.17.0 und v26.3.1, mit zwei High-Severity TLS- und Crypto-Fixes
Am 18. Juni 2026 hat das Node.js-Projekt koordinierte Sicherheitsreleases für die v22 „Jod“ LTS, die v24 „Krypton“ LTS und die v26 Current-Linie veröffentlicht. Der Drop schließt 12 CVEs, darunter zwei mit High-Bewertung: CVE-2026-48618 (TLS-Hostname-Normalisierung für Server-Identity-Checks) und CVE-2026-48933 (WebCrypto-Cipher-Output-Längen-Guard). Außerdem an Bord: OpenSSL 3.5.7, undici 8.5.0 auf v26, llhttp 9.4.2 und nghttp2 1.69.0 (semver-major) auf v22 und v24.
OpenAI Codex 0.141 bringt Noise-verschlüsselte Remote-Executors, plattformübergreifendes `PathUri`, einen Plugin-Marketplace und einen SQLite-WAL-Reset-Pin
Codex 0.141.0 (18. Juni 2026) macht Noise IK zum Standardtransport zwischen Orchestrator und Exec-Server, liefert eine PathUri- / NativePathString-Schicht, die POSIX-, Windows-Drive- und UNC-Pfade round-trippt, ohne die URI-Codierung an der API durchsickern zu lassen, eröffnet einen `created-by-me-remote`-Plugin-Marketplace, hebt den MCP-Tool-Timeout auf 300 Sekunden und pinnt das gebündelte SQLite auf 3.51.3, damit der WAL-Reset-Korruptions-Fix nach Dependency-Refreshs erhalten bleibt.
Swooles AOT-Compiler wird zu TypePHP: PHP-Syntax-Code, der zu nativen Binaries kompiliert, Beta bis 1. Oktober
Am 18. Juni 2026 hat das Swoole-Team seinen Ahead-of-Time-PHP-Compiler offiziell in TypePHP umbenannt, eine eigenständige stark typisierte kompilierte Sprache mit voller PHP-Syntax-Kompatibilität, einer Dual-Engine aus statischer Kompilierung und ZendVM-Laufzeit, nativen Decimal- / BigInt- / BigFloat-Typen, vier stark typisierten C++-gestützten Containern, Uniform Function Call Syntax und direkten C++-ABI-Aufrufen in statische Bibliotheken aus C, C++, Rust und Go. Eine Beta ist bis zum chinesischen Nationalfeiertag (1. Oktober 2026) zugesagt, gefolgt von einer vollständigen Quellcode-Veröffentlichung. Wir entpacken das Dual-Engine-Design, die C++-ABI-Integration, den selbstgehosteten Compiler, was sich gegenüber KPHP, HHVM, PeachPie und FrankenPHP ändert, und die offene Frage, die Roman Pronskiy aufgeworfen hat, wo die Sprache aufhört, PHP zu sein.
Google Clouds Open Knowledge Format ist ein Standard, kein Produkt: Ein Deep Dive in OKF v0.1
Am 12. Juni 2026 hat Google Cloud das Open Knowledge Format (OKF) veröffentlicht, eine offene Spezifikation, die das LLM-Wiki-Pattern in ein portables, interoperables Format bringt: ein Verzeichnis aus Markdown-Dateien mit YAML-Frontmatter, ein einziges Pflichtfeld (type), fünf empfohlene Felder und null vorgeschriebene Tooling. Der Tweet von Google Cloud Tech am 16. Juni generierte 117.000 Aufrufe in 24 Stunden und machte die Spezifikation zur meistdiskutierten Wissensformat-Ankündigung des Jahres. Dieser Long Read geht die v0.1-Spezifikation Abschnitt für Abschnitt durch, die Designentscheidungen, die sie bewusst minimal halten, das, was Google parallel ausliefert (einen Enrichment-Agent für BigQuery, einen statischen HTML-Visualizer, drei Beispiel-Bundles und eine native BigQuery-Knowledge-Catalog-Integration), und die offene Frage, die jeder KI-Agent-Builder und jedes Datenplattform-Team in den nächsten sechs Monaten verfolgen sollte.
pnpm 11.7 bringt `frozenStore` für Read-Only-Dateisysteme, lässt pacquet Abhängigkeiten auflösen und schließt einen Lockfile-Path-Traversal
pnpm 11.7.0 (15. Juni 2026) liefert vier Kernänderungen: einen `--frozen-store`-Install-Modus für Nix-Stores, OCI-Layer und andere Read-Only-Mounts; die Delegation der Abhängigkeitsauflösung an den pacquet-Rust-Port (nicht nur die Materialisierung); ein optionales `--batch`-Flag für `pnpm publish --recursive`; und einen Security-Fix, der Path-Traversal- und reservierte Aliasse (`.bin`, `.pnpm`, `node_modules`, `../../escape`) aus dem Lockfile zurückweist.
Astro 7.0.0-beta.4 macht Sätteri zum Standard-Markdown-Prozessor und führt erweitertes Routing, benutzerdefinierten Logger und gestreamtes Rendering als stabil
Astro 7.0.0-beta.4 (15. Juni 2026) aktiviert die Rust-basierte Sätteri-Markdown-Pipeline standardmäßig, entfernt das experimentelle Flag von erweitertem Routing, benutzerdefiniertem Logger und der neuen Rendering-Engine, löscht die veralteten CLI-Befehle astro db/login/logout/link/init und übernimmt den in alpha.2 eingeführten Dev-Server-Hintergrundmodus als Standard in Agentenkontexten.
Deno bringt `deno desktop` mit: WEF-basierter Unterbefehl für eigenständige Desktop-Apps mit Deno.BrowserWindow, vereinten DevTools und Cross-Compile für macOS, Windows und Linux
Deno hat `deno desktop` am 16. Juni 2026 zusammengeführt (PR #33441), einen neuen Unterbefehl, der ein Deno-Projekt in eine eigenständige Desktop-Anwendung verwandelt. Das Feature liefert das WEF-Backend (standardmäßig CEF, plus WebView und rohem winit), die Deno.BrowserWindow-API für Fenster-Lebenszyklus und native Events, Framework-Auto-Erkennung für Next, Astro, Fresh, Remix, Nuxt, SvelteKit, SolidStart, TanStack Start und Vite SSR, einen CDP-Multiplexer, der beide V8-Isolate in einer einzigen DevTools-Session anzeigt, einen Auto-Updater mit bsdiff-Patches und cross-kompilierte .app/.dmg/.exe/.AppImage-Outputs. Drei kleinere Deno-PRs landeten am selben Morgen: `deno link`/`unlink`, `deno test --shard` und ein fetch `request_builder_hook` für `x-deno-fetch-token`/`cdn-loop`-Header.
GLM-5.2 von Z.ai ist ein 1M-Token-Open-Weights-Modell für Long-Horizon-Coding-Agenten: Ein Deep Dive
Am 16. Juni 2026 hat Z.ai GLM-5.2 unter MIT-Lizenz veröffentlicht, mit einem soliden 1M-Token-Kontext, einem IndexShare-Sparse-Attention-Trick, der die Per-Token-FLOPs um 2,9× reduziert, einem Anti-Hack-Modul für Coding-RL und Benchmark-Zahlen, die das Modell wenige Punkte hinter Claude Opus 4.8 auf Terminal-Bench 2.1 platzieren, vor GPT-5.5 auf drei Long-Horizon-Suites, und an der Spitze der Open-Weights-Rangliste auf jedem Coding-Benchmark, den das Unternehmen zu veröffentlichen gewählt hat. Dieser Long Read geht durch die Architektur, die IndexShare + MTP-Story, die slime-Agentic-RL-Infrastruktur, das Anti-Hack-Modul, die vollständige Benchmark-Tabelle mit allen Fußnoten und was das für den Rest des Open-Weights-Long-Context-Rennens bedeutet.
SpaceX kauft Cursor für 60 Milliarden Dollar: eine Tiefenanalyse zum größten KI-Coding-Deal des Jahres
Am 16. Juni 2026, vier Handelstage nach dem Rekord-IPO von SpaceX über 85,7 Milliarden Dollar, der Elon Musk zum ersten Dollar-Billionär der Welt machte, bestätigte das Unternehmen die Übernahme von Anysphere, der Muttergesellschaft des KI-Code-Editors Cursor, in einem reinen Aktiendeal im Wert von 60 Milliarden Dollar. Der Preis liegt beim 16-fachen der privaten Bewertung von Cursor Ende 2025, beim Doppelten der Runde, die gerade abschließen wollte, und der Deal schließt eine ungewöhnliche April-Vereinbarung, bei der SpaceX das Recht hatte, Cursor für 60 Milliarden zu kaufen oder alternativ 10 Milliarden für die Partnerschaft zu zahlen. Diese Langform-Analyse geht die Deal-Mechanik, die IPO-als-Akquisitionswährung-Story, die Technologiewette auf Composer + Colossus, den Zusammenhang mit dem xAI-Zusammenbruch und die Fragen durch, die jeder Entwickler mit Cursor, Claude Code, Copilot oder einem anderen KI-Coding-Tool diese Woche stellen sollte.
Staan, die erste europäische Such-API, öffnet den Self-Service: eine Tiefenanalyse
Am 15. Juni 2026 hat auf der VivaTech die Staan-Such-API den Self-Service für alle Entwickler:innen geöffnet. Sie ist die öffentliche Oberfläche von European Search Perspective, dem 50/50-Joint-Venture zwischen Qwant und Ecosia, das den europäischen Suchindex betreibt, und der Launch fällt in die Lücke, die Microsofts Rückzug der Bing-Search-API im August 2025 und Googles eingeschränkter programmischer Zugang hinterlassen haben. Diese Langform geht den Pipeline-Aufbau, die drei Produktstufen, die Preisgestaltung, die Souveränitätserzählung und ihre Grenzen, den « amerikanischen Backup-Mechanismus » und die Auswirkungen für KI-Agenten und Coding-Tools, die auf einen frischen Web-Index angewiesen sind, im Detail durch.
Mistral "Le Chaton Fat" überspült die Timeline in 24 Stunden: ein Feldbericht
In der Nacht vom 14. auf den 15. Juni 2026 ist eine gefälschte Mistral-Produktseite auf X geleakt. Bis zum Morgen hatte das Modell 30 bis 100 Billionen Parameter, eine EU-Suspendierung, einen FrontierMath-4-Score von « well beyond 100 », rekursive Selbstverbesserung und eine Andrej-Karpathy-Einstellungsmitteilung erworben. Nichts davon war real. Alles davon ist gelandet. Hier ist die Timeline, die Community Notes, und was das darüber erzählt, wie das KI-Ökosystem einen Launch aufnimmt.
Playwright v1.61.0: WebAuthn-Passkeys, eine echte WebStorage-API und Trace-artige Video-Modi für den Test-Runner
Playwright v1.61.0 (15. Juni 2026) liefert einen virtuellen Authenticator für WebAuthn/Passkey-Zeremonien, eine erstklassige page.localStorage / page.sessionStorage-API, Netzwerk-Security-Details auf APIResponses und bringt die Video-Aufzeichnung des Test-Runners auf Parität mit der Trace-Aufzeichnung. Browser-Kanäle: Chromium 149, Firefox 151, WebKit 26.5.
Vite 8.1 Beta: direkte `.wasm`-Imports, `build.chunkImportMap` und `server.hmr` → `server.ws`-Umbenennung
Vite 8.1.0-beta.0 (15. Juni 2026) ist die erste Beta der 8.1-Linie. Sie liefert den WASM-ESM-Integration-Standard als direkte .wasm-Imports, eine build.chunkImportMap-Option, die Import Maps nutzt, um Chunk-Cache-Hit-Raten zu verbessern, die Integration mit Vite Task für Zero-Config-Build-Caching, Support für lightningcss-Plugin-Dependencies, und einen Breaking Rename, der alle `server.hmr`-Optionen nach `server.ws` verschiebt.
esbuild 0.28.1: Erstes Release seit zwei Monaten mit einer High-Severity-Deno-RCE, einem Windows-Path-Traversal und einem `using`-Disposal-Bug
esbuild v0.28.1 (11. Juni 2026) ist das erste Release seit April. Es behebt eine CVSS-8.1-Remote-Code-Execution in der Deno-API via NPM_CONFIG_REGISTRY, einen nur Windows betreffenden Path-Traversal im Dev-Server und einen Minifier-Bug, der das Ressourcen-Disposal mit `using` und `await using` stillschweigend kaputtgemacht hat.
OpenRouter Fusion: Compound AI schlägt jedes Einzelmodell auf DRACO
Die Fusion-API von OpenRouter führt mehrere LLMs parallel aus, lässt ein Richter-Modell Konsens und Widersprüche extrahieren und synthetisiert anschließend eine einzige Antwort. Auf dem DRACO-Benchmark für tiefe Recherche erreichte ein Panel aus Budget-Modellen die Leistung des besten Frontier-Modells zur Hälfte des Preises, und ein Frontier-Panel übertraf jedes getestete Einzelmodell. Diese Analyse zerlegt die Architektur und die Benchmark-Methodik und zeigt, warum der Großteil des Leistungsgewinns im Synthese-Schritt steckt und nicht in der Modellvielfalt.
US-Regierung ordnet Anthropic an, Fable 5 und Mythos 5 weltweit zu suspendieren; Anthropic widerspricht
Am 12. Juni 2026 um 17:21 Uhr ET erhielt Anthropic eine Exportkontroll-Direktive der US-Regierung, die verlangt, Fable 5 und Mythos 5 für sämtliche Nutzer:innen zu deaktivieren, einschließlich ausländischer Staatsbürger:innen innerhalb der USA. Anthropic kommt der Anordnung nach, widerspricht aber öffentlich der technischen Grundlage.
Anthropic, die Exportkontroll-Direktive und die Anatomie eines Fable-5-Rückzugs: eine Tiefenanalyse
Am 12. Juni 2026 ordnete die US-Regierung Anthropic an, Fable 5 und Mythos 5 für sämtliche ausländische Staatsbürger:innen weltweit zu suspendieren. Die Direktive zielte weder auf ein Land noch auf eine Fähigkeit. Sie zielte auf eine Klasse von Personen. Diese Langform seziert den rechtlichen Mechanismus, das Konzept der « US person », das bestimmt, wer den Zugang behält, warum Anthropic sich entschied, das Modell für alle zu deaktivieren, was Project Glasswing verliert, und welchen Präzedenzfall dies für die übrige Frontier-Modell-Industrie schafft.
Biome 2.5 liefert `@biomejs/js-api` v6.0.0: ein Major-Bump für die JS-API
Biomes CLI erreicht 2.5.0 und die JavaScript-API springt auf ein v6.0.0-Major. Die Schlagzeile ist der neue spanInBytesToSpanInCodeUnits-Helper, der einen echten UTF-16-Surrogate-Bug bei der Extraktion von nicht-ASCII-Diagnosetext behebt, plus eine lange Liste an SCSS-, JSON-, Linter- und CLI-Verbesserungen.
Anthropic Claude Fable 5 vorgestellt, dann Entschuldigung für unsichtbare Distillation-Guardrails
Fable 5 ist das erste allgemein verfügbare Modell der Mythos-Klasse mit State-of-the-Art-Ergebnissen in Software-Engineering, Knowledge Work und Vision, bepreist mit 10 $/50 $ pro Million Tokens. Zwei Tage später ruderte Anthropic beim verdeckten Distillation-Throttling zurück.
Zwei Open-Source-Coding-Modelle in einer Woche: Kimi K2.7-Code und Xiaomi MiMo Code
Moonshot AI hat Kimi K2.7-Code veröffentlicht, ein 1T-Parameter-MoE-Coding-Modell mit 32B aktivierten Parametern und 30% weniger Thinking-Tokens gegenüber K2.6. Xiaomi folgte mit MiMo Code, einem weiteren Open-Weights-Coding-Modell. Das steht tatsächlich auf der Model Card.
Oxc v0.135: Rust-Port des React Compiler und ein `#[non_exhaustive]`-AST-Break
Oxc 0.135 integriert den Rust-Port des React Compilers, markiert AST-Knoten als #[non_exhaustive] (Breaking Change für nachgelagerte Rust-Crates), fügt zwei neue AstBuilder-Methoden hinzu und liefert zahlreiche Parser-Strenge- und Codegen-Whitespace-Fixes.
Fresh 2.3: Zero JS Standard, View Transitions und WebSocket-Support
Fresh 2.3 hält endlich sein Versprechen von 'standardmäßig Null JavaScript', fügt native View-Transitions-Unterstützung hinzu, bringt integrierte WebSocket-Handler, CSP-Nonce-Injection und Temporal-API-Support für Islands.
Nitro v3.0.260603-beta: Custom Framework Commands und defaultPreset-Config
Der neueste Nitro-Beta fügt Support für benutzerdefinierte Framework-Preview- und Deploy-Befehle hinzu, führt die defaultPreset-Config-Option ein und behebt einen Edge-Case beim Type-Stripping.
npm Supply-Chain-Angriff: Red Hat durch Mini Shai-Hulud Kompromittiert
Wiz Research entdeckt Miasma, einen neuen Supply-Chain-Angriff, der Credential-Diebstahl-Malware in 32+ Red Hat npm-Pakete einschleust.
State of Web Dev AI 2026: KI-generierter Code Steigt auf 54%, Claude dominiert bei Bezahl-Nutzung
Der State of Web Dev AI 2026 zeigt: 54% des Codes werden von KI generiert (vs. 28% 2025), Coding-Agents steigen auf, und 60% der Befragten sehen eine KI-Blase.
Astro 6.4.4 Behebt Sieben Bugs bei Routing, i18n und Dev-Erfahrung
Astro 6.4.4 ist ein Patch-Release, das Probleme mit dynamischen Routen, i18n-Domain-Routing, Bearbeitung von Client-Komponenten und der Groß-/Kleinschreibung von Routenmustern behebt.
Rolldown 1.1.0: lazyBarrel jetzt standardmäßig aktiviert
Rolldown 1.1.0 bringt zwei wichtige Verhaltensänderungen: experimental.lazyBarrel ist nun standardmäßig aktiviert, und die tsconfig-Projektreferenz-Auflösung entspricht jetzt dem TypeScript-Verhalten.
Nitro v3.0.260522-beta: Build-Time Tracing-Wrapper, VFS-Performance-Boost, Vercel Queues Lokal
Das Nitro v3 Beta vom 22. Mai bringt automatische Tracing-Span-Wrapper für Route-Handler zur Build-Zeit, einen VFS-Cache für dynamischen Nitro-App-Code und Vercel-Queue-Support im lokalen Development, zusammen mit den Sicherheitspatches der vorherigen Beta.
Node.js 26.3.0: Buffer-Pool verdoppelt, permission.drop() Methode,macOS Intel-Binary vor dem Aus
Node.js 26.3.0 bringt einen standardmäßigen Buffer.poolSize von 64 KiB, die neue Methode permission.drop() zur feingranularen Abgabe von Berechtigungen, eine Warnung zu macOS Universal-Binaries und gehärtetes WebCrypto. npm wird auf 11.16.0 aktualisiert.
Oxc v0.134: oxlint v1.68 Bringt Vue-Linter-Regeln und TypeScript-Accessor-Prüfungen
Oxc's Juni-Release liefert oxlint v1.68.0 mit zwei neuen Vue-Regeln, einer method-signature-style TypeScript-Regel und Parser-Verbesserungen, die Ambient-Context-Missbrauch ablehnen.
Turborepo v2.9.16: Heap-Allocation-Profiling und pnpm-Fixes
Turborepos neueste Stable-Releases fügen Heap-Allocation-Profiling über OpenTelemetry, Korrekturen für pnpm-injizierte Peer-Dependencies, gehärtete OTEL-Endpoint-Validierung und PTY-Shutdown-Fixes hinzu.
Astro 6.4: Rust-basierter Sätteri-Markdown-Prozessor und Schnellere Builds
Astro 6.4 führt einen optionalen Rust-basierten Markdown-Prozessor ein, eine neue markdown.processor-Konfigurationsoption und eine unabhängige Serververzeichnis-Preservierung.
Deno 2.8: Audit Fix, CI-Subcommand und Native Pack-Tool
Deno 2.8 bringt vier neue CLI-Subcommands, verbesserte Node.js-Kompatibilität und einen Rust-basierten Packager für npm-Registries.
Astro 6.1.8 behebt kritischen Netlify-Deploy-Bug und Sicherheitslücke im /_image-Endpoint
Astro 6.1.8 behebt eine Regression, bei der Build-Output-Dateinamen mit Sonderzeichen Deployments auf Netlify und Vercel brach, und patcht ein Content-Type-Confusion-Problem im integrierten Bild-Endpoint, das nicht-SVG-Inhalte als SVG ausliefern konnte.
Nitro v3 Beta Update: Integriertes Tracing, Intelligente Abhängigkeits-Erkennung und Vercel Queues
Das Nitro v3 Beta-Update vom April 2026 bringt experimentelle Tracing-Kanäle, Full-Trace-Abhängigkeitserkennung mit Native-Package-Erkennung, Vercel-Queue-Support und Tencent EdgeOne Pages-Deployment, zusammen mit H3 v2 Sicherheits- und Cookie-Verbesserungen.
Bun tritt Anthropic bei: Was die Übernahme für das JavaScript-Ökosystem bedeutet
Die JavaScript-Runtime, der Bundler und das Toolkit, das von einem 14-köpfigen Team aufgebaut wurde und von Millionen Entwicklern genutzt wird, wurde von Anthropic übernommen. Bun bleibt Open Source und MIT-lizenziert, aber die Roadmap biegt nun in Richtung KI-Coding-Infrastruktur ab.
OpenCode Desktop wechselt von Tauri zu Electron: Eine pragmatische Entscheidung für einen TypeScript-first KI-Coding-Agenten
OpenCode, der Open-Source-KI-Coding-Agent mit 145.000 GitHub-Sternen, hat seine Desktop-App auf Electron umgestellt, nachdem Performance-Probleme mit WebKit und Startverzögerungen durch den gebündelten CLI die Entscheidung gegen Tauri reiften.
Next.js v16.3.0-Canary: Prefetch-Kontrolle, Dedup-Verbesserungen und Neuer Dev-Overlay
Next.js 16.3.0-canary bringt granulare Prefetch-Konfigurationsoptionen, besseres Deduplizieren für die 'use cache'-Direktive und einen redesiginierten Blocking-Route-Dev-Overlay, mit sccache jetzt über cargo-binstall.
Oxc v0.126.0 : Turbopack Magic Comments im Parser, Breaking Changes beim Allocator
Oxc v0.126.0 bringt Parser-Unterstützung für Turbopack Magic Comments, eine breaking Umbenennung der Box- und Vec-Methoden im Allocator, neue NAPI-Transform-Optionen für Enum-Optimierung und weitere Performance-Verbesserungen.
Svelte März 2026: Programmatischer Context, HTML-Kommentare und Server-Seitige Error Boundaries
Sveltes März-Update bringt createContext für programmatische Komponenteninstanziierung, HTML-Kommentare in Tags und SSR-Error-Boundaries.
TypeScript 6.0: Die letzte JavaScript-Version vor dem nativen Go-Compiler
TypeScript 6.0 erscheint als Brücken-Release mit neuen Features wie #/-Subpath-Imports, stabiler Type-Order und dem Weg zu TypeScript 7.0s nativem Go-Compiler.
SWC v1.15.26: Der Rust-basierte JavaScript-Compiler bleibt in Bewegung
Der vom swc-project herausgegebene Rust-basierte JavaScript/TypeScript-Compiler veröffentlicht v1.15.26 mit Fehlerbehebungen, Leistungsverbesserungen und einer immer tieferen Integration im Node.js-Ökosystem.
Vue 3.6 tritt in die Beta-Phase ein: Vapor Mode fertig, Reaktivität überarbeitet
Vue 3.6 Beta ist verfügbar mit der Fertigstellung des Vapor Mode, einem virtual-DOM-freien Kompilierungspfad, und einer großen Überarbeitung des Reaktivitätssystems basierend auf alien-signals, mit vielversprechenden Leistungsgewinnen.
Vite+ Alpha: VoidZeros vereinheitlichtes Toolchain will Ihren gesamten JS-Stack ersetzen
Vite+ Alpha erscheint unter MIT-Lizenz und vereint Vite, Vitest, Oxlint, Oxfmt und Rolldown in einer einzigen vp-Binary. Node.js-Runtime- und Package-Manager-Verwaltung inklusive.
Turborepo Ist Jetzt 96% Schneller, Vercels KI-Agenten-Experiment
Vercel-Ingenieure haben KI-Coding-Agenten eingesetzt, um die Rust-Codebasis von Turborepo zu optimieren und eine 81–96% schnellere Taskgraph-Berechnung zu erreichen. Hier sind der Prozess, die Erfolge und die Grenzen.
Bun v1.3.12, Headless Browser-Automation und Native Explicit Resource Management
Buns neuestes Release fügt WebView für headless Browser-Automatisierung hinzu, landet TC39s using/await using in JavaScriptCore und liefert einen 2,3-fachen Speedup für URLPattern.
Das CSS-Problem der vertikalen Zentrierung ist endlich gelöst: text-box-trim und margin-block
Jahrzehntelang wirkte das vertikale Zentrieren von Text in Buttons, Badges und Layouts leicht daneben. Der Übeltäter: der Leading Space, ein unsichtbarer Abstand, der in den Metriken jeder Schriftart eingebaut ist. Zwei CSS-Eigenschaften lösen das jetzt auf unterschiedlichen Ebenen: text-box-trim für Inline-Text und margin-block mit cap/lh-Einheiten für Block-Layouts.
JetStream 3: Der Benchmark, der Endlich die Realität Moderner Web-Apps Abbildet
WebKit, Google und Mozilla haben JetStream 3 veröffentlicht, die erste größere Überarbeitung der Benchmark-Suite seit 2019. Er verzichtet auf Microbenchmarks zugunsten realistischer Workloads, überarbeitet das WebAssembly-Scoring und führt Dart, Kotlin und Rust nach Wasm kompiliert ein.
Node.js 25.9: Die stream/iter-API Landet Endlich als Experimentell
Node.js 25.9 fügt ein experimentelles stream/iter-Modul für asynchrone Iteration über Streams hinzu, ein --max-heap-size-CLI-Flag, AsyncLocalStorage mit Using-Scopes, TurboSHAKE-Krypto und npm 11.12.1.
Google JSIR: Eine MLIR-basierte Zwischenrepräsentation für JavaScript-Analyse
Google hat JSIR quelloffen gemacht, ein neuartiges JavaScript-Analysewerkzeug auf MLIR-Basis. Es unterstützt sowohl hochrangige Datenflussanalyse als auch verlustfreie Quellcode-Transformation, intern genutzt für Hermes-Bytecode-Dekompilierung und KI-gestützte JavaScript-Deobfuskation.
QuickBEAM: Ein JavaScript-Runtime für die BEAM-VM, JavaScript trifft Erlangs OTP
QuickBEAM ist ein JavaScript-Runtime, der innerhalb der BEAM-VM läuft, derselben virtuellen Maschine, die Erlang und Elixir antreibt. Es integriert JavaScript in OTP-Supervision-Trees, ermöglicht JS den Aufruf von Elixir-Funktionen und OTP-Bibliotheken und wird mit einem eingebauten TypeScript-Toolkit ausgeliefert.
Stand von TypeScript 2026: GitHubs #1-Sprache, Project Corsa und die Supply-Chain-Rechnung
Ein Rückblick auf die großen Ereignisse, die TypeScripts Position im JavaScript-Ökosystem neu geformt haben, vom Überholen auf GitHub bis zum Go-basierten Compiler-Rewrite mit 10x schnelleren Builds.
WebStorm 2026.1: TypeScript-Engine mit Service-Backend und vollständiger KI-Agent-Roster
Jetzt mit standardmäßig aktiviertem servicebasiertem TypeScript-Engine, Junie, Claude Agent, Codex und Cursor im KI-Chat, Code With Me wird eingestellt, und native Wayland-Unterstützung unter Linux.
Astro 6.1: Feinsteuerung für Bilder und verbessertes i18n-Routing
Astro 6.1 ermöglicht die Konfiguration der Sharp-Encoder auf Pipeline-Ebene, fügt erweiterte SmartyPants-Optionen hinzu und macht i18n-Fallback-Routen für Integrationen zugänglich. Die Cloudflare-Übernahme prägt weiterhin die Roadmap.
Vite 8 Stable: Sieben Patches in drei Wochen nach dem Stable-Release
Vite 8.0.0 stable wurde am 12. März veröffentlicht, und die Patches haben nicht aufgehört, v8.0.7 landete am 7. April mit Fixes für CSS, SSR, WASM und Dev-Server-Verhalten. Ein Kontrast zum langen Beta-Zyklus.
Anthropics Project Glasswing: Wenn KI Zero-Days schneller findet, als Menschen sie zählen können
In einem Monat hat Claude Mythos Preview tausende Zero-Day-Schwachstellen gefunden, die jahrzehntelanger menschlicher Prüfung standhielten, in OpenBSD, dem Linux-Kernel, FFmpeg und jedem großen Browser. Wir haben die technischen Details, die Branchenkoalition und die Folgen für jede Sicherheits-Division des Planeten untersucht.
Deno 2.7 Stabilisiert die Temporal API, Fügt Windows ARM Support und npm Overrides Hinzu
Deno 2.7 ist ein umfangreiches Release im 2.x-Zyklus: Die Temporal API ist nun produktionsreif, native Windows-on-ARM-Builds sind da, npm overrides funktionieren wie in Node, und Dutzende von Node.js-Kompatibilitätsverbesserungen landen.
EmDash: Cloudflares TypeScript-basierter WordPress-Nachfolger mit Sandbox-Plugins
Cloudflare hat EmDash aufgebaut, ein neues Open-Source-CMS, das vollständig in TypeScript geschrieben und von Astro angetrieben wird. Plugins werden in isolierten Dynamic Workers ausgeführt und lösen das jahrzehntealte Sicherheitsproblem von WordPress.
Nuxt 4.4: Vue Router v5, Typisierte Layout-Props und 28x Schnelleres Dev-Routing
Das neueste Nuxt-Release bringt große Verbesserungen unter der Haube: Vue Router v5, eine Custom-useFetch-Factory-API, ein Accessibility-Announcer-Composable und eine Routing-System-Migration, die Hot-Module-Replacement drastisch beschleunigt.
TypeScript 6.0 – Die Letzte Version Vor dem Go-Umschreiben
TypeScript 6.0 ist da, und das Microsoft-Team ist offen: Es ist eine Übergangsversion. Die eigentliche Geschichte kommt als nächstes: TypeScript 7, geschrieben in Go und bereits als Preview verfügbar, verspricht einen 10-fachen Performancegewinn.
ESLint v10 Verwirft Legacy-Config, Und Die JS-Ökosystem Notiert Es Sich
ESLint v10 bringt die größte Breaking-Change-Release seit Jahren: Flat Config wird final, eslintrc fällt vollständig weg, und JSX-Reference-Tracking kommt neu dazu. Aber die größere Geschichte ist vielleicht das, was ihr im Nacken sitzt.
Oxc Baut still Und Leise Das Schnellste JavaScript-Toolkit in Rust, Und Es Ist Fast Fertig
Während ESLint v10 sich mit Legacy-Bereinigung herumschlug, lieferte das Oxc-Projekt einen Linter 100x schneller, einen Formatter 30x schneller als Prettier, und einen Parser, der SWC im Staub zurücklässt. Hier ist, was der JavaScript Oxidation Compiler wirklich ist.
Next.js 16.2 Stabilisiert die Adapter-API, und das ist wichtiger als es klingt
Vercel, Netlify, Cloudflare, AWS und Google Cloud haben alle denselben öffentlichen Vertrag unterzeichnet. Next.js 16.2 macht plattformübergreifendes Deployment zu einem Erste-Klasse-Feature.
TanStack DB 0.6 macht den Client zur lokalen Datenbank
SQLite-Persistenz auf allen Runtimes, hierarchische Datenprojektionen und reaktive Agent-Workflows, v0.6 ist das Release, das TanStack DB zu einer vollständigen Anwendung datenebene macht.
Inertia.js 3.0 Überbrückt die Lücke Zwischen SPAs und Serverseitigen Frameworks
Inertia.js 3.0 unterstützt React, Vue und Svelte SPAs mit Laravel, Rails oder Django als Backend, ohne API-Schicht. Hier ist, was sich im 'Modern Monolith'-Ansatz für Webentwicklung geändert hat.
Node.js März 2026: Sechs Sicherheitspatches Auf Allen Aktiven Branches
Node.js veröffentlichte am 24. März 2026 Notfall-Sicherheitspatches für v25, v24, v22 und v20, darunter zwei High-Severity-CVEs. Hier sind die Details.
GitHub Copilots stillschweigender Richtungswechsel: Euer Code trainiert ihre Modelle, außer ihr widersprecht
Ab dem 24. April 2026 verwendet GitHub Interaktionsdaten von Free-, Pro- und Pro+-Copilot-Nutzern, um KI-Modelle zu trainieren, sofern nicht manuell widersprochen wird. Business- und Enterprise-Tarife sind nicht betroffen.
JetBrains Öffnet die Tore: JavaScript und TypeScript ab jetzt kostenlos in IntelliJ IDEA
Seit März 2026 enthält IntelliJ IDEA v2026.1 JavaScript, TypeScript, HTML, CSS und grundlegendes React kostenlos, Features, die zuvor ein kostenpflichtiges Ultimate-Abonnement erforderten. Haken: Angular, Vue und erweitertes Debugging bleiben Ultimate-exklusiv.
Rivet Agent OS: Das In-Process-Betriebssystem, das KI-Agenten 500x günstiger als Sandboxes ausführt
Von YC und a16z unterstützt, baute Rivet einen Agent-Runtime auf V8-Isolaten und WebAssembly, der in 4,8 ms cold startet, 92x schneller als E2B, zu 1/17 der Kosten. Wir haben die Architektur, Benchmarks und Implikationen tief erforscht.
Knip v6 Bringt oxc-Parser und 2- bis 4-fache Performance-Steigerung
Das beliebte Tool zum Aufspüren von ungenutztem Code in JavaScript und TypeScript hat seinen TypeScript-Backend durch den Rust-basierten oxc-Parser ersetzt, mit beeindruckenden Ergebnissen.
numpy-ts 1.2: Bit-genaue NumPy-RNG-Parität und Float16-Support in purem TypeScript
Die reine TypeScript-Implementierung von NumPy erreicht einen Korrektheits-Meilenstein: Die Zufallszahlengenerierung stimmt jetzt Bit für Bit mit NumPy überein, Float16 kommt als vollwertiger dtype, und das Paket braucht keine Runtime-spezifischen Entry-Points mehr.
Axios npm Supply-Chain-Angriff: Bösartige Versionen tropften Remote-Access-Trojaner ab
Zwei vergiftete Releases von axios, einer der am häufigsten verwendeten Node.js-HTTP-Client-Bibliotheken, wurden veröffentlicht und innerhalb von Stunden von npm entfernt. Was passiert ist, wie der Angriff funktionierte und was Sie jetzt tun müssen.
Quellcode-Leck bei Claude Code: Verstecktes Agent-OS, Chrome-Automatisierung und Datenschutzlücken
Am 30.–31. März 2026 entdeckten Entwickler, dass das npm-Paket @anthropic-ai/claude-code@v2.1.88 eine Produktions-Source-Map-Datei enthielt, die den vollständigen TypeScript-Quellcode offenlegte, einschließlich nicht dokumentierter Multi-Agent-Orchestrierung, eines versteckten Chrome-MCP-Servers, einer internen Query-Engine, eines Tool-Berechtigungssystems und eines dreistufigen Telemetriesystems.
Hermes Agent vs OpenClaw: Der Open-Source-KI-Agent-Schlagabtausch
Hermes Agent hat gerade eine native OpenClaw-Migration hinzugefügt. Wir haben beide Plattformen eingehend recherchiert, hier ist alles, was wichtig ist.
Pretext: Die DOM-freie Textmessungsbibliothek, die KI-Coding-Agents bereits verwenden
Cheng Lou hat Pretext veröffentlicht, eine reine JavaScript-Bibliothek, die mehrzeiligen Text misst und layoutet, ohne das DOM zu berühren. Hier erfahren Sie, warum das für Virtualisierung, Layout-Kontrolle und KI-Agenten wichtig ist, die UI-Code schreiben.
Bun v1.3.11 mit nativem OS-Level Cron und Beitritt zu Anthropics KI-Coding-Stack
Bun v1.3.11 liefert ein 4MB kleineres Binary, Bun.cron für OS-Level-geplante Jobs, und markiert einen entscheidenden Moment, da die Runtime Anthropic beitritt, um Claude Code anzutreiben.
Astro 6 im Rampenlicht: Rust-Compiler, Live-Content und eine Cloudflare-Zukunft
Astro 6.0 und 6.1 landen innerhalb von Wochen nacheinander und bringen einen experimentellen Rust-Compiler, Request-Time-Content-Collections, eine eingebaute Fonts-API, CSP-Tools und tiefere Cloudflare-Integration.
State of JavaScript 2025: TypeScript erreicht 40% exklusive Nutzung, Ökosystem stabilisiert sich
Die State of JavaScript 2025 Umfrage zeigt TypeScript-Exklusivnutzung bei 40%, Vite-Zufriedenheit bei 98% vs Webpacks 26%, und Claude verdoppelt seinen Entwickleranteil. Das Ökosystem reift, anstatt zu rotieren.
TypeScript 6.0 Erschienen: Die Letzte JavaScript-Basierte Version Vor dem Go-Rewrite
Microsoft liefert TypeScript 6.0 als die letzte Version, die auf dem ursprünglichen JavaScript-Codebase aufbaut. DOM-Type-Updates, verbesserte Inferenz, Subpath-Imports und ein Migrations-Flag bereiten die Bühne für das native, Go-basierte TypeScript 7.0.
Vite 8 Beta ist da: Rolldown ist das neue Herz des Build-Pipeline
Die Vite 8 Beta streicht ESBuild und Rollup zugunsten von Rolldown und signalisiert eine vollständige Rust-basierte Zukunft für das JavaScript-Build-Tooling. Was sich ändert, was kaputtgeht und warum es wichtig ist.
KI-Entwicklertool-Power-Rankings März 2026: Antigravity Steigt Auf, Codex Kehrt Zurück
LogRockets März 2026 KI-Entwicklertool-Rankings zeigen große Verschiebungen, da Antigravity auf den zweiten Platz aufsteigt und OpenAIs Codex in die Top 5 zurückkehrt.
State of JavaScript 2025: TypeScript Dominiert, Vite Überholt Webpack
Die State of JavaScript 2025 Umfrage zeigt TypeScript-Nutzung auf einem Allzeithoch, Vite, das Webpack bei der Zufriedenheit übertrifft, und wachsende Bedenken wegen Next.js-Komplexität.
Bun vs Node vs Deno 2026: Der Runtime-Showdown, Den Niemand Wollte (Aber Alle Haben)
Drei JavaScript-Runtimes. Drei verschiedene Philosophien. Unabhängige Benchmarks bei HTTP-Throughput, Cold Starts und asynchroner Performance erzählen eine klarere Geschichte als Marketing es je könnte. Hier ist der schonungslos ehrliche Breakdown für Entwickler, die ihre nächste serverseitige JS-Plattform wählen.
Claude Code ging in Acht Monaten von Null auf #1: Der KI-Coding-Tool-Vergleich 2026
Anfang 2026 hielt Claude Code eine 46% 'Most Loved'-Bewertung unter Entwicklern und ließ Cursor bei 19% und GitHub Copilot bei 9% hinter sich. Aber Love-Bewertungen und Nutzungsrankings erzählen nicht die ganze Geschichte. Hier ist, was jedes Tool wirklich gut kann und wann man welches verwendet.
TypeScript 7 Native Preview: Project Corsa Schreibt Den Compiler in Go Neu, Und Es Verändert Alles
Microsofts Entscheidung, den TypeScript-Compiler und Language Service nach Go zu portieren, ist kein Tech-Demo, frühe Benchmarks zeigen, dass der VS Code-Codebase in 7,5 Sekunden statt 77,8 Sekunden kompiliert. Hier ist, was die native Ära für Ihre Build-Pipeline und Editor-Performance bedeutet.
Cursor Composer 2, Kimi K2.5 und die Kontroverse, die KI's Open-Source-Rechnung aufgedeckt hat
Wie ein Entwickler eine versteckte Modell-ID fand, eine weltweite Debatte über Attribution auslöste und offenbarte, wie abhängig die KI-Branche von chinesischen Open-Source-Modellen geworden ist.
Vite+: Eine CLI zum Herrschen, Oder nur eine weitere Ebene des Hypes?
VoidZeros Vite+ verspricht, Runtime, Paketmanager, Bundler, Linter, Formatter und Test-Runner unter einem einzigen Befehl zu vereinen. Wir haben die Ankündigungen gelesen, die Behauptungen benchmarkt und mit Menschen gesprochen, die es in Produktion nutzen.
Vue 3.5: Das 'Minor'-Release, das die Regeln der Frontend-Performance neu geschrieben hat
Vue 3.5 kam ohne Breaking Changes und mit einer Reihe von internen Verbesserungen, die jeden Entwickler aufhorchen lassen sollten, 56% weniger Speicherverbrauch, Lazy Hydration und eine stabilisierte reaktive Props-API.
Cloudflares vinext: Das kontroverse Projekt, das Next.js in einer Woche neu erfunden hat
Wie Cloudflare KI nutzte, um Vercels Flaggschiff-Framework neu zu erstellen, und was das für die Zukunft der Webentwicklung bedeutet