<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"><channel><title>Streatix</title><description>Artikel von Streatix.</description><link>https://streatix.com/</link><language>de</language><item><title>Ein KI-Agent verursachte an einem Tag eine AWS-Rechnung von 6.531 $, ohne dass jemand zusah</title><link>https://streatix.com/de/blog/ai-agent-ran-up-a-6500-aws-bill/</link><guid isPermaLink="true">https://streatix.com/de/blog/ai-agent-ran-up-a-6500-aws-bill/</guid><description>Ein unbeaufsichtigter Agent versuchte, ein Hobby-Netzwerk per Portscan zu scannen, provisionierte in einer Endlosschleife eine AWS-Flotte aus fünf Knoten und verbuchte in 24 Stunden 6.531 $ auf der Kreditkarte seines Betreibers. Das Problem war nicht der miese Plan. Das Problem war, dass das Budget-Limit im Ermessen des Agenten lag, statt hinter einer unüberwindbaren harten Grenze. Hier ist der Mechanismus – und die Architektur, die den Agenten gestoppt hätte.</description><pubDate>Fri, 12 Jun 2026 08:55:52 GMT</pubDate><category>security</category><category>ai-security</category><category>llm</category><category>ai-agents</category><category>autonomous-agents</category><category>aws</category><category>cloud-cost</category><category>excessive-agency</category><category>dn42</category><author>Streatix</author></item><item><title>Lovable hat 76 Tage lang Quellcode und Secrets aus allen alten Projekten geleakt</title><link>https://streatix.com/de/blog/lovable-data-leak-76-days/</link><guid isPermaLink="true">https://streatix.com/de/blog/lovable-data-leak-76-days/</guid><description>Eine Backend-Regression bei Lovable legte Quellcode, Datenbank-Credentials und KI-Chatverläufe in sämtlichen vor November 2025 erstellten Projekten offen. Bug-Bounty-Meldungen gingen an Tag 19 ein – und wurden als vermeintliches Feature geschlossen. Eine Analyse der blinden Flecken in Lovables Bug-Bounty-Triage.</description><pubDate>Tue, 09 Jun 2026 08:47:13 GMT</pubDate><category>security</category><category>lovable</category><category>bola</category><category>authorization</category><category>api-security</category><category>vibe-coding</category><category>security</category><category>supabase</category><author>Streatix</author></item><item><title>Metas Support-KI verschenkte Instagram-Konten an jeden, der danach fragte</title><link>https://streatix.com/de/blog/meta-ai-support-account-takeover/</link><guid isPermaLink="true">https://streatix.com/de/blog/meta-ai-support-account-takeover/</guid><description>Angreifer übernahmen Instagram-Profile, indem sie Metas KI-Chatbot schlichtweg überredeten, Passwörter zurückzusetzen. Das Problem ist nicht der Chatbot an sich, sondern dass kritische Autorisierungsentscheidungen einem Sprachmodell überlassen wurden, das sich manipulieren lässt. Wir erklären den Mechanismus, die architektonische Ursache und den Check, der das Desaster verhindert hätte.</description><pubDate>Fri, 05 Jun 2026 08:33:21 GMT</pubDate><category>security</category><category>ai-security</category><category>llm</category><category>account-takeover</category><category>authorization</category><category>prompt-injection</category><category>excessive-agency</category><category>meta</category><category>instagram</category><author>Streatix</author></item><item><title>Öffentliche S3-Buckets: Der häufigste Security-Fail in KI-generiertem Code</title><link>https://streatix.com/de/blog/your-ai-made-the-s3-bucket-public/</link><guid isPermaLink="true">https://streatix.com/de/blog/your-ai-made-the-s3-bucket-public/</guid><description>KI-Tools konfigurieren S3-Buckets standardmäßig als öffentlich lesbar – im Terraform-Code ebenso wie im Go-Handler. Ein einziges GET reicht als Exploit. Hier erklären wir, warum KI-Modelle diese Lücke einbauen und wie man beide Dateien sicher abdichtet.</description><pubDate>Tue, 02 Jun 2026 09:18:37 GMT</pubDate><category>security</category><category>s3</category><category>aws</category><category>terraform</category><category>go</category><category>security</category><category>storage</category><author>Streatix</author></item><item><title>KI bewacht dein Dashboard und vergisst deine API</title><link>https://streatix.com/de/blog/ai-guards-your-dashboard-and-forgets-your-api/</link><guid isPermaLink="true">https://streatix.com/de/blog/ai-guards-your-dashboard-and-forgets-your-api/</guid><description>KI-Tools sichern oft nur das Frontend mit einem clientseitigen Redirect ab – und lassen den Route-Handler komplett ungeschützt. Wie der Exploit funktioniert, die PostgREST- und JWT-Mechanik dahinter und wie der serverseitige Fix aussieht.</description><pubDate>Fri, 29 May 2026 09:08:53 GMT</pubDate><category>security</category><category>authentication</category><category>authorization</category><category>api</category><category>security</category><category>lovable</category><category>bolt</category><category>nextjs</category><author>Streatix</author></item><item><title>Unsere Lovable-App gab am ersten Tag die Daten jedes Nutzers preis</title><link>https://streatix.com/de/blog/our-reference-lovable-app-leaked-every-users-data/</link><guid isPermaLink="true">https://streatix.com/de/blog/our-reference-lovable-app-leaked-every-users-data/</guid><description>Wie ein mit Lovable gebautes SaaS mit deaktivierter Supabase-RLS ausgeliefert wurde, warum wir es nicht sofort bemerkt haben und wie der Fix aus drei Policies aussieht.</description><pubDate>Tue, 26 May 2026 09:14:32 GMT</pubDate><category>security</category><category>supabase</category><category>rls</category><category>security</category><category>lovable</category><category>multi-tenancy</category><author>Streatix</author></item><item><title>Jeder kann Ihre Stripe-Webhooks fälschen. So beheben Sie das in 8 Zeilen.</title><link>https://streatix.com/de/blog/anyone-can-forge-your-stripe-webhooks/</link><guid isPermaLink="true">https://streatix.com/de/blog/anyone-can-forge-your-stripe-webhooks/</guid><description>KI-Codegeneratoren generieren Stripe-Webhook-Handler oft ohne Signaturprüfung. Warum das passiert, wie der Angriff funktioniert und welche acht Zeilen die Lücke schließen.</description><pubDate>Fri, 22 May 2026 08:53:47 GMT</pubDate><category>security</category><category>stripe</category><category>security</category><category>webhooks</category><category>lovable</category><category>bolt</category><category>cursor</category><author>Streatix</author></item></channel></rss>