Wochennotiz 2025.16

Diese Woche hat die unterschiedlichen Arbeitsbelastungen bei uns in der Firma gezeigt. Während es in meiner Abteilung keine einzige Person gegeben hat, die Urlaub hatte, war es im restlichen Haus stiller als sonst. Auf Dauer auch nicht gesund.

Während man in Österreich die Urlaubswoche also durchaus gemerkt hat, steht die Welt selbst nicht still. Das kann man auch wieder schön an den zahlreichen Beiträgen sehen.

Ich habe mich entschlossen, diese Woche einen kurzen Erfahrungsbericht zum Thema GrapheneOS zu schreiben.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• AI
• Diverses

Postgres und die Datenwelt

Hacking the Postgres wire protocol

Das ist der Titel eines Beitrags von Lev Kokotov. In seinem Beitrag beschreibt er, wie PgDog versucht die Anfragen von Postgres zu verstehen und dementsprechend umzuleiten.

pg_query is special. It doesn’t actually implement parsing SQL. It works by extracting C source code directly from Postgres and wraps it with a nice Rust interface. This allows PgDog to understand all queries that Postgres can.

PgDog is all about sharding Postgres. Once we locate the sharding key in a query, we have to figure out what to do with it.

Hacking the Postgres wire protocol

Postgres und AI: Index

Letzte Woche habe ich über den Beitrag von Hans-Jürgen Schönig zum Thema AI berichtet. Diese Woche hat er einen zweiten Teil geschrieben. Dieser Beitrag widmet sich dem Thema Index.

In general, HNSW (a multilayer graph) is faster during execution time ("SELECT") but is a LOT slower during index creation, as we will see a little later. If index creation time is not an issue, HNSW is definitely a good choice - if index creation time does matter? Well, not so much.

Wie man dem Ende seines Beitrags entnehmen kann, wird es auch noch einen Beitrag zum zweiten Indextyp geben, den pgvector anbietet: IVFFLAT

Indexing vectors in PostgreSQL

Wie Discord dbt nutzt

Discord berichtet in einem Blogbeitrag über ihren Einsatz von dbt. Dort wird beschrieben, welche unterschiedlichen Maßnahmen sie getroffen haben, um dbt zu skalieren.

Overclocking dbt: Discord's Custom Solution in Processing Petabytes of Data

Postgres Release Monitor

• powa-archivist 5.0.2 is out!

Security und Privacy

Oracle Legacy Server Breach: CISA warnt vor möglichem Data Breach

Die Diskussion über den Breach bei Oracle geht jetzt schon über einige Zeit (siehe auch Wochennotiz 2025.15). Oracle hat sich bisher bewusst für ein Wording entschieden, dass die ganze Sache herunterspielt. Wie Jonathan Greig berichtet, hat jetzt CISA ein Statement herausgegeben:

On Wednesday, the Cybersecurity and Infrastructure Security Agency (CISA) said that while the scope of the incident remains unconfirmed, the “nature of the reported activity presents potential risk to organizations and individuals, particularly where credential material may be exposed, reused across separate, unaffiliated systems, or embedded.”

“When credential material is embedded, it is difficult to discover and can enable long-term unauthorized access if exposed,” CISA said.

“The compromise of credential material, including usernames, emails, passwords, authentication tokens, and encryption keys, can pose significant risk to enterprise environments.”

CISA warns of potential data breaches caused by legacy Oracle Cloud leak

Gesunkenes Vertrauen der Europäer

Wer hätte sich das noch vor einigen Monaten vorstellen können? Wie Iain Thomson in EU gives staff 'burner phones, laptops' for US visits schreibt, trifft die EU-Kommission jetzt für die Reisen in die USA die gleichen Vorkehrungen wie für Reisen nach China:

"The transatlantic alliance is over," an EU official told the newspaper, which reported the commission "is issuing burner phones and basic laptops to some US-bound staff to avoid the risk of espionage — a measure traditionally reserved for trips to China."

Außerdem gibt es gesteigertes Interesse an Alternativen zu den US-Hyperscalern. Dies berichtet Richard Speed in Europe's cloud customers eyeing exit from US hyperscalers.

"There are three factors," he told The Register. "The first is really the unreliability, because we see what Trump is doing and the danger is that things will be just switched off from one day to another for negotiation purposes. Then we see the whole question around pricing with the tariffs.

"And then the other thing is really the espionage factor. This is relatively new and surprising to me ... but now you see what Musk is doing, that you can access really confidential databases ... I think this is a realistic fear nowadays."

Aber wie richtigerweise am Ende des Artikels erwähnt, führt das gesteigerte Interesse nicht auch gleich zu einer Umstellung:

The Reg has yet to hear of any corporate enteprises or government departments in the UK that are willing to go public about turning their back on US hyperscalers. And there is nothing to say that expressions of interest in migrating to a European cloud provider will lead to something concrete, however, we live in unusual times.

Beide Artikel zeigen aber, die Vorbehalte gegenüber der US-Politik steigen und zeigt auch gewisse wunde Punkte der europäischen Politik der letzten Jahre klar auf.

Kürzere Zertifikatsgültigkeiten

Diese Woche wurde, wenn auch mit langen Übergangsfristen, beschlossen, dass die Zertifikate in Zukunft maximal 47 Tage gültig sein werden.

The new ballot targets certificate validity of 47 days, making automation essential.

TLS Certificate Lifetimes Will Officially Reduce to 47 Days

Data breach ticker

• Hertz confirms customer info, drivers' licenses stolen in data breach
• Dutch parent company of Hannaford and Stop & Shop confirms data stolen in cyberattack
• Airport retailer agrees to $6.9 million settlement over ransomware data breach

AI

AI und Security

Schon in der Ausgabe 16 habe ich einen Bericht verlinkt, der auf die Gefahren von LLMs und deren ausgedachten Code-Packages hingewiesen hat. Diese Woche ist dazu wieder etwas aufgetaucht: AI-hallucinated code dependencies become new supply chain risk

A new class of supply chain attacks named 'slopsquatting' has emerged from the increased use of generative AI tools for coding and the model's tendency to "hallucinate" non-existent package names.

[...]

Instead, threat actors could create malicious packages on indexes like PyPI and npm named after ones commonly made up by AI models in coding examples.

A research paper about package hallucinations published in March 2025 demonstrates that in roughly 20% of the examined cases (576,000 generated Python and JavaScript code samples), recommended packages didn't exist.

Aber auch sonst gibt es Probleme mit Coding-Assistants, im konkreten Fall mit GitHub Copilot und Cursor. Das berichtet Ziv Karliner von Pillar in New Vulnerability in GitHub Copilot and Cursor: How Hackers Can Weaponize Code Agents

Our research demonstrates that attackers can exploit the AI's contextual understanding by embedding carefully crafted prompts within seemingly benign rule files. When developers initiate code generation, the poisoned rules subtly influence the AI to produce code containing security vulnerabilities or backdoors.

AI Index 2025

Auch heuer hat Stanford wieder einen AI Index veröffentlicht. Dieser zeigt auch problematische Seiten:

According to one index tracking AI harm, the AI Incidents Database, the number of AI-related incidents rose to 233 in 2024—a record high and a 56.4% increase over 2023. Among the incidents reported were deepfake intimate images and chatbots allegedly implicated in a teenager’s suicide. While this isn’t comprehensive, it does show a staggering increase in issues.

AI Index 2025: State of AI in 10 Charts

Werden Halluzinationen schlimmer?

Im Bericht OpenAI’s new reasoning AI models hallucinate more berichtet Maxwell Zeff von einer Zunahme der Halluzinationen in den neuesten OpenAI-Modellen.

However, the new models still hallucinate, or make things up — in fact, they hallucinate more than several of OpenAI’s older models.

[...]

Perhaps more concerning, the ChatGPT maker doesn’t really know why it’s happening.

[...]

OpenAI found that o3 hallucinated in response to 33% of questions on PersonQA, the company’s in-house benchmark for measuring the accuracy of a model’s knowledge about people. That’s roughly double the hallucination rate of OpenAI’s previous reasoning models, o1 and o3-mini, which scored 16% and 14.8%, respectively. O4-mini did even worse on PersonQA — hallucinating 48% of the time.

Diverses

Fedora 42 ist erschienen

Wie üblich bei einer neuen Version von Fedora gibt es einen ausführlichen Bericht von Andreas Proschofsky: Fedora 42: Gleichberechtigung beim Linux-Desktop, HDR und ein neuer Installer-

Fedora 42 ist da und bringt eine Reihe von Neuerungen mit sich. Eine davon hat in der vielfältigen Linux-Welt einen besonderen Wert. Die Variante mit dem Plasma-Desktop des KDE-Projekts darf sich nun als gleichberechtigt zum traditionellen GNOME-Desktop verstehen, der bislang bei Fedora immer im Mittelpunkt stand.

Kaumgummi schützt vor Viren?

Das ist zumindest die Hoffnung der Zahnmedizinischen Fakultät der University of Pennsylvania:

In Zukunft könnte ein Kaugummi aus Bohnenprotein vor Grippe-Viren und Herpes schützen. Entwickelt wurde er an der Zahnmedizinischen Fakultät der University of Pennsylvania. In Labortests schaffte es der Kaugummi bereits, die Viruslast deutlich zu senken – um über 95 Prozent.

Bohnen-Kaugummi senkt Viruslast und schützt vor Grippe und Herpes