Cloudflare behauptete, Matrix auf Cloudflare Workers implementiert zu haben – tatsächlich ist das nicht der Fall

• Cloudflare kündigte an, das Matrix-Protokoll auf Cloudflare Workers implementiert zu haben, doch im Code fehlen zentrale Funktionen
• Im gesamten Code finden sich zahlreiche unvollständige Kommentare wie „TODO: Check authorisation“, außerdem fehlen Signaturprüfung und Authentifizierungsverfahren
• Der State-Resolution-Algorithmus wurde nicht implementiert; stattdessen wird der neueste Zustand direkt in die Datenbank eingefügt, was Sicherheitslücken und Kompatibilitätsprobleme verursachen kann
• Nach der Veröffentlichung des Blogposts änderte Cloudflare den Beitrag und die README und ergänzte einen Haftungsausschluss, dass es nicht für den Produktionseinsatz gedacht sei
• In der Entwickler-Community verbreitete sich Kritik an KI-generiertem Code und irreführenden technischen Behauptungen; die Glaubwürdigkeit von Cloudflare wird infrage gestellt

Cloudflares Behauptung zur Matrix-Implementierung und Überprüfung des Codes

• Cloudflare veröffentlichte im eigenen Blog, Matrix auf Cloudflare Workers implementiert zu haben, doch der tatsächliche Code erfüllt zentrale Funktionen nicht
  • Im Code blieben unvollständige Kommentare wie „TODO: Validate PDU signature“, „TODO: Check authorization“ bestehen
  • Da die Authentifizierungsregeln der Matrix-Server-zu-Server-API nicht implementiert wurden, werden selbst gefälschte Daten akzeptiert
• Der für Matrix zentrale State-Resolution-Algorithmus wurde ausgelassen; stattdessen wird der jeweils neueste Zustand einfach in die DB eingefügt
  • Dadurch können Inkonsistenzen beim Raumzustand und Interoperabilitätsprobleme sowie Sicherheitslücken entstehen

Falsche technische Behauptungen und Änderungshistorie

• Im Cloudflare-Blog hieß es, Tuwunel und dessen Vorgänger hätten Postgres oder Redis verwendet, was nicht den Tatsachen entspricht
• Später wurde der Beitrag geändert, durch „Synapse“ ersetzt, und auch in der README der Hinweis „example prototype, not for production use“ ergänzt
  • Diese Änderungen sind im GitHub-Commit (fd412f41f98c0f3f360f5c4034443ef80680de49) nachvollziehbar
  • In der überarbeiteten Fassung steht außerdem, dass Claude Code Opus 4.5 geholfen habe

Reaktionen und Kritik aus der Community

• Auf Mastodon und Lobsters verbreitete sich Kritik an KI-generiertem Code und irreführender technischer Vermarktung
  • Genannt wurden unter anderem Punkte wie: „Signaturprüfung, Hashes und Authentifizierung wurden entfernt“ und „kein sicheres System, sondern nur ein simples Beispiel“
• Einige Nutzer werteten Cloudflares Reaktion als „Vertuschungsversuch“ und verfolgten gelöschte Commit-Historien sowie Force-Pushes
• In der Community gab es auch spöttische Reaktionen
  • „Die serverlose Architektur skaliert die Kosten auf 0 herunter (weil sie nicht existiert)“
  • „Cloudflare erreicht perfekte Sicherheit, indem überhaupt keine Nachrichten gesendet werden“

Weitere Aussagen von Jade und Projektvorstellung

• Jade stellte den in Entwicklung befindlichen Rust-basierten Matrix-Homeserver Continuwuity vor
  • Er kann auch auf einem Raspberry Pi laufen und ist nicht auf zentralisierte Cloud-Infrastruktur angewiesen
• Für die FOSDEM 2026 ist ein Vortrag zum Thema Erfahrungen beim Patchen von Matrix-Schwachstellen geplant
  • Co-Referent ist @nex@fedi.transgender.ing, außerdem ist eine Teilnahme am Matrix-Stand vorgesehen

Weitere Diskussionen und technische Detailkritik

• Mehrere Entwickler kritisierten Logikfehler im Cloudflare-Code (z. B. die Verwendung von || statt ??), die Behandlung von „unknown error“ und die Vielzahl an TODO-Kommentaren
• Einige merkten ironisch an, beim Korrektur-Commit von Cloudflare sei es „ironisch, dass ‚Remove PII‘ als öffentlicher Commit stehen blieb“
• Insgesamt äußerte die Community Sorgen über Cloudflares KI-abhängige Entwicklung und mangelnde technische Verlässlichkeit