Cloudflare behauptete, Matrix auf Cloudflare Workers implementiert zu haben – tatsächlich ist das nicht der Fall

 (tech.lgbt)
1 Punkte von GN⁺ 2026-01-28 | 1 Kommentare | Auf WhatsApp teilen
  • Cloudflare kündigte an, das Matrix-Protokoll auf Cloudflare Workers implementiert zu haben, doch im Code fehlen zentrale Funktionen
  • Im gesamten Code finden sich zahlreiche unvollständige Kommentare wie „TODO: Check authorisation“, außerdem fehlen Signaturprüfung und Authentifizierungsverfahren
  • Der State-Resolution-Algorithmus wurde nicht implementiert; stattdessen wird der neueste Zustand direkt in die Datenbank eingefügt, was Sicherheitslücken und Kompatibilitätsprobleme verursachen kann
  • Nach der Veröffentlichung des Blogposts änderte Cloudflare den Beitrag und die README und ergänzte einen Haftungsausschluss, dass es nicht für den Produktionseinsatz gedacht sei
  • In der Entwickler-Community verbreitete sich Kritik an KI-generiertem Code und irreführenden technischen Behauptungen; die Glaubwürdigkeit von Cloudflare wird infrage gestellt

Cloudflares Behauptung zur Matrix-Implementierung und Überprüfung des Codes

  • Cloudflare veröffentlichte im eigenen Blog, Matrix auf Cloudflare Workers implementiert zu haben, doch der tatsächliche Code erfüllt zentrale Funktionen nicht
    • Im Code blieben unvollständige Kommentare wie „TODO: Validate PDU signature“, „TODO: Check authorization“ bestehen
    • Da die Authentifizierungsregeln der Matrix-Server-zu-Server-API nicht implementiert wurden, werden selbst gefälschte Daten akzeptiert
  • Der für Matrix zentrale State-Resolution-Algorithmus wurde ausgelassen; stattdessen wird der jeweils neueste Zustand einfach in die DB eingefügt
    • Dadurch können Inkonsistenzen beim Raumzustand und Interoperabilitätsprobleme sowie Sicherheitslücken entstehen
Anzeige

Falsche technische Behauptungen und Änderungshistorie

  • Im Cloudflare-Blog hieß es, Tuwunel und dessen Vorgänger hätten Postgres oder Redis verwendet, was nicht den Tatsachen entspricht
  • Später wurde der Beitrag geändert, durch „Synapse“ ersetzt, und auch in der README der Hinweis „example prototype, not for production use“ ergänzt
    • Diese Änderungen sind im GitHub-Commit (fd412f41f98c0f3f360f5c4034443ef80680de49) nachvollziehbar
    • In der überarbeiteten Fassung steht außerdem, dass Claude Code Opus 4.5 geholfen habe

Reaktionen und Kritik aus der Community

  • Auf Mastodon und Lobsters verbreitete sich Kritik an KI-generiertem Code und irreführender technischer Vermarktung
    • Genannt wurden unter anderem Punkte wie: „Signaturprüfung, Hashes und Authentifizierung wurden entfernt“ und „kein sicheres System, sondern nur ein simples Beispiel“
  • Einige Nutzer werteten Cloudflares Reaktion als „Vertuschungsversuch“ und verfolgten gelöschte Commit-Historien sowie Force-Pushes
  • In der Community gab es auch spöttische Reaktionen
    • „Die serverlose Architektur skaliert die Kosten auf 0 herunter (weil sie nicht existiert)“
    • „Cloudflare erreicht perfekte Sicherheit, indem überhaupt keine Nachrichten gesendet werden“
Anzeige

Weitere Aussagen von Jade und Projektvorstellung

  • Jade stellte den in Entwicklung befindlichen Rust-basierten Matrix-Homeserver Continuwuity vor
    • Er kann auch auf einem Raspberry Pi laufen und ist nicht auf zentralisierte Cloud-Infrastruktur angewiesen
  • Für die FOSDEM 2026 ist ein Vortrag zum Thema Erfahrungen beim Patchen von Matrix-Schwachstellen geplant
    • Co-Referent ist @nex@fedi.transgender.ing, außerdem ist eine Teilnahme am Matrix-Stand vorgesehen

Weitere Diskussionen und technische Detailkritik

  • Mehrere Entwickler kritisierten Logikfehler im Cloudflare-Code (z. B. die Verwendung von || statt ??), die Behandlung von „unknown error“ und die Vielzahl an TODO-Kommentaren
  • Einige merkten ironisch an, beim Korrektur-Commit von Cloudflare sei es „ironisch, dass ‚Remove PII‘ als öffentlicher Commit stehen blieb“
  • Insgesamt äußerte die Community Sorgen über Cloudflares KI-abhängige Entwicklung und mangelnde technische Verlässlichkeit

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-28
Hacker-News-Kommentare

  • Technische Blogs von Infrastrukturunternehmen dienen ursprünglich zwei Zielen: Expertise demonstrieren und Vertrauen aufbauen
    Sobald jedoch übertriebene Formulierungen hineinkommen, geht beides verloren
    Ob „wir haben Matrix implementiert“ hier wörtlich gemeint war oder Marketing-Übertreibung, sei dahingestellt, aber branchenweit ermüdet es zunehmend, wenn Beiträge mit „wir haben X gemacht“ in Wirklichkeit eher „wir haben einen Teil von X demonstriert“ bedeuten
    Die Lösung ist einfach — klar benennen, was genau gebaut wurde. Selbst eine Formulierung wie „Wir haben einen Matrix-Homeserver-Prototypen mit Einschränkungen auf Workers aufgebaut“ würde kein Vertrauen kosten

    • Fairerweise muss man sagen, dass Cloudflares technische Beiträge meist aufschlussreich sind
    • Wenn man es aber so ehrlich schreiben würde, wäre das Management wohl verärgert. Denn das käme einem Eingeständnis gleich, dass LLMs noch nicht das Niveau erreicht haben, das CEOs versprochen haben

  • Meine Interpretation ist, dass jemand den Beitrag und das Repository gleichzeitig per „vibe coding“ erstellt und ohne Prüfung im Cloudflare-Blog veröffentlicht hat
    Der Autor ist offenbar kein Engineer und hat der KI wohl einfach geglaubt, als sie sagte, das sei „produktionstauglich getestet“
    Ein entscheidender Hinweis ist, dass der Code nicht in einem offiziellen Cloudflare-Repository liegt, sondern auf einem persönlichen GitHub-Account. Cloudflare sollte künftig die Prüfprozesse für öffentliche Kommunikation verschärfen

    • Falls diese Person Cloudflare-Mitarbeiter ist, fragt man sich, woran dort sonst noch per vibe coding gearbeitet wird. Wer weiß, wann wieder „versehentlich“ das halbe Internet ausfällt wie früher
    • Ich habe gehört, dass Cloudflares CEO und CTO jeden Blogpost persönlich prüfen
    • Das Problem ist nicht einfach nur „ob man es kann“, sondern die Anreizstruktur in der Organisation
      Bei Cloudflare gelten Blogposts offenbar als zentrales Output für alle Rollen, einschließlich Engineers. In so einer Struktur wird Geschwindigkeit leicht wichtiger als Qualität
      Am Ende wird dieser Vorfall zu weniger Vertrauen, mehr Review-Prozessen und langsamerer Veröffentlichung führen. Das ist ein natürlicher Evolutionsprozess beim Wachstum einer Organisation
      Trotzdem ist es erstaunlich, dass der Beitrag noch immer nicht entfernt wurde und stattdessen durch Änderungen noch mehr Verwirrung entsteht

  • Ich hätte gern, dass Cloudflare zu diesem Vorfall einen Beitrag mit Root Cause Analysis (RCA) veröffentlicht
    Das wäre wahrscheinlich ähnlich interessant zu lesen wie ein Incident-Report
    Mich interessiert, welcher Prüfprozess diesmal versagt hat und wie das Vertrauen in den Blog wiederhergestellt werden soll

  • Ich habe mir den von Jade erwähnten Quellcode angesehen, und es scheint, als habe der Autor diesen Thread bemerkt
    Link zum betreffenden Commit

    • Im neuen Commit wurde die Formulierung „production grade“ aus dem README entfernt, die Unterstützung durch KI ausdrücklich erwähnt und auch die Ausrichtung des ASCII-Diagramms korrigiert
      Commit-Link
      Ehrlich gesagt hätte man sowohl den Blogpost als auch das Repository einfach löschen sollen
    • Inzwischen wurde dieser Commit jedoch zu „Clean up code comments“ umgeschrieben, wodurch der ursprüngliche Zweck verwischt wurde
      Überarbeiteter Commit
    • Solche Änderungen verschlimmern die Lage eher noch

  • Es ist erst ein paar Tage her, dass die Falschmeldung widerlegt wurde, Cursor habe mit GPT-5.2 einen Webbrowser von Grund auf neu gebaut, und schon passiert wieder so etwas
    Bei Geschichten dieser Art braucht man grundsätzlich erst einmal eine gesunde Skepsis

    • Ich habe selbst nach dem Artikel über „Cursors Browser-Experiment“ versucht, mit nur einem Agenten einen Browser zu bauen
      Show-HN-Beitrag
      Am Ende kam ich mit 20.000 Zeilen Code auf ein ähnliches Niveau wie das, was Cursor angeblich mit Hunderten von Agenten über mehrere Wochen hinweg gebaut hat
      Link zum Repository
    • Das Problem ist, dass weder im Cloudflare-Blog noch im Repository irgendwo erwähnt wurde, dass es sich um „vibe coding“ handelt
      Schon im matrix-workers-Repository ist das schlecht ausgerichtete ASCII-Diagramm ein Hinweis, und es ist erstaunlich, dass so etwas überhaupt nicht geprüft wurde
    • Es ist schwer nachvollziehbar, dass man den Beitrag veröffentlicht hat, ohne auch nur zu prüfen, ob die Funktionen tatsächlich arbeiten
    • Heutzutage wirken die meisten Leute im Umfeld von „AI“ wie Betrüger oder Aufschneider. Eine Ausnahme habe ich bisher nicht gesehen
    • Viele haben in diese „Technologie“ übermäßig investiert, deshalb wird es dauern, bis man wieder zu einer Hacker-Ethik zurückkehrt, bei der man Unternehmensankündigungen nicht automatisch glaubt

  • Oben im Original-Blog wurde inzwischen ein Hinweis ergänzt, dass es sich klar um ein „Proof of concept“ handle, aber weiter unten stand noch immer
    „Unser Team verarbeitet bereits echte verschlüsselte Kommunikation mit Matrix on Workers“
    Es ist völlig unklar, welche Aussage davon nun stimmt

    • Die Aussage „unser Team nutzt Matrix on Workers bereits“ ist schwer zu glauben. Das Repository liegt auf einem privaten GitHub-Account und die Implementierung ist unvollständig
    • Um 11:45 Uhr wurde es erneut geändert, jetzt heißt es: „Wir experimentieren mit dieser Implementierung und begrüßen interessierte Mitwirkende“
      Archivversion
    • Falls das intern tatsächlich so verwendet wird, wäre es erstaunlich, dass man unvollständigen und riskanten Code im eigenen internen Netzwerk laufen lässt

  • Es ist besorgniserregend, wenn ein großer Anbieter Code veröffentlicht, der in Wirklichkeit nicht funktioniert, und damit Produkte verkaufen will
    Wenn komplexes Engineering als einfach dargestellt wird, wird es schwieriger zu vermitteln, dass sichere Software Zeit braucht
    Solches Verhalten untergräbt das Vertrauen in die Plattform

    • Das Problem ist, dass die Branche schon viel zu lange ein „race to the bottom“ betreibt
      AI-Coding hat diese vereinfachte Illusion nur ausgenutzt, und letztlich hat erst die von Gier getriebene Marktstruktur solche Vorfälle hervorgebracht

  • Da Cloudflare den Originaltext weiter verändert, ist zum Nachvollziehen der ursprünglichen Fassung dieser Archivlink hilfreich

    • Nachdem jemand den Beitrag auf Mastodon mit dem 🤮-Emoji zitiert hatte, wurde im Blog stillschweigend die für LLMs typische Satzkonstruktion „not just X; Y“ entfernt

  • Diese Sache ist sowohl für Cloudflare als auch für den Autor peinlich
    Es ist kaum zu glauben, dass der Beitrag ohne Review veröffentlicht wurde
    In letzter Zeit häufen sich die Fehler bei Cloudflare, sodass es nach einem allmählichen Abwärtstrend nach dem früheren Höhepunkt aussieht

    • Man fragt sich, warum Cloudflare derzeit so oft scheitert. Vielleicht liegt es an den jüngsten neuen Technologietrends

  • Dass der Account, der den Blogpost auf Hacker News eingereicht hat, ein Wegwerf-Account (throwaway) war, deutet darauf hin, dass der Autor selbst wenig Vertrauen in den Code und die Behauptungen hatte
    HN-Link

    • Außerdem hat er im eigenen Thread sogar selbst kommentiert und dabei so getan, als würde er nur Fragen stellen