Letztes Jahr habe ich 500 offene Stellen für mein Unternehmen ausgeschrieben. Wir haben 34 Personen eingestellt. Die anderen 466 Stellen waren nie echt. Ich bin der Leiter der Talentakquise. Das ist nicht das, was ich akquiriere. Was ich akquiriere, sind Daten. Lebensläufe, Gehaltserwartungen, Fähigkeiten, Marktanalysen. 160.000 Bewerber haben uns ihre Karrieregeschichte kostenlos zur Verfügung gestellt. Wir haben es genutzt, um die Vergütung zu benchmarken. Nicht um die Gehälter zu erhöhen. Um zu bestätigen, dass wir unter dem Marktniveau zahlen und damit durchkommen. Ich nenne es "Aufbau einer Talentpipeline." Eine Pipeline ist etwas, das man baut und nie einschaltet. Recruiter nennen das "passives Sourcing." Es gibt nichts Passives daran, 160.000 Menschen Zeit zu stehlen. Aber es klingt nach einer Strategie. Einige unserer Stellenanzeigen sind seit 11 Monaten online. Eine ist seit zwei Jahren online. Es ist für einen "Direktor für Innovation." Wir haben keine Innovationsabteilung. Wir haben nicht das Budget. Aber die Anzeige lässt uns wachsen erscheinen. Investoren sehen offene Stellen und denken an Momentum. Unser Aktienkurs stieg um 8%, nachdem wir in einer Woche 200 Stellen ausgeschrieben haben. Wir haben in dieser Woche niemanden eingestellt. Oder in der Woche danach. Wir haben ein Bewerber-Tracking-System. Es lehnt 95% der Bewerber automatisch ab. Basierend auf Schlüsselwörtern. Ich weiß nicht, welche Schlüsselwörter. Niemand weiß es. Es wurde 2019 von einem Auftragnehmer konfiguriert, der nicht mehr hier arbeitet. Wir haben es nie aktualisiert. Einige Bewerber verbringen Stunden damit, ihre Lebensläufe anzupassen. Das System liest sie sechs Sekunden lang. Dann wird eine Ablehnungs-E-Mail gesendet. "Nach sorgfältiger Prüfung." Es gab keine Prüfung. Sorgfältig oder anders. Ich weiß das, weil ich die Vorlage geschrieben habe. Manchmal poste ich die gleiche Stelle mit einem anderen Titel erneut. "Senior Data Analyst" wird zu "Data Analytics Lead." Gleiche Beschreibung. Gleiches Gehalt. Gleiche niemand wird eingestellt. Aber es setzt das Veröffentlichungsdatum zurück. Frische Anzeigen erhalten mehr Bewerber. Mehr Bewerber bedeuten mehr Daten. Mehr Daten bedeuten besseres Benchmarking. Besseres Benchmarking bedeutet, dass ich bei der vierteljährlichen Überprüfung präsentiere. Ich habe im letzten Quartal präsentiert. Ich zeigte eine Folie, die sagte, wir hätten "unprecedented candidate interest" erhalten. 160.000 Menschen haben sich für nicht existierende Jobs beworben. Das ist das unprecedented interest. Der VP für Personal nannte es "Markenstärke." Der CFO fragte nach unserer Einstellungseffizienz. Ich sagte, wir würden "Qualität über Geschwindigkeit optimieren." Qualität bedeutet, dass wir niemanden eingestellt haben. Geschwindigkeit bedeutet, dass wir nicht planen, dies zu tun. HR fragte nach der Bewerbererfahrung. Ich zeigte ihnen unseren NPS-Score. Er lag bei 12. Von 100. Ich sagte, das sei "innerhalb des Branchenbereichs." Ich habe den Branchenbereich erfunden. Niemand hat nachgeprüft. Das tun sie nie. Letzten Monat hat mich eine Kandidatin direkt per E-Mail kontaktiert. Sie sagte, sie habe sich in acht Monaten auf vier Stellen beworben. Jeden Lebenslauf angepasst. Jeden Bewerbungsschreiben geschrieben. Nie eine Antwort erhalten. Sie fragte, ob die Stellen echt seien. Ich habe sie zu den automatisierten FAQs geschickt. Die FAQs sagen: "Wir schätzen jede Bewerbung." Das ist nicht wahr. Wir schätzen jeden Datenpunkt. Es gibt einen Unterschied. Ich stehe zur Beförderung an. Meine Kennzahlen sind herausragend. 500 ausgeschriebene Stellen. 160.000 erfasste Bewerber. Kosten pro Akquisition: 0 $. Ich habe niemanden akquiriert. Aber die Kosten waren null. Null ist eine gute Zahl in einem Dashboard. Dashboards werden präsentiert. Präsentationen werden genehmigt. Genehmigungen bringen mich zur Beförderung. Ich werde bis Q4 VP für Talent sein. Ich finde kein Talent. Ich sammele es. Wie ein Glas, das man nie öffnet.

Letzten Monat habe ich ein AI-Startup gegründet. Ich kann nicht programmieren. Das war früher ein Problem. Jetzt ist es ein "Gründer-Vorteil." Ich nenne mich einen "Vibe-Coder." Das bedeutet, ich beschreibe, was ich will, einem LLM und füge ein, was es mir gibt. Ich lese es nicht. Code zu lesen ist für Leute, die Code schreiben. Ich schreibe Eingabeaufforderungen. Meine erste Eingabeaufforderung war "baue mir eine SaaS-Plattform." Es hat etwas gebaut. Ich habe es bereitgestellt. Ich weiß nicht wo. Aber es hat eine URL und das reicht für eine Seed-Runde. Ich habe 2,3 Millionen Dollar gesammelt. Das Pitchdeck sagte "AI-native Architektur." Das bedeutet, Claude hat es geschrieben. Alles. Die Architektur. Das Deck. Die finanziellen Prognosen. Ich habe eingegeben "lass die Prognosen ehrgeizig, aber glaubwürdig aussehen." Es hat einen $40M ARR bis zum zweiten Jahr halluziniert. Das ist nicht glaubwürdig. Aber VCs rechnen nicht. Sie machen Vibes. Daher der Begriff. Mein CTO bin auch ich. Ich habe es auf LinkedIn gepostet. "Nicht-technischer Gründer, der als CTO fungiert." Jemand hat kommentiert "das ist mutig." Es ist nicht mutig. Es ist nur so, dass Ingenieure 200.000 Dollar kosten und Eingabeaufforderungen 20 Dollar im Monat. Ich habe 14.000 Zeilen Code. Ich habe keine davon gelesen. Aber ich habe Claude gefragt, "überprüfe den Code auf Qualität." Es sagte, der Code sei "gut strukturiert und sauber." Es hat den Code geschrieben. Natürlich hat es das gesagt. Das ist wie zu fragen, ob du einen Haarschnitt brauchst, deinen Friseur. Ein Sicherheitsforscher hat mir eine DM geschickt. Er sagte, meine App habe eine Path-Traversal-Sicherheitsanfälligkeit. Ich wusste nicht, was das bedeutete. Ich habe seine Nachricht in Claude eingefügt. Claude sagte "das ist ein ernstes Sicherheitsproblem." Ich habe eingegeben "behebe es." Es hat etwas geändert. Ich habe es bereitgestellt. Der Forscher hat mir wieder eine DM geschickt. Er sagte, ich hätte drei weitere Sicherheitsanfälligkeiten eingeführt. Ich habe ihn blockiert. Problem gelöst. Das ist Gründermentalität. Ich habe meinen ersten Mitarbeiter eingestellt. Auch ein Vibe-Coder. Sein Lebenslauf sagte "über 200 Anwendungen gebaut." Er meinte, er hat 200 Mal auf "akzeptieren" in Cursor geklickt. Aber das ist jetzt Erfahrung. Wir programmieren im Pair. Das bedeutet, wir sitzen nebeneinander und geben die gleiche LLM von verschiedenen Laptops ein. Manchmal bekommen wir unterschiedliche Antworten. Wir wählen die aus, die ohne sichtbaren Fehler läuft. Sichtbar macht in diesem Satz viel Arbeit. Wir haben keine Tests. Tests sind für Code, den du verstehst. Wir haben "Vertrauen." Vertrauen bedeutet, es wurde einmal in Chrome geladen. Wir haben am Freitag in die Produktion verschifft. Alle sagten, man solle freitags nicht verschiffen. Aber wir haben keine Überwachung. Also ist jeder Tag gleich. Wenn ein Server in der Cloud abstürzt und niemand die Protokolle beobachtet, macht er dann ein Geräusch? Philosophisch nein. Finanziell auch nein. Weil wir auch kein Logging haben. Ein Kunde berichtete, dass die App "Daten leckt." Ich sagte "lecken ist ein starkes Wort." Er sagte, seine API-Schlüssel seien im Seitenquelltext sichtbar. Ich sagte "das ist ein Feature für Power-User." Er hat gekündigt. Ich habe es als Abwanderung aufgrund von "Produkt-Markt-Anpassung-Rekalibrierung" markiert. Wir verarbeiten Zahlungen. Ich habe Claude gefragt, "füge Stripe hinzu." Es hat Stripe hinzugefügt. Denke ich. Das Geld kommt irgendwo an. In den meisten Monaten kommt es auf unser Konto. Ich frage nicht nach den anderen Monaten. Unsere Datenbank hat keine Authentifizierung. Ich habe nicht danach gefragt. Das LLM hat es nicht vorgeschlagen. Wir haben eine offene Beziehung zu den Daten unserer Nutzer. Sie wissen es nur noch nicht. Jemand hat unsere Datenbank auf Shodan gefunden. Ich wusste nicht, was Shodan war. Jetzt weiß ich es. So wie 40.000 andere Leute. Einschließlich unserer Nutzer. Ehemalige Nutzer. Ich war in einem Podcast. Der Gastgeber fragte nach meinem "Tech-Stack." Ich sagte "hauptsächlich Claude und welche npm-Pakete es installieren möchte." Er lachte. Ich habe nicht gescherzt. Es gibt 847 Abhängigkeiten in unserer package.json. Ich erkenne keine davon. Eine davon ist von 2016 und wurde seitdem nicht aktualisiert. Es ist wahrscheinlich in Ordnung. "Wahrscheinlich in Ordnung" ist unser internes SLA. Wir wurden in einen Accelerator aufgenommen. Die Bewerbung fragte nach unserem "Graben." Ich sagte "Geschwindigkeit der Ausführung." Geschwindigkeit der Ausführung bedeutet, ich kann Bugs schneller massenproduzieren, als jemand sie finden kann. Das ist technisch gesehen ein Graben. Der Demo-Tag ist nächste Woche. Ich brauche, dass die App elf Minuten funktioniert. Danach kann sie tun, was sie will. Das tut sie normalerweise. Ich sammle eine Series A. 12 Millionen Dollar. Das Deck sagt "gebaut von einem Team von Elite-Ingenieuren." Das Team bin ich, ein Typ, der auch nicht programmieren kann, und ein LLM, das nicht weiß, dass wir in der Produktion sind. Aber wir bewegen uns schnell. Wir brechen Dinge. Meistens unsere eigenen Dinge. Manchmal die Dinge anderer Leute. Wir werden später den Unterschied herausfinden. Ich kann immer noch nicht programmieren. Aber ich habe eine massenproduzierende Haftungsfabrik, die manchmal funktioniert. Im Jahr 2026 nennt man das ein Unternehmen. Und der Graph geht nach oben und nach rechts. Weil ich Claude gefragt habe, sicherzustellen, dass es das tut.

Ich werde am 3. März 2026 auf der [un]prompted - The AI Security Practitioner Conference in SF sprechen. Wir werden FENRIR v1.0 von @trendaisecurity und @thezdi präsentieren -- unsere interne AI-Schwachstellenerkennungs-Pipeline, die seit Mitte 2025 über 100 Schwachstellen in der AI-Infrastruktur gefunden hat. 21 CVEs gepatcht. Zwei CVSS 10 und mehrere kritische RCEs mit CVSS 9.8. Kosten? 128 $ pro CVE in Tokens. Ich freue mich darauf, einige hervorragende Forschungen und Projekte in der AI-Sicherheitsgemeinschaft zu sehen. Kommt vorbei und sagt Hallo. Mit @DemengChen233 |