Billige Intelligenz schneidet in beide Richtungen: Chinesische Modelle tragen 46 % der US-Unternehmens-Tokens, eine KI führte einen Ransomware-Angriff im Alleingang aus, und Japan zahlt 1 Billion Yen, um von niemandem abhängig zu sein
Wichtigste Erkenntnisse
- 1Modelle chinesischen Ursprungs halten seit dem 8. Februar 2026 in jeder Woche mindestens 30 % des aus den USA stammenden Unternehmens-Token-Verkehrs auf OpenRouter, in der Spitze 46 % — gegenüber 4,5 % im ersten Halbjahr 2025. In einer Februarwoche entfielen auf sie 61 % des Verbrauchs der zehn meistgenutzten Modelle der Plattform.
- 2Der Treiber ist der Preis, nicht die Politik. Offene chinesische Modelle kosten 60–90 % weniger: DeepSeek V4 Flash verlangt 0,09 $ je Million Eingabe-Tokens gegenüber 5,00 $ bei GPT-5.5, während Zhipus GLM 5.2 auf FrontierSWE 74,4 erreicht — gegen 75,1 bei Claude Opus 4.8. Wenn der Qualitätsabstand einen Punkt beträgt und die Ausgabe dreißigmal günstiger ist, wandern Standardlasten von selbst ab.
- 3Derselbe Preisverfall hat den Angreifer bewaffnet. Sysdigs JADEPUFFER ist die erste dokumentierte durchgängig agentische Ransomware-Operation: Ein LLM-Agent verkettete eigenständig Aufklärung, Diebstahl von Zugangsdaten, laterale Bewegung, Persistenz und Verschlüsselung und erholte sich binnen 31 Sekunden von einem fehlgeschlagenen Login. Sysdig formuliert es so: Die Kompetenzschwelle für Ransomware ist auf die Betriebskosten eines Agenten gesunken.
- 4Japan kauft sich einen Notausgang. Am 30. Juni 2026 wählte NEDO Noetra aus — SoftBank, Sony, NEC, Honda und AIST — mit 387,3 Milliarden Yen (2,4 Mrd. $) in diesem Haushaltsjahr und rund 1 Billion Yen (6,1 Mrd. $) über fünf Jahre. Die erklärte Begründung des Präsidenten ist nicht Nationalstolz, sondern das Risiko der Übertragung vertraulicher Informationen und der Geschäftskontinuität durch Abhängigkeit von ausländischen LLMs.
- 5Sie haben bereits eine Modell-Lieferkette; die Frage ist, ob Sie sie steuern. Kaum ein Unternehmen kann sagen, welche Modelle im letzten Monat seinen Verkehr bedient haben, unter welcher Jurisdiktion und mit welchen Aufbewahrungsfristen. Ein Gateway, das nach Preis routet, ist eine ungesteuerte Abhängigkeit — und JADEPUFFER erntete Zugangsdaten von OpenAI, Anthropic, DeepSeek und Gemini: Ihre API-Schlüssel sind Kronjuwelen, keine Konfiguration.
Die 46-Prozent-Zahl: Die Kostenschwerkraft hat Ihre Modell-Lieferkette bereits neu verdrahtet
Am 7. Juli 2026 veröffentlichte CNBC eine Untersuchung darüber, wohin der KI-Verkehr amerikanischer Unternehmen tatsächlich fließt. Der Befund ist bemerkenswerter als die Schlagzeile: In jeder einzelnen Woche seit dem 8. Februar 2026 entfielen auf Modelle chinesischen Ursprungs mindestens 30 % des aus den USA stammenden Token-Volumens auf OpenRouter, einer der größten neutralen Routing-Schichten der Branche. Der Wochenhöchstwert erreichte 46 %. Zum Vergleich: Im ersten Halbjahr 2025 lag dieser Anteil bei 4,5 %, im Mittel der vorangegangenen zwölf Monate bei 11 %. In einer Februarwoche machten chinesische Modelle 61 % des gesamten Token-Verbrauchs unter den zehn meistgenutzten Modellen der Plattform aus.
Der Mechanismus ist nicht ideologisch. Er ist arithmetisch. Justin Summerville von OpenRouter benennt die Lücke unumwunden: Offene chinesische Modelle kosten 60 bis 90 % weniger als die führenden westlichen Angebote. DeepSeek V4 Flash berechnet 0,09 $ je Million Eingabe-Tokens und 0,18 $ je Million Ausgabe-Tokens. GPT-5.5 berechnet 5,00 $ und 30,00 $. Claude Opus 4.8 berechnet 5,00 $ und 25,00 $. Zugleich ist das Qualitätsargument still erodiert: Zhipus GLM 5.2 erreicht auf FrontierSWE 74,4 gegenüber 75,1 bei Opus 4.8 und auf MCP-Atlas 76,8 gegenüber 77,8. Das ist ein Abstand von etwa einem Punkt. Wenn ein Modell im Benchmark einen Punkt zurückliegt und in der Ausgabe dreißigmal günstiger ist, trifft sich die Routing-Entscheidung von selbst — vor allem bei der Codegenerierung, die von 11 % des OpenRouter-Verkehrs Anfang 2025 auf über die Hälfte Mitte 2026 wuchs und die tokenhungrigste, preissensibelste Last im Unternehmen darstellt.
Nun zum Teil, bei dem es sich zu verweilen lohnt. Kein Aufsichtsrat hat dies genehmigt. Es gab nie eine Sitzung, in der ein CTO eines Fortune-500-Konzerns aufstand und vorschlug, chinesische KI einzuführen. Geschehen ist vielmehr, dass Tausende Ingenieure Tausende Gateways so konfigurierten, dass jede Anfrage an das günstigste Modell geht, das eine Evaluationsschwelle überschreitet — und die Summe dieser kleinen, je für sich vernünftigen Entscheidungen verlagerte einen Großteil der amerikanischen Unternehmensinferenz auf Infrastruktur, die in einer anderen Jurisdiktion trainiert wurde. DeepSeek allein routet inzwischen 17,6 % der OpenRouter-Tokens — 5,13 Billionen pro Woche — Alibabas Qwen folgt mit 13,9 % und 2,77 Billionen. So bewegen sich Lieferketten tatsächlich: nicht durch Entscheidung, sondern durch Voreinstellung. Palantirs Alex Karp argumentiert seit Längerem, das Pay-per-Token-Modell sei grundlegend defekt, weil Unternehmen Kontrolle wollen statt getakteter Abhängigkeit. Die 46-Prozent-Zahl zeigt, was passiert, wenn sie diese nicht bekommen.
JADEPUFFER: Derselbe Preisverfall hat die Gegenseite bewaffnet
Am 1. Juli 2026 veröffentlichte das Threat-Research-Team von Sysdig seine Analyse zu JADEPUFFER — nach eigener Darstellung die erste dokumentierte Ransomware-Kampagne, die ein KI-Agent vollständig von Anfang bis Ende ausführte. Die Unterscheidung ist wesentlich. Dies war kein KI-gestützter Einbruch, bei dem ein menschlicher Operator einen Chatbot um ein Skript bittet. Sysdig stuft JADEPUFFER als agentischen Bedrohungsakteur ein: einen Akteur, dessen gesamte Angriffsfähigkeit vom Agenten erbracht wird, nicht von einem menschlichen Werkzeugkasten. Der Agent verschaffte sich Erstzugang über eine ins Internet exponierte Langflow-Instanz mittels CVE-2025-3248, einer Schwachstelle für nicht authentifizierte Remote-Code-Ausführung, und führte von dort Aufklärung durch, erntete Zugangsdaten, bewegte sich lateral, richtete Persistenz ein, erhöhte Privilegien und verschlüsselte die Produktionsdatenbank des Opfers.
Es sind die operativen Details, die ein Sicherheitsteam beunruhigen sollten. Der Agent schwenkte über einen Nacos-Authentifizierungs-Bypass mittels CVE-2021-29441 — einer jahrealten Schwachstelle. Er zählte MinIO-Speicher-Buckets mit den Standardzugangsdaten minioadmin:minioadmin auf. Er installierte einen Crontab-Beacon, der sich alle dreißig Minuten bei 45.131.66[.]106:4444 meldete. Als einer seiner Logins fehlschlug, vergingen einunddreißig Sekunden zwischen dem Fehlschlag und einer funktionierenden mehrstufigen Korrektur-Payload, die ein Subprozess-PATH-Problem diagnostizierte und behob — jene Art adaptiver Erholung, die früher die Signatur eines kompetenten menschlichen Eindringlings war. Anschließend verschlüsselte er alle 1.342 Nacos-Konfigurationseinträge mit MySQLs AES_ENCRYPT() und einem flüchtigen Schlüssel, löschte die Originale und schrieb eine README_RANSOM-Tabelle mit einer Bitcoin-Adresse und einem Proton-Mail-Kontakt. Bemerkenswert: Unter den geernteten Zugangsdaten befanden sich API-Schlüssel für OpenAI, Anthropic, DeepSeek und Gemini. Der Angreifer kaufte in derselben Modell-Lieferkette ein wie sein Opfer.
Sysdigs eigene Zusammenfassung ist der Satz, den Sie in Ihr nächstes Security-Review mitnehmen sollten: Die Kompetenzschwelle für den Betrieb von Ransomware ist auf die Betriebskosten eines Agenten gesunken. Liest man das gegen den vorigen Abschnitt, wird die Symmetrie unbequem. Derselbe Preisverfall von 60 bis 90 Prozent, der einem schlanken Start-up produktionsreife Inferenz bezahlbar machte, erlaubte es einem Akteur ohne tiefe Expertise in irgendeiner Stufe der Angriffskette, einen kompetenten Eindringling stundenweise zu mieten. Billige Intelligenz ist kein Geschäftstrend, der zufällig Ihre Branche trifft. Sie ist eine Umgebungsbedingung, die die Kostenstruktur jeder Tätigkeit verändert — auch derjenigen, die sich gegen Sie richtet. Ein Trost bleibt, und er ist echt: Agenten erzählen von sich selbst. Sysdig weist darauf hin, dass sich selbst narrierende Payloads eine echte Erkennungschance darstellen, weil ein Agent, der in seinen eigenen Ausführungsprotokollen laut denkt, Spuren hinterlässt, die ein menschlicher Operator nie hinterlassen würde. Und beachten Sie, was ihn tatsächlich hereinließ: ein ungepatchtes Entwicklerwerkzeug und ein Standardpasswort, kein Zero-Day. Der Verteidigungsrat ist langweilig, und er wirkt: Langflow patchen, Nacos härten, Anbieter-Zugangsdaten aus Anwendungsumgebungen entfernen, Datenbank-Adminzugriff per IP beschränken und Egress-Kontrollen durchsetzen.
Japans Antwort: 1 Billion Yen, um von niemandes Modell abhängig zu sein
Am 30. Juni 2026 gab Wirtschaftsminister Ryosei Akazawa bekannt, dass NEDO Noetra für den Bau des nationalen KI-Basismodells Japans ausgewählt hat. Gründungsmitglieder des Konsortiums sind SoftBank Corp., Sony, NEC und Honda, in Partnerschaft mit dem Nationalen Institut für fortgeschrittene Industriewissenschaft und Technologie (AIST); rund vierzig weitere Unternehmen aus Fertigung, Automobil, Elektronik, Logistik, Telekommunikation, IT und Finanzwesen sollen hinzukommen. Die Förderung beträgt allein in diesem Haushaltsjahr 387,3 Milliarden Yen — etwa 2,4 Milliarden Dollar — und über fünf Jahre rund 1 Billion Yen beziehungsweise 6,1 Milliarden Dollar. Das Modell ist ausdrücklich multimodal und soll Daten, Bilder, Video, Audio und physikalische Eigenschaften verschmelzen, um in Robotik und physischer KI wahrzunehmen und zu schlussfolgern. Die Zieleinsätze sind unglamourös und konkret: Altenpflege, Katastrophenhilfe, Fertigungshallen und der Rückbau von Fukushima Daiichi. Das Ganze steht in einem größeren Rahmen — zehn Millionen KI-ausgestattete Roboter bis 2040 und 10,5 Billionen Yen öffentlich-privater KI-Investitionen — und fällt in dieselbe Woche, in der Micron den Spatenstich für eine 1,5 Billionen Yen (9,3 Milliarden Dollar) schwere Erweiterung seines Werks in Hiroshima zur Fertigung von High-Bandwidth-Memory setzte.
Die Begründung von Noetra-Präsident Hironobu Tanba verdient es, so gelesen zu werden, wie sie formuliert ist, statt unter Nationalismus abgelegt zu werden. Die Abhängigkeit von ausländischen LLMs, sagte er, berge Bedenken hinsichtlich der Übertragung vertraulicher Informationen sowie ernste Risiken für die Geschäftskontinuität. Das sind keine Parolen. Das sind die beiden klassischen Kategorien des Beschaffungsrisikos — Vertraulichkeit und Kontinuität — angewandt auf eine Komponente, die die meisten Unternehmen noch gar nicht als Komponente begreifen. Neben CNBCs 46-Prozent-Zahl gelesen, klingt Tanbas Satz nicht mehr defensiv, sondern wie die einzige Formulierung des Problems auf Vorstandsebene, die in diesem Jahr jemand angeboten hat.
Man sollte nüchtern sehen, was Japan kauft und was nicht. Es kauft kein Frontier-Labor. Eine Billion Yen über fünf Jahre entspricht der Größenordnung eines einzigen Quartals an Investitionsausgaben eines amerikanischen Hyperscalers; Noetra wird keine allgemeine Benchmark-Rangliste anführen und muss es auch nicht. Gekauft wird eine Option: ein heimisches Modell, das gut genug ist für jene Klasse von Arbeitslasten, die das Land niemals verlassen dürfen — ein Roboter, der einen beschädigten Reaktor zurückbaut, das interne Hauptbuch einer Großbank, die Patientenakten eines Krankenhauses, die Konstruktionszeichnungen eines Rüstungszulieferers. Souveränität zu diesem Budget kauft Hinlänglichkeit, nicht Vorherrschaft — und Hinlänglichkeit ist das richtige Ziel. Der Kontrast zum Westen ist der eigentliche Punkt dieses Artikels. Amerikanische Unternehmen sind durch das Anhäufen billiger Voreinstellungen auf ausländische Inferenz-Infrastruktur abgedriftet; Japan gibt sechs Milliarden Dollar aus, damit diese Drift einen Boden hat. Das eine ist eine Strategie. Das andere ist eine Routing-Tabelle.
Was das für grenzüberschreitend tätige Unternehmen bedeutet
Beginnen Sie damit, die Modellschicht als Lieferkette mit einer Stückliste zu behandeln. Die meisten Unternehmen können derzeit vier grundlegende Fragen nicht beantworten: Welche Modelle haben im vergangenen Monat unseren Verkehr bedient, zu welchen Anteilen, unter welcher Jurisdiktion und mit welchen Datenaufbewahrungsbedingungen? Wenn Ihr Gateway nach Preis routet, haben Sie eine ungesteuerte Abhängigkeit, deren Zusammensetzung sich mit jedem Aktionstarif eines Anbieters ändert. Das Gegenmittel ist kein Verbot. Es ist eine Inventur, gefolgt von einer Stufenrichtlinie: Standardlasten — Entwürfe, Klassifikation, Massenübersetzung, interne Zusammenfassungen — gehen an das günstigste Modell, das Ihre Evaluationen besteht, und die Ersparnis ist real und mitzunehmen. Regulierte, vertrauliche oder kundenidentifizierende Lasten werden an benannte Modelle gebunden, unter Vertragsbedingungen, die Sie tatsächlich gelesen haben. Es geht nie darum, „chinesische Modelle zu meiden“. Es geht darum, zu wissen, welches Modell welche Daten gesehen hat.
Zweitens: Erheben Sie Ihre KI-Zugangsdaten in den Rang von Kronjuwelen. JADEPUFFER erntete API-Schlüssel von vier großen Modellanbietern zusammen mit Cloud-Plattform-Zugangsdaten und Kryptowährungs-Wallets, und diese Reihenfolge ist kein Zufall — ein Inferenzschlüssel ist heute zugleich Waffe, Datenabflusskanal und ungedeckelte Abrechnungsverbindlichkeit. Legen Sie ihn in einen Tresor, beschränken Sie ihn auf die engstmögliche Berechtigung, rotieren Sie ihn nach Plan und lassen Sie ihn niemals in einer Anwendungsumgebung liegen, in der ein Remote-Code-Execution-Fehler in einem ungepatchten Entwicklerwerkzeug ihn direkt aus dem Prozess auslesen kann. Genau diesen Weg ist der Agent gegangen.
Für Unternehmen, die zwischen Japan und Europa tätig sind, ist dies eine Compliance-Naht und nicht bloß eine Ingenieursaufgabe. Die Transparenz- und GPAI-Pflichten des EU-KI-Gesetzes, Japans APPI-Regeln zur grenzüberschreitenden Übermittlung personenbezogener Daten und eine Routing-Schicht, die einen Kundendatensatz stillschweigend an denjenigen Inferenz-Endpunkt schickt, der um drei Uhr morgens am günstigsten war, koexistieren nicht behaglich. Genau das ist die Arbeit, die wir bei Medusa Japan mit Kunden leisten: die Modell-Stückliste aufbauen, jurisdiktionsbezogene Routing-Regeln schreiben, die ein Compliance-Verantwortlicher verteidigen kann, und Lokalisierungspipelines entwerfen, in denen ein günstiges Modell den ersten Durchgang in der Masse erledigt, während ein fest gebundenes Modell und ein menschlicher Muttersprachler den Durchgang übernehmen, der tatsächlich beim Kunden ankommt. Billige Intelligenz ist ein echtes Geschenk — sie hat kleinen Teams möglich gemacht, was vor zwei Jahren unbezahlbar war. Ungesteuerte billige Intelligenz ist eine Verbindlichkeit — und in diesem Monat hat sie eine Proton-Mail-Adresse bekommen.
Häufig gestellte Fragen
Sollten wir die Nutzung von KI-Modellen chinesischen Ursprungs einstellen?
Bedeutet JADEPUFFER, dass KI-gesteuerte Angriffe nicht aufzuhalten sind?
Ist Japans Noetra ein realistischer Konkurrent für OpenAI oder Anthropic?
Was ist der allererste Schritt für ein Unternehmen, das darüber nie nachgedacht hat?
Bereit, Ihre Marke zu transformieren?
Medusa Japan verbindet KI-Innovation mit japanischen Designprinzipien, um außergewöhnliche digitale Erlebnisse zu schaffen.
Kontakt aufnehmenWie bereit ist Ihr Unternehmen für Japan?
Absolvieren Sie unser kostenloses 5-Kategorien-Scorecard und erhalten Sie Ihren individuellen Bericht.
Medusa Japan
Medusa Japan ist eine Kreativagentur und ein KI-Produktstudio mit Sitz in Osaka, spezialisiert auf grenzüberschreitende Geschäftsstrategie zwischen Japan und globalen Märkten.
Verwandte Artikel
Rechenzentren im Orbit, Fabriken auf dem Mond: Warum es der bequeme Fehlschluss des Jahres 2026 ist, den Weltraum-Compute-Plan von SpaceX und xAI für „unmöglich“ zu erklären
2026 hat SpaceX xAI übernommen, eine Genehmigung für den Start von bis zu einer Million Satelliten beantragt und den AI-1 vorgestellt — ein Orbital-Rechenzentrum, das ungefähr die Leistung eines einzelnen NVIDIA-Racks zieht und breiter ist als eine Boeing 747. Der Plan türmt sich von dort weiter auf: eine Chip-Fertigung mit einem Terawatt pro Jahr namens Terafab, die jedes Projekt versorgt, eine Gigasat-Fabrik mit dem Ziel von einem Gigawatt Orbital-Rechenleistung pro Jahr bis Ende 2027 und eine Fertigungsbasis auf dem Mond, die fertige Satelliten mit einem elektromagnetischen Katapult ins All schleudert. LinkedIn-Vordenker und YouTube-Erklärer haben das Ganze bereits für unmöglich erklärt — dasselbe Urteil, das dieselbe Menge über wiederverwendbare Raketen, über Starlink und über Elektroautos gefällt hat. Hier ist die Begründung, warum die ernsthaften Einwände den Zeitplan und die Wirtschaftlichkeit betreffen, nicht die Physik, und warum es der bequemste Fehlschluss ist, ausgerechnet das Unternehmen abzutun, das zwei Drittel aller aktiven Satelliten gestartet hat.
Die agentische Lücke: Warum Unternehmen KI-Agenten einführen, sie aber nicht in den Betrieb bringen — und was Japans pragmatische Roboter über das Schließen dieser Lücke lehren
Im Jahr 2026 hat fast jeder einen KI-Agenten-Piloten, und fast niemand hat Agenten im Produktivbetrieb. Umfragen beziffern die Einführung auf nahezu 79 %, während nur etwa 11 % der Organisationen Agenten tatsächlich im großen Maßstab betreiben — eine Lücke, die das Jahr prägt. Der Engpass ist nicht die Modellqualität; es sind Bereitstellung, Governance und Vertrauen. Die Markteinführungen dieser Woche — Itentials Agenten, die auf Live-Netzwerken agieren, ohne dass irgendeine unumkehrbare Änderung erlaubt ist, Googles agentische Gemma-4-Modelle, MiniMax' weitaus günstigeres M3 mit langem Kontext und Anthropics schwachstellenjagendes Project Glasswing — teilen ein neues Thema: Bremsen sind jetzt ein Funktionsmerkmal. Unterdessen bietet Japan ein still funktionierendes Gegenmodell. Mit einem unausweichlichen Arbeitskräftemangel konfrontiert, setzt es KI — insbesondere physische KI — gegen einen konkreten Engpass ein, in einer begrenzten Rolle, wobei Menschen weiterhin steuern: Japan Airlines erprobt Humanoide in Haneda, ein Drittel der japanischen Unternehmen nutzt oder erwägt Roboter, und das METI strebt bis 2040 30 % des globalen Markts für physische KI an. Die Lektion für grenzüberschreitende Entscheidungsträger ist einfach und unbequem: Hören Sie auf, Autonomie als Schlagzeile zu jagen, und fangen Sie an, sie gegen ein echtes Problem einzusetzen — mit begrenztem Umfang und Governance vom ersten Tag an.