Während Claude Code arbeitet, zeigt es eine kleine animierte Zeile an — „Baking…", „Discombobulating…" — auf die Hunderttausende Entwickler täglich stundenlang starren. Andrew McCalip sah diese Zeile und erkannte eine leere Werbetafel. Am 11. Juni 2026 startete er Kickbacks: eine Erweiterung, die den Spinner versteigert, anstelle der Wartezeit-Verben eine gesponserte Zeile rendert und 50 % der Einnahmen an den Entwickler auszahlt, der zusieht. Der Slogan: „Get paid for waiting." (Lass dich fürs Warten bezahlen.)
Der Ankündigungs-Tweet überschritt innerhalb von 24 Stunden 5,5 Millionen Aufrufe. Binnen 48 Stunden tauchten zwei Wettbewerber auf. Und doch ruht das gesamte Konstrukt auf einer Tatsache, die niemand ignorieren kann: Kickbacks ist auf Anthropics Grund und Boden gebaut, ohne Pachtvertrag — vier Monate nachdem Anthropic eine Super-Bowl-Kampagne bezahlt hatte mit der Aussage: „Ads are coming to AI. But not to Claude." (Werbung kommt zur KI. Aber nicht zu Claude.)
Wir haben das Bundle der Erweiterung Zeile für Zeile gelesen — nicht die Pressemitteilung. Hier ist, was tatsächlich darin steckt, was es wert ist und warum diese Geschichte die beste Fallstudie 2026 über opportunistische Produkte ist.
Der Gründer: ein Macher, der Lärm zu erzeugen weiß
Andrew McCalip ist kein Unbekannter. Im August 2023 wurde dieser Ingenieur von Varda Space Industries (Fertigung im Orbit) im Internet berühmt, weil er den ersten US-Nachbau von LK-99 versuchte, dem angeblichen koreanischen Raumtemperatur-Supraleiter — die Synthese wurde auf Twitch live gestreamt, der Fortschritt auf Twitter dokumentiert, eine schwebende Probe zur Analyse an die USC geschickt. Der Nachbau wurde nie bestätigt, aber die Figur war geboren: ein Profil von „Engineering als Content", fähig, ein technisches Projekt binnen Tagen in eine weltweite Serie zu verwandeln.
Seitdem: Project Bob (ein 14 Fuß langes autonomes Drohnenboot, das versucht, die Welt per Starlink zu umrunden, noch unterwegs) und ShiftKeys, Inc. — das Unternehmen hinter einem KI-Assistenten auf Betriebssystemebene, der durch gleichzeitiges Drücken beider Shift-Tasten ausgelöst wird, und die juristische Hülle, unter der Kickbacks läuft. Ein verräterisches Detail: Beim Start listete McCalips persönliche Website sieben Projekte auf… und Kickbacks war keines davon. Er reichte keinen der Hacker-News-Threads selbst ein und antwortete nie darin. Der offizielle Kanal ist sein persönlicher X-Account. Kickbacks wirkt weniger wie ein Unternehmensprodukt als wie ein Schachzug — schnell, dreist, perfekt getimt.
Der Pitch: Wartezeit zu Werbefläche machen
Die Kickbacks-Landingpage zum Start — Screenshot aufgenommen am 13. Juni 2026, kickbacks.ai
Das angekündigte Modell ist einfach. Werbetreibende bieten über ein offenes Orderbuch auf den Slot. Die Verkaufseinheit ist ein „Block" von 1.000 Impressionen zu je fünf Sekunden. Der Nutzer, der die Werbung anzeigt, behält 50 % der Einnahmen, gutgeschrieben pro Impression und pro Klick — wobei ein Klick 50 Impressionen wert ist. Stunden- und Tageslimits begrenzen den Verdienst, und ein Remote-Kill-Switch kann die gesamte Flotte abschalten.
Die Realität zum Start ist bescheidener, und das ist entscheidend: Am 12. Juni waren Auszahlungen noch nicht freigeschaltet (die Stripe-Connect-Integration sei „fast fertig", kein Datum genannt), und es gab keine echten Werbetreibenden — die sichtbare Anzeige, Firecrawl, ist ein hauseigener Platzhalter, um den Bestand anzukurbeln. Die Einnahmen sammeln sich auf einem Zähler, lassen sich aber nicht abheben. Erster Testerbericht auf Hacker News: etwa 3 Stunden Nutzung, 407 Impressionen, 4,43 $. Ein anderer Nutzer behauptet 10 $ in 2 Stunden — selbst gemeldete Zahlen, entsprechend zu werten, gegen ein Claude-Abo, das 200 $ im Monat kosten kann.
Ein Signal aus dem Ökosystem verdient jedoch Beachtung: Weniger als 30 Stunden nach dem Start hatte ein Drittentwickler bereits ein Daten-Terminal für Werbeeinkäufer gebaut — Orderbuch-Tracking, Block-Burndown, Gebotspreise gegen den volumengewichteten Durchschnitt. Seine (unbestätigten) Kennzahlen: rund 943 ausgelieferte Impressionen pro Minute, Höchstgebot bei 111 $, Auslieferungsuntergrenze bei 31 $. Wenn binnen eines Tages spekulatives Tooling rund um deinen Markt entsteht, dann existiert der Markt — zumindest als Objekt der Neugier.
Unter der Haube: was der Code verrät
Wir haben das Bundle der Erweiterung dekompiliert und gelesen. Erster amüsanter Fund: Das Produkt hieß vor seinem Rebranding Vibe Ads. Der Code trägt den Namen noch überall — Dateien gespeichert unter ~/.vibe-ads/, Markierungen /* VIBE-ADS-START */, interne Befehle mit dem Präfix vibe-ads.*.
Technisch greift die Erweiterung zwei Oberflächen von sehr ungleicher Robustheit an.
Der solide Weg: das Terminal, über offizielle Einstellungen
Für die CLI manipuliert Kickbacks nichts: Es bearbeitet deine ~/.claude/settings.json, um zwei von Anthropic dokumentierte Felder einzuschleusen. spinnerVerbs ersetzt die Spinner-Verben durch die gesponserte Zeile. statusLine verweist auf ein Skript, das die klickbare Anzeige in der Statusleiste rendert. Ein wirklich netter Kniff: Wenn du bereits eine eigene Statusleiste hattest, sichert die Erweiterung sie und verkettet sie — deine ursprüngliche Anzeige läuft weiter, die Werbung legt sich obendrauf, und die Wiederherstellung ist sauber. Das ist gutes Engineering, aufgebaut auf offiziellen Funktionen.
Der fragile Weg: Anthropics Erweiterung patchen
Für das Panel in VS Code und Cursor modifiziert Kickbacks jedoch direkt das Bundle von Anthropics offizieller Erweiterung. Byte-genaues Backup der Originaldatei, Lokalisierung des Verben-Arrays im minifizierten Code, Einschleusen eines Blocks, der die Anzeige im Spinner rendert. Und vor allem: Das Webview von Claude Code wird mit einer strikten Content Security Policy ausgeliefert, die jede Netzwerkverbindung verbietet. Damit seine Anzeige mit seinem lokalen Telemetrie-Server sprechen kann, lockert Kickbacks diese CSP — und die Kommentare ihrer eigenen Entwickler geben zu, dass die Lockerung selbst nach der Deaktivierung der Erweiterung bestehen bleibt. Wirklich entfernt wird sie erst bei ausdrücklicher Deinstallation.
Das Zählsystem ist ebenfalls überraschend sorgfältig: Ein lokaler Server empfängt Impressions- und Sichtbarkeitsereignisse, eine Anzeige muss mindestens 5 Sekunden auf dem Bildschirm bleiben, um gutgeschrieben zu werden, und ein Inaktivitätsdetektor überwacht den Änderungszeitpunkt der Transkript-Datei von Claude Code — 90 Sekunden ohne Schreibvorgang, und die Zählung stoppt. Ein Watchdog unterscheidet sogar zwischen „der Nutzer arbeitet, aber unsere Anzeigen werden nicht mehr gerendert" (Selbstheilung) und „der Nutzer ist zu Mittag essen" (nichts tun). Wir haben Series-A-finanzierte Produkte mit weniger gründlicher Telemetrie gesehen.
Die drei Probleme, die die Security nie verzeiht
1. Eine Sicherheitsbarriere dauerhaft schwächen. Die CSP eines fremden Produkts zu lockern und gelockert zu lassen, auch nach der Deaktivierung, schwächt einen Schutz, den Anthropic für seine Nutzer entworfen hat — ohne deren informierte Zustimmung.
2. Unsignierte Auto-Updates alle 90 Sekunden. Die Erweiterung fragt alle 90 Sekunden einen Update-Server ab und kann Updates außerhalb des Marketplace installieren, ohne Signaturprüfung. Das war der dominierende Punkt in den Hacker-News-Diskussionen: Wird dieser Server kompromittiert, wird er zu einem Kanal für die Verteilung von Malware an die gesamte installierte Basis. Ein Lehrbuch-Supply-Chain-Risiko, bewusst geschaffen, um mit dem unerbittlichen Release-Tempo von Claude Code Schritt zu halten.
3. Das Produkt eines anderen Anbieters ohne Erlaubnis verändern. Eine Grauzone in Bezug auf die Marketplace-Regeln von Microsoft und eine direkte Angriffsfläche gegenüber Anthropics Nutzungsbedingungen. Der Code ist schreibgeschützt unter einer proprietären ShiftKeys-Lizenz mit Anti-Reverse-Engineering-Klauseln veröffentlicht — source-available, nicht Open Source.
Die Resonanz: viral auf X, ein Flop auf Hacker News
Die Geografie des Hypes ist aufschlussreich, denn sie widerspricht der Intuition.
| Kanal | Ergebnis (erste 48 Stunden) |
|---|---|
| Ankündigungs-Tweet | 5.527.308 Aufrufe, 11.623 Likes, 707 Quote-Tweets |
| Haupt-HN-Thread | 15 Punkte, 7 Kommentare |
| Zweiter HN-Thread | 14 Punkte, 2 Kommentare |
| Offizieller „Show HN" | 2 Punkte, 0 Kommentare |
| GitHub-Repo | ~160 Sterne, nie getrendet |
Fünfeinhalb Millionen Aufrufe auf der einen Seite; ein Show HN mit zwei Punkten auf der anderen. Das breite Tech-Publikum liebt das Spektakel; die Community, die die Erweiterung tatsächlich installieren würde, blieb kühl — und wenn sie sprach, dann um auf das unsignierte Auto-Update hinzuweisen. Über das Produkt wird weit über den Kreis seiner potenziellen Nutzer hinaus geredet. Das ist McCalips Markenzeichen seit LK-99.
Zwei Wettbewerber in 48 Stunden — einer betreibt Astroturfing für sich selbst
Die Nische füllte sich in Rekordzeit. IdleAds.dev, am 12. Juni auf Hacker News von einem Gründer gestartet, der sich als „Abhi" vorstellt, verspricht eine Umsatzbeteiligung von 70 % (mit dem erklärten Ziel von 90 %) und beansprucht einen technisch saubereren Ansatz: serverseitige Impression-Verifikation, kein Patchen des Editors. Sein Start brachte 1 Punkt auf HN. Das köstliche Detail: Der Kommentar „try IdleAds.dev, it pays 70%", gepostet im Kickbacks-Thread, kam vom selben Benutzernamen wie der Gründer — der seine Verbindung nicht offengelegt hatte. Astroturfing aus erster Hand, in einem Markt, der 24 Stunden alt ist.
Idlen (idlen.io) spielt ein anderes Spiel: ein vollständig anonymes Team, aber eine deutlich breitere Oberfläche — Erweiterungen für VS Code, Cursor und Windsurf, plus Browser-Erweiterungen, die ChatGPT, Claude, Perplexity und Gemini ins Visier nehmen, mit echten Installationslinks auf den Marketplaces. Eine bemerkenswerte Sache: Um die Werbung auszurichten, liest Idlen die Abhängigkeitsdateien deiner Projekte. Wenn ein anonymes Produkt diese Zugriffsebene auf deinen Workspace verlangt, ändert die Vertrauensfrage ihre Form.
Der Präzedenzfall, der alles sagt: npm, August 2019
Diese Geschichte hat es schon einmal gegeben, fast Takt für Takt. Am 19. August 2019 startete Feross Aboukhadijeh — der angesehene Maintainer von StandardJS — still und leise funding: ein Paket, das bei jeder Installation eine Sponsorbotschaft im Terminal ausgab. Zwei Sponsoren, Linode und LogRocket. Kein Tracking, leicht zu stummschalten. Das Ziel: die Finanzierung von Open Source.
Der Gegenwind war sofort und brutal. „Adware is malware, categorically" (Adware ist Malware, kategorisch), hieß es auf Hacker News. Die Befürchtung: dass „npm install zu einer langen Spur von Banner-Werbung würde". Zwei dedizierte Werbeblocker wurden binnen einer Woche gebaut. Linode zog seine Anzeige unter Druck zurück. Nach etwa einer Woche legte Feross das Ganze still — Gesamterlös: etwa 2.000 $. Ende August entschied npm Inc einseitig: Pakete, die Werbung anzeigen, wurden von der Plattform verbannt. Und im November lieferte npm seine eigene offizielle Alternative aus, den Befehl npm fund.
Das prophetische Zitat stammt aus dem August 2019, und es ist Feross' eigenes: „terminal ads seem like they have a limited lifetime" (Terminal-Werbung scheint eine begrenzte Lebensdauer zu haben) — denn die Plattform kann den Kanal schließen, wann immer sie will. Sieben Jahre später spielt Kickbacks dasselbe Drehbuch neu, auf derselben Bühne, mit einem noch mächtigeren Vermieter.
Anthropic: das Fenster steht weit offen — aber der Vermieter hat bereits Nein gesagt
Das ist das zentrale Paradox des Falls, und es ist auf beiden Seiten dokumentiert.
Auf der einen Seite keine sichtbare Gegenmaßnahme. Stand 12. Juni 2026 (Claude Code v2.1.175) erwähnt das offizielle Changelog keine Werbung, keine Spinner-Einschränkung, kein Webview-Hardening. Mehr noch: Anthropic pflegt aktiv genau die Oberflächen, die Kickbacks ausnutzt — ein Fix vom Mai 2026 reparierte die Einstellung spinnerVerbs, und die Statusleiste gewinnt weiter an Funktionen. Das Fenster ist nicht angelehnt: Es steht weit offen, und der Eigentümer streicht gerade den Rahmen neu.
Auf der anderen Seite Doktrin und Präzedenzfall. Im Februar 2026 fuhr Anthropic eine Super-Bowl-Kampagne, deren Slogan keinen Interpretationsspielraum lässt: „Ads are coming to AI. But not to Claude." — untermauert von einer offiziellen Position: ein Geschäftsmodell auf Basis von Abonnements und Unternehmensverträgen, und Werbung in KI-Gesprächen als „unpassend" eingestuft. Das Timing von Kickbacks antwortet auf das von OpenAI, das seit Januar Werbung in ChatGPT testet. Und bei der Durchsetzung existiert der Präzedenzfall: Im selben Februar entfernte die Drittanbieter-Hülle OpenCode die Unterstützung für Claude-Accounts in einem Commit, der ausdrücklich „anthropic legal requests" (juristische Anfragen von Anthropic) anführte. Wenn Anthropic eine Tür in seinem Ökosystem schließen will, schiebt es kein Update — es schickt einen Brief.
Das echte Risiko für Kickbacks ist daher nicht der technische Nerf, das Release-Rennen, in das sein Webview-Weg bereits eingetreten ist. Es ist der Tag, an dem Anthropic entscheidet, es entweder zu verbieten — oder, im grausameren Szenario, den Slot selbst zu verkaufen, so wie npm auf Terminal-Werbung antwortete, indem es npm fund auslieferte. Ein Produkt, das auf fremdem Grund gebaut ist, ohne Pachtvertrag, kann seine Kündigungsfrist nie verhandeln.
Unsere Einordnung: vier Lehren jenseits der Anekdote
Was folgt, ist unsere Analyse.
1. Ausführungsgeschwindigkeit ist zum Standard-Wettbewerbsvorteil geworden. Kickbacks verwandelte eine triviale Beobachtung — Millionen Entwickler starren auf einen Spinner — in wenigen Wochen in einen funktionierenden Markt mit Orderbuch, und seine Klone kamen binnen 48 Stunden. In der Ökonomie der KI-Tools wird das Fenster zwischen „offensichtlicher Idee" und „gesättigter Nische" in Tagen gemessen. Wer auf Gewissheit wartet, kommt nach den Astroturfern an.
2. Reichweite validiert das Produkt nicht. 5,5 Millionen Aufrufe und 160 GitHub-Sterne erzählen zwei unvereinbare Geschichten. Hype misst die Qualität des Spektakels, nicht die Akzeptanz. Für ein Webprojekt oder ein digitales Angebot ist die einzige Zahl, die zählt, die der Nutzer, die installieren, zurückkehren und zahlen — alles andere ist organische Reichweite zu einem polarisierenden Thema.
3. Baue deinen Kernwert niemals auf einer Oberfläche, die du nicht kontrollierst. Das ist die Lehre von npm 2019, die Lehre von OpenCode, und es wird wahrscheinlich die Lehre von Kickbacks sein. Eine opportunistische Integration kann ein hervorragender Akquisitionskanal sein; als Fundament ist sie eine Katastrophe. Wenn wir eine digitale Präsenz gestalten — Website, Conversion-Funnel, Content — bauen wir sie auf eigenen Assets auf: deine Domain, dein Publikum, deine Daten. Plattformen sind zum Durchqueren da, nicht zum Bewohnen.
4. Werbung ist ein Handwerk, und Kontext ist König. Setzen wir für einen Moment die Brille des Werbetreibenden auf: Der Spinner von Claude Code bietet enorme Aufmerksamkeit, aber null Kaufabsicht. Der Entwickler, der auf diese Zeile starrt, wartet darauf, dass eine Generierung fertig wird — er sucht nicht nach einem Anbieter; die Impression widerfährt ihm. Das ist das exakte Gegenteil der Kanäle, die wir täglich für unsere Kunden betreiben: Eine Google-Ads-Kampagne erfasst die geäußerte Kaufabsicht genau in dem Moment, in dem sie in einer Suche ausgedrückt wird, eine Social-Ads-Kampagne baut und adressiert ein Publikum mit durchgängigem Conversion-Tracking. Bevor du einen Euro auf exotischen Bestand setzt, nur weil er gerade im Trend liegt, stelle die drei Fragen, die alles entscheiden: Wer schaut zu, in welcher Geisteshaltung, und was wird danach gemessen?
Wir stehen auf beiden Seiten dieser Geschichte: Wir bauen digitale Präsenzen auf Assets, die dir gehören, und wir konzipieren und betreiben Werbekampagnen, die sich auszahlen, weil sie am richtigen Ort sitzen, vor dem richtigen Publikum, mit sauberer Messung des Ertrags. Willst du einschätzen, wie stark dein Projekt von einer Drittanbieter-Plattform abhängt — oder eine Kampagne starten, die auf Kaufabsicht statt auf Spektakel setzt? Erzähl uns von deiner Situation: Wir antworten innerhalb von 48 Stunden mit einer konkreten Einschätzung.
