Terwijl Claude Code werkt, toont het een klein geanimeerd regeltje — "Baking…", "Discombobulating…" — waar honderdduizenden ontwikkelaars elke dag urenlang naar staren. Andrew McCalip keek naar dat regeltje en zag een leeg reclamebord. Op 11 juni 2026 lanceerde hij Kickbacks: een extensie die de spinner veilt, een gesponsorde regel toont in plaats van de wachtwerkwoorden en 50% van de inkomsten uitkeert aan de ontwikkelaar die ernaar kijkt. De slogan: "Get paid for waiting."
De lanceringstweet ging in 24 uur over de 5,5 miljoen weergaven. Binnen 48 uur doken er twee concurrenten op. En toch rust het hele bouwwerk op een feit dat niemand kan negeren: Kickbacks is gebouwd op het terrein van Anthropic, zonder huurcontract — vier maanden nadat Anthropic een Super Bowl-campagne betaalde met de boodschap "Ads are coming to AI. But not to Claude."
We lazen de bundel van de extensie regel voor regel — niet het persbericht. Hier is wat er werkelijk in zit, wat het waard is en waarom dit verhaal de beste casestudy van 2026 is over opportunistische producten.
De oprichter: een bouwer die weet hoe je ruis fabriceert
Andrew McCalip is geen onbekende. In augustus 2023 werd deze engineer bij Varda Space Industries (productie in een baan om de aarde) internetberoemd door de eerste Amerikaanse replicatie te proberen van LK-99, de vermeende Koreaanse supergeleider op kamertemperatuur — synthese live gestreamd op Twitch, voortgang gedocumenteerd op Twitter, een zwevend monster opgestuurd naar USC voor analyse. De replicatie werd nooit bevestigd, maar het personage was gelanceerd: een profiel van "engineering als content", in staat om een technisch project in een paar dagen om te toveren tot een wereldwijde feuilleton.
Sindsdien: Project Bob (een autonome dronesloep van ruim vier meter die de wereld probeert rond te varen via Starlink, nog steeds onderweg) en ShiftKeys, Inc. — het bedrijf achter een AI-assistent op OS-niveau die wordt geactiveerd door beide Shift-toetsen in te drukken, en de juridische entiteit waaronder Kickbacks valt. Een veelzeggend detail: bij de lancering vermeldde de persoonlijke site van McCalip zeven projecten… en Kickbacks zat daar niet bij. Hij diende geen enkele van de Hacker News-threads zelf in en reageerde er nooit in. Het officiële kanaal is zijn persoonlijke X-account. Kickbacks lijkt minder op een bedrijfsproduct dan op een zet — snel, brutaal, perfect getimed.
De pitch: wachttijd omzetten in advertentievoorraad
De landingspagina van Kickbacks bij de lancering — schermafbeelding gemaakt op 13 juni 2026, kickbacks.ai
Het aangekondigde model is eenvoudig. Adverteerders bieden op de plek via een open orderboek. De verkoopeenheid is een "block" van 1.000 weergaven van vijf seconden. De gebruiker die de advertenties toont, houdt 50% van de inkomsten, gecrediteerd per weergave en per klik — waarbij een klik 50 weergaven waard is. Uurlimieten en daglimieten begrenzen de verdiensten, en een remote kill switch kan de hele vloot stilleggen.
De werkelijkheid bij de lancering is bescheidener, en dat doet ertoe: op 12 juni waren uitbetalingen niet opengesteld (de Stripe Connect-integratie was "bijna klaar", zonder datum), en er waren geen echte adverteerders — de zichtbare advertentie, Firecrawl, is een eigen plaatshouder om de voorraad op gang te brengen. Verdiensten lopen op een teller op, maar kunnen niet worden opgenomen. Eerste testverslag op Hacker News: ongeveer 3 uur gebruik, 407 weergaven, $4,43. Een andere gebruiker claimt $10 in 2 uur — zelfgerapporteerde cijfers, met de nodige korrel zout te nemen, tegenover een Claude-abonnement dat $200 per maand kan kosten.
Eén signaal uit het ecosysteem verdient toch aandacht: minder dan 30 uur na de lancering had een externe ontwikkelaar al een dataterminal gebouwd voor advertentiekopers — orderboek volgen, blokverbruik, biedprijzen tegen het volumegewogen gemiddelde. Zijn (niet-geverifieerde) cijfers: ruwweg 943 weergaven per minuut, hoogste bod op $111, ondergrens op $31. Wanneer er binnen een dag speculatieve tooling rond jouw markt verschijnt, bestaat de markt — op zijn minst als object van nieuwsgierigheid.
Onder de motorkap: wat de code zegt
We hebben de bundel van de extensie gedecompileerd en gelezen. Eerste amusante vondst: het product heette Vibe Ads vóór de rebranding. De code draagt die naam nog overal — bestanden opgeslagen onder ~/.vibe-ads/, /* VIBE-ADS-START */-markeringen, interne commando's met het voorvoegsel vibe-ads.*.
Technisch valt de extensie twee oppervlakken aan van zeer ongelijke stevigheid.
De solide route: de terminal, via de officiële instellingen
Voor de CLI knoeit Kickbacks met niets: het bewerkt je ~/.claude/settings.json om twee velden te injecteren die door Anthropic gedocumenteerd zijn. spinnerVerbs vervangt de spinnerwerkwoorden door de gesponsorde regel. statusLine verwijst naar een script dat de klikbare advertentie in de statusbalk weergeeft. Een werkelijk fraaie ingreep: als je al een aangepaste statusregel had, slaat de extensie die op en ketent ze aan elkaar — je oorspronkelijke weergave blijft draaien, de advertentie komt erbovenop, en het herstel is netjes. Dit is goed engineeringwerk, gebouwd op officiële functies.
De broze route: de extensie van Anthropic patchen
Voor het VS Code- en Cursor-paneel wijzigt Kickbacks echter rechtstreeks de bundel van de officiële extensie van Anthropic. Byte-exacte back-up van het originele bestand, de array van werkwoorden lokaliseren in de geminificeerde code, een blok injecteren dat de advertentie in de spinner weergeeft. En vooral: de webview van Claude Code wordt geleverd met een strikt Content Security Policy dat elke netwerkverbinding verbiedt. Om zijn advertentie te laten praten met de lokale telemetrieserver versoepelt Kickbacks dat CSP — en de commentaren van hun eigen ontwikkelaars geven toe dat de versoepeling van kracht blijft, zelfs nadat de extensie is gedeactiveerd. Pas bij een expliciete verwijdering wordt ze echt teruggedraaid.
Het telsysteem is ook verrassend zorgvuldig: een lokale server ontvangt weergave- en zichtbaarheidsgebeurtenissen, een advertentie moet minstens 5 seconden in beeld blijven om gecrediteerd te worden, en een inactiviteitsdetector bewaakt de wijzigingstijd van het transcriptbestand van Claude Code — 90 seconden zonder schrijfactie en het tellen stopt. Een watchdog onderscheidt zelfs "de gebruiker werkt maar onze advertenties worden niet meer weergegeven" (zelfherstel) van "de gebruiker is gaan lunchen" (niets doen). We hebben Series A-gefinancierde producten gezien met minder rigoureuze telemetrie.
De drie problemen die de security nooit vergeeft
1. Een veiligheidsbarrière permanent verzwakken. Het CSP van het product van een derde versoepelen, en versoepeld laten na deactivatie, verzwakt een bescherming die Anthropic voor zijn gebruikers heeft ontworpen — zonder hun geïnformeerde toestemming.
2. Niet-ondertekende automatische update om de 90 seconden. De extensie pollt elke 90 seconden een updateserver en kan updates installeren buiten de marketplace om, zonder verificatie van een handtekening. Dit was het dominante punt in de discussies op Hacker News: als die server wordt gecompromitteerd, wordt hij een distributiekanaal voor malware naar de hele geïnstalleerde basis. Een schoolvoorbeeld van supply-chain-risico, doelbewust gecreëerd om het meedogenloze releasetempo van Claude Code bij te kunnen houden.
3. Het product van een andere leverancier wijzigen zonder toestemming. Een grijze zone ten opzichte van de marketplace-regels van Microsoft, en directe blootstelling aan de gebruiksvoorwaarden van Anthropic. De code is alleen-lezen gepubliceerd onder een propriëtaire ShiftKeys-licentie met anti-reverse-engineering-clausules — source-available, geen open source.
De ontvangst: viraal op X, een flop op Hacker News
De geografie van de buzz is leerzaam, want ze spreekt de intuïtie tegen.
| Kanaal | Resultaat (eerste 48 uur) |
|---|---|
| Lanceringstweet | 5.527.308 weergaven, 11.623 likes, 707 quote-tweets |
| Hoofd-HN-thread | 15 punten, 7 reacties |
| Tweede HN-thread | 14 punten, 2 reacties |
| Officiële "Show HN" | 2 punten, 0 reacties |
| GitHub-repo | ~160 sterren, nooit trending |
Vijf en een half miljoen weergaven aan de ene kant; een Show HN van twee punten aan de andere. Het brede techpubliek houdt van het spektakel; de gemeenschap die de extensie daadwerkelijk zou installeren, bleef koud — en toen ze sprak, was het om te wijzen op de niet-ondertekende automatische update. Er wordt over het product gepraat ver buiten de kring van potentiële gebruikers. Dat is McCalips handtekening sinds LK-99.
Twee concurrenten in 48 uur — een ervan astroturft zichzelf
De niche vulde zich in recordtempo. IdleAds.dev, op 12 juni gelanceerd op Hacker News door een oprichter die zich voorstelt als "Abhi", belooft een omzetdeling van 70% (met een gestelde doelstelling van 90%) en claimt een technisch zuiverdere aanpak: server-side weergaveverificatie, geen patchen van de editor. De lancering kreeg 1 punt op HN. Het smakelijke detail: de reactie "try IdleAds.dev, it pays 70%", geplaatst in de Kickbacks-thread, kwam van dezelfde gebruikersnaam als de oprichter — die zijn verbondenheid niet had vermeld. Astroturfing van de eerste graad, in een markt van 24 uur oud.
Idlen (idlen.io) speelt een ander spel: een volledig anoniem team, maar een veel breder oppervlak — extensies voor VS Code, Cursor en Windsurf, plus browserextensies gericht op ChatGPT, Claude, Perplexity en Gemini, met echte installatielinks op de marketplaces. Eén ding is het vermelden waard: om advertenties te richten, leest Idlen de dependency-bestanden van jouw projecten. Wanneer een anoniem product om dat niveau van toegang tot je werkruimte vraagt, verandert de vertrouwensvraag van vorm.
Het precedent dat alles zegt: npm, augustus 2019
Dit verhaal is al eens gebeurd, bijna maat voor maat. Op 19 augustus 2019 lanceerde Feross Aboukhadijeh — de gerespecteerde maintainer van StandardJS — stilletjes funding: een package dat bij elke installatie een sponsorboodschap in de terminal afdrukte. Twee sponsors, Linode en LogRocket. Geen tracking, makkelijk het zwijgen op te leggen. Het doel: open source financieren.
De tegenreactie was onmiddellijk en hard. "Adware is malware, categorisch", klonk het op Hacker News. De angst: dat "npm install een lang spoor van bannerreclame zou worden". Binnen de week werden twee toegewijde adblockers gebouwd. Linode trok zijn advertentie onder druk terug. Na ongeveer een week zette Feross het hele ding stop — totaal opgehaald: ongeveer $2.000. Tegen het einde van augustus besliste npm Inc unilateraal: packages die advertenties tonen, werden verboden op het platform. En in november leverde npm zijn eigen officiële alternatief, het commando npm fund.
De profetische uitspraak dateert van augustus 2019, en ze is van Feross zelf: "terminal ads seem like they have a limited lifetime" — omdat het platform het kanaal kan sluiten wanneer het wil. Zeven jaar later speelt Kickbacks hetzelfde scenario opnieuw af, op hetzelfde podium, met een nog machtigere landeigenaar.
Anthropic: het venster staat wijd open — maar de landeigenaar zei al nee
Dit is de centrale paradox van de zaak, en hij is aan beide kanten gedocumenteerd.
Aan de ene kant geen zichtbare tegenmaatregel. Op 12 juni 2026 (Claude Code v2.1.175) vermeldt de officiële changelog geen advertenties, geen spinnerbeperking, geen webview-versteviging. Sterker nog: Anthropic onderhoudt actief net die oppervlakken die Kickbacks uitbuit — een fix van mei 2026 herstelde de spinnerVerbs-instelling, en de statusregel blijft mogelijkheden krijgen. Het venster staat niet op een kier: het staat wijd open, en de eigenaar schildert het kozijn opnieuw.
Aan de andere kant doctrine en precedent. In februari 2026 voerde Anthropic een Super Bowl-campagne waarvan de slogan geen ruimte voor interpretatie laat: "Ads are coming to AI. But not to Claude." — ondersteund door een officieel standpunt: een verdienmodel gebouwd op abonnementen en bedrijfscontracten, en advertenties in AI-gesprekken die als "incongruent" worden bestempeld. De timing van Kickbacks antwoordt op die van OpenAI, dat sinds januari advertenties in ChatGPT testte. En wat handhaving betreft, bestaat het precedent: diezelfde februari verwijderde de externe harness OpenCode de ondersteuning voor Claude-accounts in een commit die expliciet "anthropic legal requests" aanhaalde. Wanneer Anthropic een deur in zijn ecosysteem wil sluiten, pusht het geen update — het stuurt een brief.
Het echte risico voor Kickbacks is dus niet de technische nerf, de releaserace die zijn webview-route al is ingegaan. Het is de dag waarop Anthropic besluit het ofwel te verbieden — ofwel, het wredere scenario, die plek zelf te verkopen, zoals npm op terminaladvertenties antwoordde door npm fund te leveren. Een product gebouwd op andermans grond, zonder huurcontract, krijgt nooit de kans om zijn opzegtermijn te onderhandelen.
Onze visie: vier lessen voorbij de anekdote
Wat volgt is onze analyse.
1. Uitvoeringssnelheid is het standaard concurrentievoordeel geworden. Kickbacks veranderde een triviale waarneming — miljoenen ontwikkelaars staren naar een spinner — in een functionerende markt met een orderboek, in een paar weken, en zijn klonen kwamen binnen 48 uur. In de economie van AI-tooling wordt het venster tussen "voor de hand liggend idee" en "verzadigde niche" in dagen gemeten. Als je op zekerheid wacht, kom je na de astroturfers aan.
2. Distributie valideert het product niet. 5,5 miljoen weergaven en 160 GitHub-sterren vertellen twee onverenigbare verhalen. Buzz meet de kwaliteit van het spektakel, niet de adoptie. Voor een webproject of een digitaal aanbod is het enige cijfer dat telt: gebruikers die installeren, terugkeren en betalen — al de rest is organisch bereik op een polariserend onderwerp.
3. Bouw je kernwaarde nooit op een oppervlak dat je niet beheert. Dat is de npm-les van 2019, de OpenCode-les, en het zal waarschijnlijk de Kickbacks-les zijn. Een opportunistische integratie kan een uitstekend acquisitiekanaal zijn; als fundament is ze een ramp. Wanneer we een digitale aanwezigheid ontwerpen — site, conversiefunnel, content — bouwen we ze op eigen activa: jouw domein, jouw publiek, jouw data. Platformen zijn er om door te steken, niet om in te wonen.
4. Reclame is een vak, en context is koning. Zet even de pet van de adverteerder op: de spinner van Claude Code biedt enorme aandacht maar nul intentie. De ontwikkelaar die naar dat regeltje staart, wacht tot een generatie klaar is — hij is niet op zoek naar een leverancier; de weergave overkomt hem. Dat is het exacte tegenovergestelde van de kanalen die we dagelijks voor onze klanten beheren: een Google Ads-campagne vangt geuite intentie op het precieze moment dat ze in een zoekopdracht wordt uitgesproken, een Social Ads-campagne bouwt en richt een publiek op met conversietracking van begin tot eind. Voordat je een euro op exotische voorraad zet omdat ze trending is, stel de drie vragen die alles bepalen: wie kijkt, in welke gemoedstoestand, en wat wordt er daarna gemeten?
We staan aan beide kanten van dit verhaal: we bouwen digitale aanwezigheden op activa die jij bezit, en we ontwerpen en beheren reclamecampagnes die renderen omdat ze op de juiste plek zitten, voor het juiste publiek, met zuivere meting van het rendement. Wil je beoordelen hoe sterk jouw project afhangt van een platform van een derde — of een campagne lanceren die op intentie berust in plaats van op spektakel? Vertel ons over je situatie: we antwoorden binnen 48 uur met een concrete inschatting.
