Vor zwei Jahren bedeutete KI im Editor Autocomplete: Sie erriet die nächste Zeile, und du drücktest Tab. 2026 bedeutet sie etwas kategorisch anderes — einen Agent, der dein Repo liest, Dateien darüber hinweg ändert, deine Tests ausführt, die Fehler liest und es erneut versucht, alles aus einer einzigen Anweisung. Das Werkzeug hörte auf vorzuschlagen und fing an zu handeln.
Drei Namen dominieren diesen Wandel: Claude Code, Codex und opencode. In einer Demo sehen sie ähnlich aus und werden als Rivalen vermarktet, aber sie setzen auf wirklich unterschiedliche Wetten bei Lock-in, Kontrolle und Offenheit. Das hier ist ein anbieterneutraler Leitfaden dazu, was sie wirklich sind, wie das Ding unter allen funktioniert, und wie man eines wählt — und betreibt — ohne die Schlüssel zu deinem Codebestand abzugeben.
Zuerst: Was ein Coding-Agent wirklich ist
Das Wort „Agent“ wird locker verwendet, also fixieren wir es. Ein Coding-Agent ist nicht ein cleverer Prompt — er ist eine Schleife.

Du gibst ein Ziel vor — „füge JWT-Auth zur API hinzu.“ Dann:
- Das Modell plant den nächsten konkreten Schritt.
- Es handelt — ruft Tools auf, um Dateien zu lesen, Code zu ändern, einen Befehl auszuführen, das Repo zu durchsuchen.
- Es beobachtet das Ergebnis — Testausgabe, einen Stacktrace, den neuen Dateiinhalt.
- Es wiederholt — führt das zurück und plant erneut, bis die Aufgabe wirklich erledigt ist.
- Es stoppt und zeigt dir einen Diff zum Prüfen und Freigeben.
Diese Schleife ist die ganze Idee, und deshalb ist ein Agent zugleich mächtig und riskant: zwischen deinem Prompt und dem Ergebnis handelt er eigenständig. Autocomplete konnte nur vorschlagen; ein Agent ändert deine Dateien und führt deine Shell aus. Jedes Werkzeug unten ist eine andere Hülle um genau diese Schleife.
Die drei, die zählen
Claude Code — Anthropics Agent. Er begann als Terminal-Tool und läuft heute über Terminal, IDE, Desktop-App und den Browser — inklusive verwalteter Cloud-Sitzungen, die lange Aufgaben parallel abarbeiten, auch wenn deine Maschine aus ist. Er ist an Claude-Modelle gebunden, Closed Source, MCP-nativ und fragt vor Änderungen und Befehlen um Erlaubnis. Wenn du Claude für Code bereits vertraust, ist er der ausgereifteste Weg, es handeln zu lassen.
Codex — OpenAIs Coding-Agent, und der, der die Schleife am weitesten treibt. Er läuft in zwei Modi: einem Cloud-Agent, der lange Aufgaben in einer isolierten, verwalteten Sandbox durcharbeitet — du kannst also mehrere Jobs auf einmal anstößen und weggehen — und einer lokalen CLI fürs Arbeiten direkt an der Tastatur. Er ist an OpenAIs Frontier-Modelle gebunden, die noch immer zu den stärksten bei echtem Code zählen, und sein Cloud-Agent ist ein ausgereifter, isolierter Ort, um lange Arbeit abzugeben. Die CLI ist offen; die Modelle und der verwaltete Dienst sind proprietär. Der Handel ist klar: du akzeptierst das OpenAI-Ökosystem und bekommst dafür eine der stärksten Modell-plus-Cloud-Kombinationen am Markt.
opencode — der Open-Source-Ausreißer. Ein Terminal-Agent, der modellagnostisch ist: Du richtest ihn auf den Anbieter, den du willst — Anthropic, OpenAI, Google oder ein lokales Modell — und der Agent selbst ist Open Source, sodass du ihn lesen, erweitern und selbst hosten kannst. Seine Wette lautet: kein Lock-in und volle Auditierbarkeit.
Wo jeder sitzt
Streift man Branding ab, trennen sich die drei auf zwei Achsen: wie offen sie sind (closed vs Open Source) und wie stark an einen Modell-Anbieter gebunden. Beachte, was keine Achse mehr ist: wo es läuft. Sowohl Claude Code als auch Codex laufen inzwischen lokal und bieten eine verwaltete Cloud — das hörte auf, die Trennlinie zu sein.

Dieselbe Entscheidung als Tabelle:
| Claude Code | Codex | opencode | |
|---|---|---|---|
| Anbieter | Anthropic | OpenAI | Open Source (Community) |
| Modelle | Nur Claude | Nur OpenAI | Beliebig — bring dein eigenes |
| Wo es läuft | Lokal + verwaltete Cloud | Lokale CLI + verwaltete Cloud | Lokal / selbst gehostet |
| Offenheit | Closed | CLI offen, Dienst/Modell closed | Vollständig Open Source |
| MCP-Support | Nativ | Ja | Ja |
| Auditierbarkeit | Anbieter vertrauen | Anbieter vertrauen | Quellcode lesen |
| Am besten für | Tiefe Claude-Nutzer, ausgereift auf allen Oberflächen | Lange Aufgaben delegieren & parallelisieren, händefreie Cloud-Läufe | Lock-in vermeiden, lokal, selbst hosten |
Das Muster ist klar: Die beiden proprietären Agents clustern zusammen — ausgereift, modellgebunden, anbietervertrauensbasiert — und opencode ist das bewusste Gegengewicht für Teams, die Modell-Lock-in ablehnen oder auditieren müssen, was der Agent tut.
Wie man wirklich wählt
Ignoriere die Demos; alle sehen zehn Minuten lang magisch aus. Wähle nach drei echten Einschränkungen:
- Modell-Lock-in. Willst du an eine Modellfamilie gebunden sein? Claude Code bindet dich an Claude, Codex an OpenAI. opencode lässt dich Modelle tauschen — inklusive eines lokalen Modells für sensiblen Code — ohne deinen Workflow zu ändern.
- Wo es läuft. Das trennte sie früher, aber nicht mehr: Sowohl Claude Code als auch Codex laufen lokal und bieten eine verwaltete Cloud, die lange, parallele Aufgaben abarbeitet, während du etwas anderes tust. opencode ist das lokale / selbst gehostete — gar keine Anbieter-Cloud, was genau der Punkt ist, wenn du alles auf deiner eigenen Infrastruktur brauchst. Wähle also nicht nach „lokal vs Cloud“, sondern danach, wessen Cloud du überhaupt Code anvertrauen willst.
- Offenheit und Auditierbarkeit. In einem regulierten oder sicherheitskritischen Umfeld ist „wir können genau lesen, was der Agent tut“ kein Nice-to-have. Das ist opencodes Heimspiel; die proprietären Tools verlangen stattdessen Vertrauen in den Anbieter.
In der Praxis sind die Wechselkosten niedrig — die Schleife ist überall dieselbe — also ist es günstig und oft erhellend, zwei auszuprobieren. Wähle die Voreinstellung, die zu deinen Einschränkungen passt, nicht die mit dem besten Launch-Video.
Handeln lassen, ohne von der Leine zu lassen
Hier der Teil, den die Demos überspringen. Ein Coding-Agent ist mechanisch ein Programm, das deinen Quellcode ändert und Shell-Befehle in deinem Namen ausführt. Das ist enorme Hebelwirkung und eine echte Angriffsfläche. Der Fehlerfall ist nicht ein dummes Modell — es ist ein fähiges und unbeaufsichtigtes.

Behandle jeden Agent wie einen neuen Junior-Entwickler, der irgendwie Root hat. Vier Leitplanken machen das sicher:
- Berechtigungsabfragen. Genehmige Änderungen und Shell-Befehle bevor sie laufen, nicht danach. Alle drei unterstützen das — lass es an, besonders für alles, was das Netzwerk oder das Dateisystem außerhalb des Repos berührt.
- Sandbox-Ausführung. Betreibe den Agent in einem Container oder einer microVM, nie direkt auf deinem Host oder nahe der Produktion. Führt er
rm -rfoder das Postinstall einer vergifteten Abhängigkeit aus, sollte der Schadensradius eine Wegwerf-Sandbox sein. Zu den Isolations-Trade-offs siehe MicroVMs 2026: Firecracker vs gVisor für sichere Workloads. - Eingegrenzter Tool-Zugriff. Die Macht eines Agents kommt aus den Tools, die er aufrufen kann. Erlaube sie per Allow-List — und erreicht er externe Tools über MCP, kontrolliere welche Server und welche Tools er berühren darf, deny-by-default. Genau dieses Pro-Tool-Berechtigungsproblem behandelt Benutzerbezogene Zugriffskontrolle für MCP-Tools.
- Ein Mensch prüft den Diff. Der Agent schlägt vor; du entscheidest. Lies die Änderung, bevor sie committet. In dem Moment, in dem du einen Agent unbeaufsichtigt mergen lässt, hast du Code-Review durch Glauben ersetzt.
Nichts davon ist exotisch — es ist Least-Privilege, angewandt auf eine sehr fähige neue Art von Prozess. Der Agent, der deinen Codebestand in einer Minute umschreiben kann, kann ihn auch in einer Minute kaputt machen; die Leitplanken verwandeln dieses Tempo in Hebelwirkung statt in ein Risiko.
Die Feldregel
Die drei Agents sind sich ähnlicher, als ihr Marketing suggeriert: dieselbe Plan-Handeln-Beobachten-Schleife, anders verpackt — und die beiden proprietären, Claude Code und Codex, sind Beinahe-Zwillinge, die beide inzwischen lokal und in einer verwalteten Cloud laufen. Wähle also nach dem, was wirklich unterschiedlich ist — Offenheit und Modell-Lock-in — und betreibe das Gewählte wie einen mächtigen Junior: sandboxed, berechtigungsgesteuert, tool-eingegrenzt, und niemals mergend ohne einen Menschen am Knopf. Claude Code, wenn du in Claude lebst und das ausgereifteste Erlebnis willst; Codex, wenn du OpenAIs Frontier-Modelle mit einem ausgereiften Cloud-Agent willst, an den du lange, parallele Arbeit übergibst; opencode, wenn du Lock-in ablehnst und Open Source willst, den du kontrollierst. Willst du einfach einen starken Set-and-forget-Standard und störst dich nicht am OpenAI-Ökosystem, ist Codex die einfachste Wette. Bring zuerst die Leitplanken in Ordnung, und jeder der drei wird zur Hebelwirkung statt zum Glücksspiel.




Aus der Community
Diskussion im Fediverse
Antworten von Mastodon und Bluesky — direkt aus dem offenen Netz, ohne Tracking.
Antworten werden geladen …
Noch keine Antworten. Starte die Diskussion:
Antworten konnten gerade nicht geladen werden.