---
title: "KI-Coding-Agents 2026: Claude Code vs Codex vs opencode"
description: "Ein anbieterneutraler Vergleich der drei KI-Coding-Agents, die 2026 zählen — Claude Code, Codex und opencode: wie die Agent-Schleife funktioniert, wofür jeder passt, eine Entscheidungstabelle und wie man sie betreibt, ohne die Schlüssel abzugeben."
author: Aleksei Aleinikov
date: 2026-07-14
lang: de
tags: [ai-coding-agents, claude-code, codex, opencode, agentic-coding, developer-tools, llm]
canonical: https://www.alekseialeinikov.com/de/blog/topics/ai/ki-coding-agents-2026-claude-code-vs-codex-vs-opencode
source: alekseialeinikov.com
---

# KI-Coding-Agents 2026: Claude Code vs Codex vs opencode

Vor zwei Jahren bedeutete KI im Editor Autocomplete: Sie erriet die nächste Zeile, und du drücktest Tab. 2026 bedeutet sie etwas kategorisch anderes — einen **Agent**, der dein Repo liest, Dateien darüber hinweg ändert, deine Tests ausführt, die Fehler liest und es erneut versucht, alles aus einer einzigen Anweisung. Das Werkzeug hörte auf vorzuschlagen und fing an zu *handeln*.

Drei Namen dominieren diesen Wandel: **Claude Code**, **Codex** und **opencode**. In einer Demo sehen sie ähnlich aus und werden als Rivalen vermarktet, aber sie setzen auf wirklich unterschiedliche Wetten bei Lock-in, Kontrolle und Offenheit. Das hier ist ein anbieterneutraler Leitfaden dazu, was sie wirklich sind, wie das Ding unter allen funktioniert, und wie man eines wählt — und betreibt — ohne die Schlüssel zu deinem Codebestand abzugeben.

## Zuerst: Was ein Coding-Agent wirklich ist

Das Wort „Agent" wird locker verwendet, also fixieren wir es. Ein Coding-Agent ist nicht ein cleverer Prompt — er ist eine **Schleife**.

![Die Agent-Schleife: Dein Prompt geht ans Modell, das einen Schritt plant, Tools zum Lesen/Ändern von Dateien und Ausführen von Befehlen aufruft, das Ergebnis beobachtet und wiederholt, bis die Aufgabe erledigt ist und es dir einen Diff zeigt.](https://www.alekseialeinikov.com/blog/ai-coding-agents-loop-2026.webp)

Du gibst ein Ziel vor — *„füge JWT-Auth zur API hinzu."* Dann:

1. **Das Modell plant** den nächsten konkreten Schritt.
2. **Es handelt** — ruft Tools auf, um Dateien zu lesen, Code zu ändern, einen Befehl auszuführen, das Repo zu durchsuchen.
3. **Es beobachtet** das Ergebnis — Testausgabe, einen Stacktrace, den neuen Dateiinhalt.
4. **Es wiederholt** — führt das zurück und plant erneut, bis die Aufgabe wirklich erledigt ist.
5. **Es stoppt** und zeigt dir einen Diff zum Prüfen und Freigeben.

Diese Schleife ist die ganze Idee, und deshalb ist ein Agent zugleich mächtig und riskant: **zwischen deinem Prompt und dem Ergebnis handelt er eigenständig.** Autocomplete konnte nur vorschlagen; ein Agent ändert deine Dateien und führt deine Shell aus. Jedes Werkzeug unten ist eine andere Hülle um genau diese Schleife.

## Die drei, die zählen

**Claude Code** — Anthropics Agent. Er begann als Terminal-Tool und läuft heute über Terminal, IDE, Desktop-App und den Browser — inklusive verwalteter Cloud-Sitzungen, die lange Aufgaben parallel abarbeiten, auch wenn deine Maschine aus ist. Er ist an Claude-Modelle gebunden, Closed Source, MCP-nativ und fragt vor Änderungen und Befehlen um Erlaubnis. Wenn du Claude für Code bereits vertraust, ist er der ausgereifteste Weg, es handeln zu lassen.

**Codex** — OpenAIs Coding-Agent, und der, der die Schleife am weitesten treibt. Er läuft in zwei Modi: einem **Cloud-Agent**, der lange Aufgaben in einer isolierten, verwalteten Sandbox durcharbeitet — du kannst also mehrere Jobs auf einmal anstößen und weggehen — und einer **lokalen CLI** fürs Arbeiten direkt an der Tastatur. Er ist an OpenAIs Frontier-Modelle gebunden, die noch immer zu den stärksten bei echtem Code zählen, und sein Cloud-Agent ist ein ausgereifter, isolierter Ort, um lange Arbeit abzugeben. Die CLI ist offen; die Modelle und der verwaltete Dienst sind proprietär. Der Handel ist klar: du akzeptierst das OpenAI-Ökosystem und bekommst dafür eine der stärksten Modell-plus-Cloud-Kombinationen am Markt.

**opencode** — der Open-Source-Ausreißer. Ein Terminal-Agent, der **modellagnostisch** ist: Du richtest ihn auf den Anbieter, den du willst — Anthropic, OpenAI, Google oder ein lokales Modell — und der Agent selbst ist Open Source, sodass du ihn lesen, erweitern und selbst hosten kannst. Seine Wette lautet: *kein Lock-in und volle Auditierbarkeit*.

## Wo jeder sitzt

Streift man Branding ab, trennen sich die drei auf zwei Achsen: **wie offen sie sind** (closed vs Open Source) und **wie stark an einen Modell-Anbieter gebunden**. Beachte, was *keine* Achse mehr ist: wo es läuft. Sowohl Claude Code als auch Codex laufen inzwischen lokal *und* bieten eine verwaltete Cloud — das hörte auf, die Trennlinie zu sein.

![Positionierungsmatrix auf zwei Achsen — closed vs Open Source und an einen Anbieter gebunden vs beliebiges Modell. Claude Code und Codex sitzen zusammen in der closed, anbietergebundenen Ecke und laufen beide lokal und in einer verwalteten Cloud; opencode sitzt allein in der offenen Ecke mit beliebigem Modell.](https://www.alekseialeinikov.com/blog/ai-coding-agents-positioning-2026.webp)

Dieselbe Entscheidung als Tabelle:

| | **Claude Code** | **Codex** | **opencode** |
|---|---|---|---|
| **Anbieter** | Anthropic | OpenAI | Open Source (Community) |
| **Modelle** | Nur Claude | Nur OpenAI | Beliebig — bring dein eigenes |
| **Wo es läuft** | Lokal + verwaltete Cloud | Lokale CLI + verwaltete Cloud | Lokal / selbst gehostet |
| **Offenheit** | Closed | CLI offen, Dienst/Modell closed | Vollständig Open Source |
| **MCP-Support** | Nativ | Ja | Ja |
| **Auditierbarkeit** | Anbieter vertrauen | Anbieter vertrauen | Quellcode lesen |
| **Am besten für** | Tiefe Claude-Nutzer, ausgereift auf allen Oberflächen | Lange Aufgaben delegieren & parallelisieren, händefreie Cloud-Läufe | Lock-in vermeiden, lokal, selbst hosten |

Das Muster ist klar: Die beiden proprietären Agents clustern zusammen — ausgereift, modellgebunden, anbietervertrauensbasiert — und **opencode ist das bewusste Gegengewicht** für Teams, die Modell-Lock-in ablehnen oder auditieren müssen, was der Agent tut.

## Wie man wirklich wählt

Ignoriere die Demos; alle sehen zehn Minuten lang magisch aus. Wähle nach drei echten Einschränkungen:

- **Modell-Lock-in.** Willst du an eine Modellfamilie gebunden sein? Claude Code bindet dich an Claude, Codex an OpenAI. opencode lässt dich Modelle tauschen — inklusive eines lokalen Modells für sensiblen Code — ohne deinen Workflow zu ändern.
- **Wo es läuft.** Das trennte sie früher, aber nicht mehr: Sowohl Claude Code als auch Codex laufen lokal *und* bieten eine verwaltete Cloud, die lange, parallele Aufgaben abarbeitet, während du etwas anderes tust. opencode ist das lokale / selbst gehostete — gar keine Anbieter-Cloud, was genau der Punkt ist, wenn du alles auf deiner eigenen Infrastruktur brauchst. Wähle also nicht nach „lokal vs Cloud“, sondern danach, wessen Cloud du überhaupt Code anvertrauen willst.
- **Offenheit und Auditierbarkeit.** In einem regulierten oder sicherheitskritischen Umfeld ist „wir können genau lesen, was der Agent tut" kein Nice-to-have. Das ist opencodes Heimspiel; die proprietären Tools verlangen stattdessen Vertrauen in den Anbieter.

In der Praxis sind die Wechselkosten niedrig — die Schleife ist überall dieselbe — also ist es günstig und oft erhellend, zwei auszuprobieren. Wähle die Voreinstellung, die zu deinen Einschränkungen passt, nicht die mit dem besten Launch-Video.

## Handeln lassen, ohne von der Leine zu lassen

Hier der Teil, den die Demos überspringen. Ein Coding-Agent ist mechanisch **ein Programm, das deinen Quellcode ändert und Shell-Befehle in deinem Namen ausführt**. Das ist enorme Hebelwirkung und eine echte Angriffsfläche. Der Fehlerfall ist nicht ein dummes Modell — es ist ein *fähiges* und *unbeaufsichtigtes*.

![Vier Leitplanken: Berechtigungsabfragen vor Änderungen und Befehlen, Sandbox-Ausführung in Container oder VM, eingegrenzter Tool-/MCP-Zugriff mit Deny-by-default, und ein Mensch, der den Diff vor dem Merge prüft.](https://www.alekseialeinikov.com/blog/ai-coding-agents-governance-2026.webp)

Behandle jeden Agent wie einen neuen Junior-Entwickler, der irgendwie Root hat. Vier Leitplanken machen das sicher:

1. **Berechtigungsabfragen.** Genehmige Änderungen und Shell-Befehle *bevor* sie laufen, nicht danach. Alle drei unterstützen das — lass es an, besonders für alles, was das Netzwerk oder das Dateisystem außerhalb des Repos berührt.
2. **Sandbox-Ausführung.** Betreibe den Agent in einem Container oder einer microVM, nie direkt auf deinem Host oder nahe der Produktion. Führt er `rm -rf` oder das Postinstall einer vergifteten Abhängigkeit aus, sollte der Schadensradius eine Wegwerf-Sandbox sein. Zu den Isolations-Trade-offs siehe [MicroVMs 2026: Firecracker vs gVisor für sichere Workloads](https://www.alekseialeinikov.com/de/blog/topics/devops/microvms-firecracker-vs-gvisor-sichere-workloads-2026).
3. **Eingegrenzter Tool-Zugriff.** Die Macht eines Agents kommt aus den Tools, die er aufrufen kann. Erlaube sie per Allow-List — und erreicht er externe Tools über MCP, kontrolliere *welche* Server und *welche* Tools er berühren darf, deny-by-default. Genau dieses Pro-Tool-Berechtigungsproblem behandelt [Benutzerbezogene Zugriffskontrolle für MCP-Tools](https://www.alekseialeinikov.com/de/blog/topics/security/benutzerbezogene-zugriffskontrolle-mcp-tools-gateway-2026).
4. **Ein Mensch prüft den Diff.** Der Agent schlägt vor; du entscheidest. Lies die Änderung, bevor sie committet. In dem Moment, in dem du einen Agent unbeaufsichtigt mergen lässt, hast du Code-Review durch Glauben ersetzt.

Nichts davon ist exotisch — es ist Least-Privilege, angewandt auf eine sehr fähige neue Art von Prozess. Der Agent, der deinen Codebestand in einer Minute umschreiben kann, kann ihn auch in einer Minute kaputt machen; die Leitplanken verwandeln dieses Tempo in Hebelwirkung statt in ein Risiko.

## Die Feldregel

Die drei Agents sind sich ähnlicher, als ihr Marketing suggeriert: dieselbe Plan-Handeln-Beobachten-Schleife, anders verpackt — und die beiden proprietären, Claude Code und Codex, sind Beinahe-Zwillinge, die beide inzwischen lokal und in einer verwalteten Cloud laufen. Wähle also nach dem, was wirklich unterschiedlich ist — **Offenheit und Modell-Lock-in** — und betreibe das Gewählte wie einen mächtigen Junior: sandboxed, berechtigungsgesteuert, tool-eingegrenzt, und niemals mergend ohne einen Menschen am Knopf. Claude Code, wenn du in Claude lebst und das ausgereifteste Erlebnis willst; **Codex, wenn du OpenAIs Frontier-Modelle mit einem ausgereiften Cloud-Agent willst, an den du lange, parallele Arbeit übergibst**; opencode, wenn du Lock-in ablehnst und Open Source willst, den du kontrollierst. Willst du einfach einen starken Set-and-forget-Standard und störst dich nicht am OpenAI-Ökosystem, ist Codex die einfachste Wette. Bring zuerst die Leitplanken in Ordnung, und jeder der drei wird zur Hebelwirkung statt zum Glücksspiel.
