Die Verwaltung von KI-Agenten bedeutet normalerweise den Kampf mit Terminal-Fenstern, SSH-Sitzungen und verstreuten Konfigurationsdateien. Office Claws ersetzt all das durch eine Desktop-App und ein Pixel-Art-Büro, in dem jeder Agent an seinem eigenen Schreibtisch sitzt und arbeitsbereit ist. Diese Anleitung führt Sie durch jeden Schritt des Einrichtungsprozesses — vom Herunterladen der App bis zum ersten Gespräch mit Ihrem Agenten.
Was Sie vor dem Start benötigen
Halten Sie Folgendes bereit, bevor Sie den Installer öffnen. Wenn alles vorbereitet ist, dauert die Einrichtung weniger als fünf Minuten.
Für alle Tarife erforderlich
- Ein API-Schlüssel eines KI-Anbieters. Office Claws unterstützt OpenAI (GPT-4o, GPT-4o-mini) und Anthropic (Claude Sonnet 4). Registrieren Sie sich auf der Website Ihres Anbieters und generieren Sie einen API-Schlüssel. Falls Sie unsicher sind, welchen Sie wählen sollen: GPT-4o ist eine solide Standardwahl für allgemeine Aufgaben, während Claude bei nuanciertem Denken und längerem Kontext glänzt.
- Ein Tailscale-Konto und ein Auth-Key. Tailscale erstellt das verschlüsselte Netzwerk zwischen Ihrem Desktop und dem VPS Ihres Agenten. Erstellen Sie ein kostenloses Tailscale-Konto unter tailscale.com und generieren Sie dann einen ephemeren Auth-Key in der Admin-Konsole unter Settings > Keys > Generate auth key. Aktivieren Sie das Kontrollkästchen „Ephemeral", damit der Schlüssel ungenutzte Knoten automatisch bereinigt.
- Einen Desktop-Computer mit macOS, Windows oder Linux.
Zusätzliche Anforderung für den Self-Hosted-Tarif
- Ein DigitalOcean-Konto und ein API-Token. Office Claws erstellt Droplets in Ihrem Konto, sodass Sie volle Transparenz und Kontrolle haben. Generieren Sie ein persönliches Zugriffstoken im DigitalOcean-Dashboard unter API > Tokens > Generate New Token. Vergeben Sie sowohl Lese- als auch Schreibberechtigungen.
Den richtigen Tarif wählen
Office Claws bietet zwei Tarife an. Beide enthalten die gleiche Desktop-App, das Pixel-Art-Büro, Echtzeit-Agenten-Chat und Multi-Agenten-Unterstützung. Der Unterschied liegt darin, wem die Infrastruktur gehört.
Self-Hosted — 4,99 $/Monat
Sie stellen ein DigitalOcean-Konto bereit. Office Claws provisioniert und verwaltet Droplets in Ihrem Namen, aber die Ressourcen verbleiben in Ihrem Cloud-Konto. Jeder zusätzliche Agent ist auf der Office Claws-Seite kostenlos — Sie zahlen nur direkt an DigitalOcean für die Rechenleistung.
Dieser Tarif eignet sich am besten für Entwickler, technische Teamleiter und alle, die volle Infrastrukturkontrolle wünschen oder drei oder mehr Agenten betreiben möchten.
Managed — 14,99 $/Monat
Office Claws übernimmt den VPS vollständig. Kein DigitalOcean-Konto erforderlich. Der Standardtarif umfasst 2 GB RAM, mit einer Performance-Option (4 GB RAM) für 29,99 $/Monat. Jeder zusätzliche Agent kostet 14,99 $/Monat.
Dieser Tarif eignet sich am besten für Produktmanager, nicht-technische Nutzer und alle, die Agenten betreiben möchten, ohne sich mit Cloud-Infrastruktur befassen zu müssen.
Early-Adopter-Preise
Die ersten 100 Nutzer erhalten reduzierte Preise, die für die gesamte Laufzeit ihres Abonnements gelten:
- Self-Hosted: 2,99 $/Monat (statt 4,99 $)
- Managed: 9,99 $/Monat (statt 14,99 $)
Schritt 1: Herunterladen und Installieren
Laden Sie Office Claws von der Homepage für Ihr Betriebssystem herunter. Die App wurde mit Wails entwickelt und läuft daher nativ — kein Electron, kein Browser-Overhead.
- macOS: Öffnen Sie die
.dmg-Datei und ziehen Sie Office Claws in Ihren Programme-Ordner. - Windows: Führen Sie den
.exe-Installer aus und folgen Sie den Anweisungen. - Linux: Entpacken Sie das
.tar.gz-Archiv und starten Sie die Binärdatei, oder verwenden Sie das.deb-Paket auf Debian-basierten Distributionen.
Starten Sie die App nach der Installation.
Schritt 2: Konto erstellen
Beim ersten Öffnen von Office Claws sehen Sie den Anmeldebildschirm. Klicken Sie auf Registrieren, um ein neues Konto zu erstellen. Geben Sie Ihre E-Mail-Adresse und ein Passwort ein. Nach der Registrierung werden Sie automatisch angemeldet.
Falls Sie bereits ein Konto haben, geben Sie Ihre Zugangsdaten ein und klicken Sie auf Anmelden.
Schritt 3: VPS konfigurieren (Onboarding-Schritt 1)
Nach der Anmeldung beginnt der Einrichtungsassistent. Der erste Schritt konfiguriert die Infrastruktur Ihres Agenten.
Wenn Sie Self-Hosted gewählt haben
Wählen Sie „Own your VPS" und geben Sie Ihr DigitalOcean-API-Token ein. Office Claws validiert das Token sofort und zeigt eine Bestätigung an. Ihr Token wird lokal auf Ihrem Gerät gespeichert und niemals an Office Claws-Server übermittelt.
Wenn Sie Managed gewählt haben
Wählen Sie „We provide the VPS" und Office Claws übernimmt die Infrastruktur für Sie. Keine Cloud-Zugangsdaten erforderlich — fahren Sie einfach mit dem nächsten Schritt fort.
Schritt 4: Agenten einrichten (Onboarding-Schritt 2)
Der zweite Schritt des Assistenten personalisiert Ihren Agenten. Konfigurieren Sie Folgendes:
Hauptziel
Wählen Sie, worauf sich Ihr Agent konzentrieren soll:
- Work Assistant — Ideal für Entwicklungsaufgaben, Code-Review, Texterstellung und Recherche.
- AI Researcher — Optimiert für tiefgehende Analysen, Dokumentzusammenfassungen und technische Erkundung.
- Just for Fun — Ein Gesprächspartner für Brainstorming und ungezwungene Unterhaltung.
Kommunikationsstil
Legen Sie den Ton Ihres Agenten fest:
- Friendly — Locker und zugänglich.
- Business — Professionell und prägnant.
- Creative — Ausdrucksstark und einfallsreich.
Name und Avatar
Geben Sie Ihrem Agenten einen Namen und wählen Sie einen der 12 verfügbaren Pixel-Art-Avatare. So erscheint der Agent in Ihrem Büro — am Schreibtisch sitzend, tippend, Kaffee holend oder auf der Couch entspannend.
Schlüssel verbinden
Geben Sie Ihren Tailscale-Auth-Key und Ihren KI-Anbieter-API-Schlüssel ein. Beide werden lokal auf Ihrem Gerät gespeichert. Der API-Schlüssel wird nur einmal während der Bereitstellung verwendet, um die Verbindung des Agenten zu Ihrem LLM-Anbieter zu konfigurieren — er wird direkt per SSH in den VPS injiziert und passiert niemals die Office Claws-Server.
Schritt 5: Agenten bereitstellen
Klicken Sie auf Create Agent, um die Bereitstellung zu starten. Office Claws zeigt einen Live-Fortschrittsbildschirm mit Echtzeit-Statusmeldungen, während es:
- Einen VPS erstellt (aus einem vorgefertigten Snapshot für schnellere Bereitstellung).
- Den VPS mit Ihrem Tailscale-Netzwerk verbindet.
- Die Agenten-Laufzeitumgebung mit Docker installiert.
- Die Verbindung zum KI-Anbieter konfiguriert.
Der gesamte Prozess dauert etwa 2 bis 3 Minuten. Office Claws nutzt Snapshot-basierte Bereitstellung — der VPS startet von einem vorkonfigurierten Image, anstatt alles von Grund auf zu installieren, was die Einrichtungszeit im Vergleich zu einer Standardinstallation um 90 % verkürzt.
Schritt 6: Mit Ihrem Agenten chatten
Sobald die Bereitstellung abgeschlossen ist, erscheint Ihr Agent an einem Schreibtisch im Pixel-Art-Büro. Klicken Sie auf den Agenten-Sprite, um das Chat-Panel auf der rechten Seite des Bildschirms zu öffnen.
Probieren Sie diese ersten Nachrichten, um Ihre Einrichtung zu testen:
- „Wobei kannst du mir helfen?"
- „Fasse dieses Dokument für mich zusammen: [Text einfügen]"
- „Überprüfe diesen Code auf Fehler: [Code einfügen]"
Ihr Agent antwortet in Echtzeit. Das Chat-Panel zeigt den gesamten Nachrichtenverlauf, sodass Sie Gespräche dort fortsetzen können, wo Sie aufgehört haben.
Das Pixel-Art-Büro verstehen
Das Büro ist mehr als eine optische Spielerei. Es gibt Ihnen einen Statusüberblick über alle Ihre Agenten auf einen Blick:
- Am Schreibtisch tippend — Der Agent verarbeitet aktiv Anfragen oder ist verfügbar.
- Kaffee holend — Der Agent befindet sich in einem kurzen Leerlaufzyklus.
- Auf dem Sofa ruhend — Der Agent befindet sich in einem längeren Ruhezustand.
- Im Offline-Bereich sitzend — Der VPS des Agenten ist nicht erreichbar.
Wenn Sie weitere Agenten hinzufügen, bekommt jeder einen Schreibtisch im Büro zugewiesen. Das Layout unterstützt bis zu sechs Schreibtische im Hauptraum, einen Schreibtisch im Nebenbüro und Sitzgelegenheiten in den Pausenbereichen.
So bleiben Ihre API-Schlüssel sicher
Sicherheit ist ein häufiges Anliegen beim Umgang mit KI-API-Schlüsseln. So handhabt Office Claws das Thema:
- Nur lokale Speicherung. Schlüssel werden auf Ihrem Gerät gespeichert, niemals auf Office Claws-Servern.
- Einmalige Injektion. Während der Bereitstellung wird der Schlüssel direkt über eine verschlüsselte SSH-Verbindung durch Ihr Tailscale-Netzwerk an den VPS gesendet.
- Budgetbegrenzte virtuelle Schlüssel. Auf dem VPS erstellt LiteLLM (ein Open-Source-Proxy) einen virtuellen Schlüssel mit Ausgabelimits. Der echte Schlüssel bleibt in der LiteLLM-Konfiguration gesperrt.
- Kein Mittelsmann. API-Anfragen gehen direkt vom VPS Ihres Agenten zum KI-Anbieter. Office Claws leitet keinen LLM-Datenverkehr weiter und inspiziert ihn nicht.
Was Office Claws automatisiert: Die manuelle Einrichtung, die Sie überspringen
Um den Wert der Ein-Klick-Bereitstellung zu verstehen, hilft es zu sehen, wie die manuelle Einrichtung eines sicheren KI-Agenten-VPS aussieht. Nachfolgend sind alle Schritte aufgeführt, die Office Claws automatisch im Hintergrund erledigt. Wenn Sie dies selbst durchführen würden, planen Sie 45 Minuten bis eine Stunde Terminal-Arbeit pro Server ein — vorausgesetzt, jeder Befehl funktioniert beim ersten Versuch.
Server erstellen und darauf zugreifen
Manuell würden Sie sich bei DigitalOcean (oder einem anderen Cloud-Anbieter) anmelden, ein Ubuntu 24.04 Droplet erstellen, auf den Start warten und sich als Root per SSH verbinden. Außerdem müssen Sie ein SSH-Schlüsselpaar generieren, den öffentlichen Schlüssel hochladen und die Verbindung bestätigen.
Einen Nicht-Root-Benutzer erstellen
Dienste als Root auszuführen ist ein Sicherheitsrisiko. Sie müssten einen dedizierten Benutzer erstellen, ihn zur sudo-Gruppe hinzufügen, Ihren öffentlichen SSH-Schlüssel in dessen authorized_keys-Datei kopieren und die korrekten Dateiberechtigungen setzen (700 für das .ssh-Verzeichnis, 600 für die Schlüsseldatei). Dann konfigurieren Sie passwortlosen sudo-Zugriff für bestimmte Befehle — Firewall, Tailscale und Docker — damit der Agenten-Prozess diese Dienste ohne volle Root-Privilegien verwalten kann.
SSH härten
Standardmäßig erlaubt SSH auf einem frischen Ubuntu-Server Root-Login und Passwort-Authentifizierung — beides sind häufige Angriffsvektoren. Sie müssen eine Härtungskonfiguration erstellen, die all dies deaktiviert:
- Root-Login (
PermitRootLogin no) - Passwort-Authentifizierung (
PasswordAuthentication no) - Challenge-Response-Authentifizierung
- X11 Forwarding
- Agent Forwarding
Anschließend validieren Sie die Konfigurationssyntax mit sshd -t und starten den SSH-Dienst neu. Ein einziger Tippfehler in dieser Datei, und Sie sperren sich vom Server aus.
Firewall installieren und konfigurieren
Als Nächstes installieren Sie ufw (Uncomplicated Firewall) und setzen eine Standardrichtlinie, die allen eingehenden Verkehr blockiert. Sie erlauben temporär SSH auf allen Interfaces, um Ihre Verbindung nicht zu verlieren, und beschränken dann — nachdem Tailscale läuft — SSH, HTTPS und den Agent-Gateway-Port (18789) auf das Tailscale-Interface und löschen die öffentliche SSH-Regel. Der finale Firewall-Zustand:
- Gesamter eingehender Verkehr standardmäßig blockiert
- Port 22 (SSH): nur über Tailscale erlaubt
- Port 443 (HTTPS): nur über Tailscale erlaubt
- Port 18789 (Agent-Gateway): nur über Tailscale erlaubt
- Gesamter ausgehender Verkehr erlaubt
Wenn Sie die Reihenfolge der Operationen falsch ausführen — SSH einschränken, bevor Tailscale läuft — verlieren Sie den Zugang zum Server vollständig.
Intrusion Prevention einrichten
Installieren und aktivieren Sie fail2ban, das Authentifizierungsprotokolle überwacht und IP-Adressen vorübergehend sperrt, die Brute-Force-Anmeldemuster aufweisen. Dies fügt eine zusätzliche Verteidigungsebene hinzu, selbst wenn SSH durch eine Fehlkonfiguration öffentlich zugänglich wird.
Automatische Sicherheitsupdates aktivieren
Installieren Sie unattended-upgrades und apt-listchanges und konfigurieren Sie diese mit dpkg-reconfigure. Dies stellt sicher, dass der Server Sicherheitspatches automatisch ohne manuelles Eingreifen anwendet. Wenn Sie diesen Schritt überspringen, fällt Ihr Server innerhalb weniger Wochen bei den Patches zurück.
Swap-Speicher zuweisen
Erstellen Sie eine 2 GB große Swapfile unter /swapfile, setzen Sie die Berechtigungen auf 600, formatieren Sie sie mit mkswap, aktivieren Sie sie mit swapon und fügen Sie sie zur /etc/fstab hinzu, damit sie Neustarts übersteht. Ohne Swap kann ein Speicherspitzenbedarf im Agenten-Prozess den Container beenden oder den Server zum Absturz bringen.
Tailscale installieren und konfigurieren
Installieren Sie Tailscale über das offizielle Installationsskript, starten Sie es mit Ihrem Auth-Key und einem Hostnamen, warten Sie auf die IP-Zuweisung (bis zu 60 Sekunden), setzen Sie den Operator auf Ihren Nicht-Root-Benutzer, fordern Sie ein TLS-Zertifikat an und aktivieren Sie HTTPS-Serving auf dem Agent-Gateway-Port. Dies erstellt den verschlüsselten Tunnel, der die öffentliche Internet-Exposition für die gesamte Agenten-Kommunikation ersetzt.
Docker installieren und das Agenten-Image laden
Installieren Sie Docker über das offizielle Installationsskript, fügen Sie Ihren Nicht-Root-Benutzer zur Docker-Gruppe hinzu, authentifizieren Sie sich bei der Container-Registry falls nötig und laden Sie das Agenten-Laufzeit-Image vorab herunter. Starten Sie dann den Container mit den korrekten Umgebungsvariablen, Speicherlimits (1800 MB mit 2 GB Swap), Host-Networking, einem persistenten Volume und einer Restart-Richtlinie, damit er Neustarts übersteht.
Ihren KI-Anbieter-Schlüssel injizieren
Übergeben Sie Ihren API-Schlüssel als Umgebungsvariable beim Container-Start. Konfigurieren Sie den Agenten für die Verbindung zum richtigen Anbieter-Endpunkt — Anthropic, OpenAI, Groq, OpenRouter oder Together — und richten Sie das Gateway mit WebSocket-Konnektivität, TLS und Operator-Berechtigungen ein. Warten Sie dann, bis das Gateway initialisiert ist, und extrahieren Sie das Authentifizierungs-Token aus den Container-Logs.
Alles überprüfen
Bestätigen Sie, dass die Firewall-Regeln korrekt sind, Tailscale verbunden ist, der Docker-Container läuft, der Agent über das Gateway antwortet und Ihr lokaler Rechner ihn über das Tailscale-Netzwerk erreichen kann. Aktualisieren Sie Ihre lokale SSH-Konfiguration und known_hosts für bequemen Zugriff in der Zukunft.
Was das alles zusammen ergibt
Hier ist die vollständige Liste der Pakete und Dienste, die auf jedem Office Claws-Agenten-VPS konfiguriert werden:
| Komponente | Zweck |
|---|---|
ufw | Firewall mit Tailscale-exklusiven Zugriffsregeln |
fail2ban | Brute-Force-Intrusion-Prevention |
unattended-upgrades | Automatische Sicherheitspatches |
| SSH-Härtungskonfiguration | Deaktiviert Root-Login, Passwörter, Forwarding |
| Tailscale | Verschlüsseltes Netzwerk und TLS-Zertifikate |
| Docker | Containerisierte Agenten-Laufzeitumgebung mit Speicherlimits |
| 2 GB Swap | Schutz vor Speicherüberlauf |
| Nicht-Root-Benutzer mit eingeschränktem sudo | Prinzip der minimalen Rechtevergabe |
Das sind acht Sicherheitsebenen, konfiguriert über rund 20 manuelle Schritte, jeder mit eigenen Fehlerquellen. Verfehlen Sie die Firewall-Reihenfolge, und Sie sperren sich aus. Vergessen Sie Swap, und der Agent stürzt unter Last ab. Überspringen Sie unattended-upgrades, und Ihr Server sammelt Schwachstellen an. Konfigurieren Sie die SSH-Härtung falsch, und Sie lassen die Tür offen — oder schließen sie vor sich selbst.
Mit Office Claws klicken Sie auf Create Agent, beobachten zwei Minuten lang einen Fortschrittsbalken und erhalten alles — gehärtet, getestet und verbunden. Die Snapshot-basierte Bereitstellung bedeutet, dass jeder Server von einem vorgefertigten, verifizierten Image startet, sodass es keine Abweichung zwischen dem gibt, was Sie erwarten, und dem, was Sie bekommen.
Häufige Probleme bei der Einrichtung beheben
Die Bereitstellung dauert länger als 5 Minuten
Dies bedeutet in der Regel, dass die DigitalOcean-API Verzögerungen aufweist. Überprüfen Sie status.digitalocean.com auf Vorfälle. Wenn der Fortschrittsbildschirm länger als 5 Minuten keine Bewegung zeigt, brechen Sie ab und versuchen Sie es erneut.
Tailscale-Auth-Key wird abgelehnt
Stellen Sie sicher, dass der Schlüssel ephemer ist und nicht abgelaufen ist. Tailscale-Auth-Keys können mit kurzen Gültigkeitsdauern versehen sein. Generieren Sie bei Bedarf einen neuen über die Tailscale-Admin-Konsole.
Agent erscheint nach der Bereitstellung als offline
Überprüfen Sie, ob Ihr Tailscale-Client auf Ihrem Desktop läuft. Der Agent kommuniziert über das Tailscale-Netzwerk, daher müssen beide Seiten verbunden sein. Öffnen Sie die Tailscale-App und bestätigen Sie, dass Ihr Gerät als „Connected" angezeigt wird.
Fehler „Invalid API token" bei der VPS-Einrichtung
Überprüfen Sie, ob Ihr DigitalOcean-Token sowohl Lese- als auch Schreibberechtigungen hat. Tokens mit reinem Lesezugriff können keine Droplets erstellen.
Wie es weitergeht
Sobald Ihr erster Agent läuft:
- Fügen Sie weitere Agenten hinzu. Jeder Agent bekommt seinen eigenen VPS und Schreibtisch im Büro. Beim Self-Hosted-Tarif kosten zusätzliche Agenten nichts über den DigitalOcean-Droplet-Preis hinaus.
- Experimentieren Sie mit verschiedenen KI-Anbietern. Probieren Sie Anthropic für einen Agenten und OpenAI für einen anderen, um deren Stärken für Ihre Aufgaben zu vergleichen.
- Erkunden Sie Agenten-Personas. Verschiedene Kombinationen aus Zielen und Kommunikationsstilen erzeugen merklich unterschiedliche Interaktionsmuster.
Die Einrichtung von Office Claws dauert nur wenige Minuten, aber das Ergebnis ist ein dauerhafter KI-Arbeitsplatz, der weiterläuft, ob die App geöffnet ist oder nicht. Ihre Agenten arbeiten weiter auf ihrem VPS, und Sie verbinden sich, wann immer Sie sie brauchen.