Alles was Sie brauchen, um
KI-Agenten zu zähmen

Von Kostenkontrolle bis Supply-Chain-Schutz — die Funktionen, die Ihre Agenten produktiv, sicher und unter Kontrolle halten.

Funktionen entdecken ↓

Human-in-the-Loop (HITL) für KI-Coding-Agenten

Genehmigen Sie jeden gefährlichen Bash-Befehl, jede Dateischreibung und jede Codeänderung vom Handy — Kernel-Sandbox, Ende-zu-Ende-verschlüsselt.

HITL-Seite lesen →

Kostenkontrolle

Wissen Sie genau, was Ihre Agenten ausgeben — und stoppen Sie sie, bevor das Budget aufgebraucht ist.

Token-Monitor

Echtzeit-Tracking von Input-, Output- und Cache-Tokens. Kostenberechnung pro Modell in Dollar. Drei konfigurierbare Warnschwellen.

Live-Zähler (input / output / cache_read)
Warnschwelle — Benachrichtigung an PWA
Kritische Schwelle — Alarm + Telegram-Benachrichtigung
Hartes Limit — automatische Pause des Agenten

Schleifenerkennung

Fängt durchdrehende Agenten ab, bevor sie Tokens in Endlosschleifen verschwenden. Drei Erkennungsmuster mit automatischer Intervention.

cmd_repeat Derselbe Befehl wiederholt ausgeführt
err_repeat Gleiches Fehlermuster in einer Schleife
file_pingpong Bearbeiten → Rückgängig → Bearbeiten derselben Datei

Nutzt Jaccard-Ähnlichkeit zur Erkennung nahezu identischer Befehlsvarianten.

Sicherheit & Rollback

Jede gefährliche Aktion hat ein Sicherheitsnetz. Alles mit einem Tipp rückgängig machen.

Git Auto-Checkpoint

Tamer erstellt automatisch Snapshots Ihres Repos vor gefährlichen Befehlen. Wenn etwas schiefgeht, Rollback vom Handy.

# Agent führt rm -rf src/ aus
Checkpoint erstellt: chk-a3f9e2
# ein Tipp in der PWA
Rollback zu chk-a3f9e2

Konfigurierbare Auslöser: beim Start, vor gefährlichen Befehlen, vor mittleren Risikooperationen oder in regelmäßigen Intervallen.

Supply-Chain-Schutz

Blockiert gängige Angriffsvektoren, bei denen KI-Agenten unwissentlich schädliche Payloads ausführen oder sensible Daten preisgeben.

  • Download & Execute — blockiert curl | sh, wget | bash
  • Datenexfiltration — erkennt ausgehende Datenschmuggel-Versuche
  • Token-Zugriff — blockiert unbefugtes Lesen von API-Schlüsseln und Anmeldedaten
  • CI/CD-Schutz — schützt .github/workflows/, .gitlab-ci.yml

Eingebaute Muster sind nicht überschreibbar. Fügen Sie benutzerdefinierte Regeln per YAML-Config hinzu.

Multi-Plattform-Sandbox

Confinement auf Kernel-Ebene für jedes OS. Agenten laufen in einem Käfig — nicht auf Ihrem System.

Linux

SBX-001 Landlock LSM

Dateisystem-Isolation auf Kernel-Ebene. Agenten können nur auf das Projektverzeichnis zugreifen — nichts anderes.

SBX-002 seccomp-BPF

Syscall-Filterung. Blockiert Netzwerk-Sockets (AF_INET/AF_INET6), ptrace, mount und Privilegien-Eskalation.

SBX-005 Bubblewrap

Vollständige Namespace-Isolation. Read-only-System, privater PID-Raum, eingeschränktes Netzwerk. Wie ein Container, aber leichter.

Windows

WIN-001 Job Object

Prozess-Confinement mit Speicher- und CPU-Limits. Kill-on-close stellt sicher, dass keine verwaisten Prozesse überleben.

WIN-002 Low Integrity Process

Agenten laufen in einem Low-Integrity-Sicherheitskontext. Können nicht in Systemverzeichnisse schreiben oder auf High-Integrity-Ressourcen zugreifen.

WIN-003 Umgebungsbereinigung

Subtraktive Bereinigung sensibler Umgebungsvariablen vor dem Agent-Start. Baut nie neu auf — entfernt nur.

Master Agent

Orchestrieren Sie ein Team von KI-Agenten. Rollen zuweisen, Muster lernen, schneller liefern.

Multi-Worker-Orchestrierung

Mehrere Agenten parallel ausführen. Der Master erkennt Konflikte, synchronisiert Workspaces und verwaltet Genehmigungen über ein zentrales Dashboard.

Worker-Rollen

Spezialisierte Rollen zuweisen — Coder, Reviewer, Tester. Jede Rolle hat eigene Regeln, Skills und Scope. Integrierte Review-Pipeline.

Mustererkennung

Der Master lernt aus Ihren Genehmigungsentscheidungen. Sichere Muster werden beim nächsten Mal automatisch genehmigt. Sie greifen nur bei neuen oder riskanten Aktionen ein.

Projektmanagement

Strukturierte Work Items mit Akzeptanzkriterien. Der Master verfolgt den Fortschritt, führt stille Audits durch und meldet den Fertigstellungsstatus.

Entwicklererfahrung

Leistungsstarke Tools in Ihrem Terminal. Kein Kontextwechsel.

Befehlspalette

Drücken Sie Ctrl+T für die Palette. 11 eingebaute Befehle:

help status protect approve
sandbox e2e org config
debug skill find

Skill-Engine

Installieren, entfernen und verwalten Sie wiederverwendbare Skills. Kanonisches Format mit automatischer Transformation in die native Syntax Ihres Agenten.

$ tamer skill install debug-react
$ tamer skill list

Agent-agnostisch

Ein CLI für alle Agenten. Tamer umhüllt jedes CLI-Tool per PTY — keine Plugins oder SDKs nötig.

$ tamer claude
$ tamer aider
$ tamer gemini
$ tamer cline
$ tamer -- any-cli-agent

Häufig gestellte Fragen

Welche KI-Agenten unterstützt tamer?
Tamer umhüllt jeden CLI-basierten Agenten per PTY — ohne Plugin oder SDK. Eingebaute Adapter decken Claude Code, Aider, Gemini CLI, Cursor und Cline ab. Alles andere lässt sich mit tamer -- <ihr-cli> umhüllen.
Kann ich tamer auf eigenen Servern installieren?
Ja. Tamer ist für On-Premise-Deployment ausgelegt. Installieren Sie die CLI auf Entwicklerrechnern und hosten Sie den Relay-Server selbst — Docker, fly.io, Bare Metal oder Ihr privates VPC. Code, Secrets und PTY-Streams bleiben in Ihrem Netzwerk; der Relay erreicht nie eine fremde Cloud.
Sendet tamer meinen Code oder meine Secrets in die Cloud?
Nein. Der Relay sieht nur einen verschlüsselten PTY-Stream und redigierte Metadaten. API-Schlüssel, .env-Werte und SSH-Schlüssel verlassen nie Ihre Maschine. Verschlüsselung ist AES-256-GCM Ende-zu-Ende; der Server ist ein blinder Transport.
Worin unterscheidet sich die Kernel-Sandbox von einem Docker-Container?
Tamer nutzt Linux Landlock, seccomp-BPF und optional bubblewrap auf Linux, sowie Job Object, Low Integrity Process und AppContainer auf Windows. Diese Primitiven sind unprivilegiert und starten sofort — kein Daemon, kein Image, kein Root nötig, anders als bei einer vollen Container-Runtime.
Kann ich Agentenbefehle vom Handy genehmigen?
Ja. Tamer liefert eine Progressive Web App und Telegram-Alerts. Jeder gefährliche Befehl (Bash, Dateischreibung, Supply-Chain-Muster) braucht eine ausdrückliche „Halten zur Freigabe"-Bestätigung vom Handy, bevor er ausgeführt wird.
Wie erlaube ich Docker innerhalb der Sandbox?
Standardmäßig sind Docker-Credentials (~/.docker) aus Sicherheitsgründen in der Sandbox blockiert. Um Docker freizugeben, entfernen Sie ~/.docker aus der file_deny-Liste und fügen Sie es zu home_binds in Ihrer .tamer/config.yaml hinzu. Der Docker-Socket (/var/run/docker.sock) liegt außerhalb von $HOME und ist standardmäßig erreichbar.

Bereit, Ihre Agenten zu zähmen?

Drei Befehle zur vollen Kontrolle.

$ curl -fsSL https://server.tamer-ai.dev/install.sh | bash
$ tamer init
$ tamer claude
App öffnen Installationsanleitung →