KI-Agenten auf einem VPS selbst hosten
Praxisleitfaden zum Betrieb von KI-Agenten wie Claude Code, OpenClaw und Hermes auf Ihrem eigenen VPS. Agententypen, Serveranforderungen, Kommunikationsprotokolle, Sicherheit und Kosten.
KI-Agenten schreiben Code, verwalten Server, automatisieren Workflows und kommunizieren in Ihrem Auftrag mit externen Diensten. Sie auf verwalteten Plattformen laufen zu lassen bedeutet Abonnements zu zahlen, Ihre Daten Dritten zu überlassen und deren Ratenlimits zu akzeptieren.
Ein VPS ändert diese Gleichung. Ihre Agenten laufen rund um die Uhr auf Hardware, die Sie kontrollieren. Ihre Daten bleiben auf Ihrem Server. Niemand drosselt Ihre API-Aufrufe.
Dieser Leitfaden behandelt, was KI-Agenten sind, welche Sie selbst hosten können, welche Hardware sie benötigen, wie sie kommunizieren und wie Sie sie absichern. Jeder Abschnitt verlinkt auf ein praktisches Tutorial.
Was sind KI-Agenten und wie funktionieren sie?
Ein KI-Agent ist ein autonomes Programm, das ein großes Sprachmodell (LLM) nutzt, um zu entscheiden, was zu tun ist, und es dann tut. Anders als ein Chatbot, der jeweils eine Frage beantwortet, läuft ein Agent kontinuierlich. Er behält den Kontext über Aufgaben hinweg, ruft externe Werkzeuge auf, liest und schreibt Dateien, führt Shell-Befehle aus und verkettet Aktionen, ohne bei jedem Schritt auf menschliche Freigabe zu warten.
In der Praxis arbeitet ein Agent in einer Schleife:
- Beobachten -- Eingaben lesen aus einer Benutzernachricht, einer Dateiänderung, einem Webhook oder einem geplanten Auslöser
- Schlussfolgern -- das LLM entscheidet basierend auf dem aktuellen Kontext und den verfügbaren Werkzeugen, welche Aktion ausgeführt werden soll
- Handeln -- die Aktion ausführen (Befehl starten, API aufrufen, Datei bearbeiten, Nachricht senden)
- Auswerten -- das Ergebnis prüfen und entscheiden, ob die Aufgabe abgeschlossen ist oder eine weitere Iteration benötigt
Das LLM selbst läuft in der Regel remote über eine API (Anthropic, OpenAI oder ein selbst gehostetes Modell). Was auf Ihrem VPS läuft, ist das Agenten-Harness: der Code, der die Schleife, die Werkzeugausführung, den Speicher und die Kommunikationskanäle verwaltet. Deshalb benötigen die meisten Agenten überraschend wenig lokale Rechenleistung. Die rechenintensive Inferenz findet anderswo statt.
Einige Agenten unterstützen auch lokale Modelle über Ollama oder vLLM. In dem Fall braucht Ihr VPS eine GPU oder deutlich mehr RAM. Aber in den meisten Self-Hosting-Szenarien bewältigt ein VPS mit 2-4 GB das Agenten-Harness, während der LLM-Anbieter die Inferenz übernimmt.
Warum KI-Agenten selbst hosten statt verwaltete Plattformen nutzen?
Self-Hosting auf einem VPS kostet weniger (5-14 $/Monat Basis vs. 20-50+ $/Monat Abonnement), hält Ihre Daten auf Ihrem Server, beseitigt Ratenlimits und läuft rund um die Uhr ohne Abhängigkeit von Ihrem Laptop. Sie entscheiden, welche Modelle Sie aufrufen, welche Werkzeuge Sie installieren und wie sich der Agent verhält. Verwaltete Plattformen entscheiden all das für Sie.
So vergleichen sich die Kosten:
| Option | Monatliche Kosten | Was Sie bekommen |
|---|---|---|
| ChatGPT Plus | 20 $ | Web-Chat, eingeschränkte Agentenfunktionen, OpenAI kontrolliert Ihre Daten |
| Claude Pro | 20 $ | Web-/Desktop-Chat, Nutzungslimits, Daten werden von Anthropic verarbeitet |
| Claude Max | 100-200 $ | Höhere Limits, weiterhin nur Cloud |
| Verwaltete Agentenplattform | 30-50+ $ | Vendor Lock-in, undurchsichtige Infrastruktur, Daten außerhalb Ihrer Kontrolle |
| VPS + API-Schlüssel | 5-14 $/Monat + API-Verbrauch | Volle Kontrolle, Ihre Daten bleiben auf Ihrem Server, keine Ratenlimits über Ihren API-Tier hinaus |
Die VPS-Kosten sind die Basis. Sie zahlen weiterhin für LLM-API-Aufrufe, aber Sie kontrollieren genau, welches Modell Sie aufrufen, wie oft und welche Daten Sie senden. Es gibt keinen Zwischenhändler-Aufschlag.
Über die Kosten hinaus: Warum Self-Hosting wichtig ist
Datensouveränität. Ihre Prompts, der Agentenspeicher und die Ausgaben verlassen niemals Ihren Server. Für jeden, der Kundendaten, DSGVO-regulierte Informationen oder proprietären Code verarbeitet, ist das keine Option. Verwaltete Plattformen verarbeiten Ihre Daten auf ihrer Infrastruktur zu ihren Bedingungen.
Keine Ratenlimits. Verwaltete Plattformen drosseln Vielnutzer. Auf Ihrem VPS sind die einzigen Limits Ihr API-Tier beim LLM-Anbieter und Ihre Serverressourcen.
24/7-Verfügbarkeit. Agenten, die überwachen, automatisieren oder auf Ereignisse reagieren, müssen durchgehend laufen. Ein VPS bleibt an, wenn Ihr Laptop schläft.
Volle Anpassbarkeit. Installieren Sie jedes gewünschte Werkzeug oder jede Bibliothek. Kein Warten, bis eine Plattform den MCP-Server unterstützt, den Sie brauchen.
Welche Arten von KI-Agenten können Sie selbst hosten?
Die Agentenwelt 2026 teilt sich in vier Kategorien: Coding-Agenten, Allzweck-Assistenten, Workflow-Automatisierungstools und eigene Agenten, die Sie selbst bauen.
| Agent | Zweck | Min. RAM | GPU nötig? | Protokollunterstützung | Schwierigkeit |
|---|---|---|---|---|---|
| Claude Code | Code, Refactoring, Git-Workflows | 2 GB | Nein | MCP (nativ) | Niedrig |
| OpenClaw | Allgemein-Assistent, Messaging, Automatisierung | 4 GB (8 GB mit Browser) | Nein | MCP, benutzerdefinierte Skills | Mittel |
| Hermes Agent | Assistent mit persistentem Speicher | 2 GB | Nein | MCP, agentskills.io | Niedrig |
| n8n | Workflow-Automatisierung mit KI-Knoten | 2 GB (4 GB empfohlen) | Nein | HTTP, Webhooks | Mittel |
| Eigener Agent | Was Sie bauen | Variiert | Optional | Was Sie implementieren | Hoch |
Was ist Claude Code und warum auf einem VPS betreiben?
Claude Code ist Anthropics agentisches Coding-Tool. Es lebt in Ihrem Terminal, liest Ihre gesamte Codebasis, bearbeitet Dateien, führt Befehle aus, verwaltet Git-Workflows und startet Sub-Agenten für parallele Aufgaben. Es nutzt Claude Opus 4.6 als Reasoning-Engine und erreicht 80,8 % auf SWE-bench Verified.
Claude Code auf einem VPS zu betreiben bedeutet, dass Ihr Coding-Agent rund um die Uhr arbeitet. Er kann CI-Pipelines ausführen, Repositories überwachen, geplante Refactoring-Aufgaben erledigen und auf Webhooks reagieren. Ihre Codebasis bleibt auf einem Server, den Sie kontrollieren, statt über eine verwaltete Plattform zu laufen.
Claude Code unterstützt MCP nativ. Sie können es mit Datenbanken, APIs, Dateisystemen und benutzerdefinierten Werkzeugen über MCP-Server verbinden, die auf demselben VPS laufen. Es unterstützt auch Agenten-Teams: mehrere Claude-Code-Sitzungen, die an einem gemeinsamen Projekt koordinieren, wobei eine Sitzung als Teamleiter fungiert.
Was die Ressourcen betrifft, ist Claude Code leichtgewichtig. Das Agenten-Harness benötigt etwa 2 GB RAM. Die gesamte Inferenz läuft über Anthropics API.
Was ist OpenClaw?
OpenClaw (früher Clawdbot/Moltbot) ist der beliebteste Open-Source-KI-Agent mit über 250.000 GitHub-Sternen (Stand März 2026). Erstellt von Peter Steinberger, ist es ein Allzweck-Assistent, der sich mit Messaging-Plattformen wie Signal, Telegram, Discord und WhatsApp verbindet.
Anders als Claude Code, das sich auf Coding konzentriert, agiert OpenClaw als persönlicher Assistent. Es verwaltet Dateien, sendet E-Mails, steuert APIs, automatisiert Workflows und durchsucht das Web. Es unterstützt mehrere LLM-Backends: Claude, GPT, DeepSeek und lokale Modelle über Ollama.
Das Self-Hosting von OpenClaw erfordert mehr Ressourcen als Claude Code. Das Minimum liegt bei 2 vCPUs und 4 GB RAM. Wenn Sie Browser-Automatisierung (Playwright) aktivieren, planen Sie 8 GB ein, da jede Browser-Instanz allein 1-2 GB verbraucht. Der Speicher sollte NVMe-SSD sein: OpenClaw ist bei Docker-Operationen I/O-empfindlich.
Sicherheitswarnung: OpenClaw hatte ernsthafte Sicherheitsprobleme. Palo Alto Networks identifizierte eine „tödliche Trias" von Risiken: Zugang zu privaten Daten, Exposition gegenüber nicht vertrauenswürdigen Inhalten und die Fähigkeit, externe Kommunikation durchzuführen und dabei den Speicher zu behalten. Anfang 2026 überprüfte Koi Security 2.857 Skills auf ClawHub und fand 341 bösartige, etwa eines von acht Paketen. Behandeln Sie das Skill-Ökosystem von OpenClaw als nicht vertrauenswürdig. Prüfen Sie jeden Skill vor der Installation und betreiben Sie OpenClaw in einer Sandbox-Umgebung.
Was ist Hermes Agent?
Hermes Agent ist ein Open-Source-KI-Agent von Nous Research, veröffentlicht im Februar 2026. Was ihn auszeichnet, ist der persistente Speicher: Hermes merkt sich Ihre Präferenzen, Projekte und Umgebung über Sitzungen hinweg. Wenn er ein schwieriges Problem löst, schreibt er ein wiederverwendbares Skill-Dokument, damit er die Lösung nie vergisst.
Hermes läuft auf einem VPS für 5 $/Monat. Es wird mit über 40 integrierten Werkzeugen ausgeliefert und verbindet sich über einen einzigen Gateway-Prozess mit Telegram, Discord, Slack, WhatsApp, Signal und der CLI. Alle Daten bleiben auf Ihrer Maschine. Keine Telemetrie, kein Tracking.
Skills folgen dem offenen Standard agentskills.io und sind damit portabel und agentenübergreifend auffindbar. Je länger Hermes läuft, desto leistungsfähiger wird es. MIT-lizenziert.
Workflow-Automatisierung: n8n mit KI-Knoten
n8n ist kein KI-Agent an sich, wird aber zu einem, wenn Sie KI-Knoten hinzufügen. Sie können Workflows erstellen, die LLMs aufrufen, Antworten verarbeiten und Aktionen basierend auf KI-Entscheidungen auslösen. Betrachten Sie es als Verbindungsschicht: Verbinden Sie Ihren KI-Agenten mit über 400 Integrationen, ohne für jede einzelne eigenen Code zu schreiben.
Das Self-Hosting von n8n erfordert 2 vCPUs und 4 GB RAM für den Produktionsbetrieb. Verwenden Sie PostgreSQL statt SQLite für alles über Testzwecke hinaus. Wenn Sie eine Vektordatenbank (Qdrant, Pinecone) neben n8n betreiben, rechnen Sie mit 2-4 GB zusätzlichem RAM.
Wie funktionieren Agentenprotokolle? (MCP, A2A, ANP)
Drei Protokolle definieren, wie KI-Agenten 2026 kommunizieren. Sie sind keine konkurrierenden Standards, sondern komplementäre Schichten. Jedes löst ein anderes Problem, und ihre Kenntnis hilft Ihnen bei der Planung Ihres selbst gehosteten Setups.
| Protokoll | Erstellt von | Funktion | Wann Sie es brauchen |
|---|---|---|---|
| MCP (Model Context Protocol) | Anthropic | Verbindet einen Agenten mit Werkzeugen und Datenquellen | Immer. So liest Ihr Agent Dateien, fragt Datenbanken ab und ruft APIs auf |
| A2A (Agent-to-Agent) | Google (jetzt Linux Foundation) | Ermöglicht Agenten, Aufgaben an andere Agenten zu delegieren | Wenn Sie mehrere Agenten betreiben, die zusammenarbeiten müssen |
| ANP (Agent Network Protocol) | Community/AAIF | Agentenerkennung und Routing über Netzwerke hinweg | Wenn Agenten Agenten außerhalb Ihres Servers finden und sich authentifizieren müssen |
MCP: Agent zu Werkzeugen
MCP ist ein JSON-RPC-Protokoll, das standardisiert, wie ein Agent auf externe Fähigkeiten zugreift. Statt API-Aufrufe hartzucodieren, starten Sie MCP-Server, die Werkzeuge bereitstellen (Datenbank lesen, URL abrufen, Abfrage ausführen), und der Agent verbindet sich als Client.
MCP hat im Februar 2026 97 Millionen monatliche SDK-Downloads (Python + TypeScript kombiniert) überschritten. Alle großen KI-Anbieter unterstützen es: Anthropic, OpenAI, Google, Microsoft, Amazon.
Auf einem selbst gehosteten VPS laufen MCP-Server als lokale Prozesse. Ihr Agent verbindet sich über stdio oder HTTP. Sie kontrollieren, welche Werkzeuge verfügbar sind, welche Berechtigungen sie haben und auf welche Daten sie zugreifen können. Keine Drittanbieter-Server beteiligt.
A2A: Agent zu Agent
A2A ermöglicht Peer-to-Peer-Aufgabendelegation zwischen Agenten. Ein Agent kann einen anderen bitten, eine Aufgabe auszuführen, den Fortschritt verfolgen und das Ergebnis empfangen. Google hat es im April 2025 erstellt, im Juni 2025 an die Linux Foundation übergeben, und im Dezember 2025 wurde die Agentic AI Foundation (AAIF) neben MCP seine dauerhafte Heimat.
Sie brauchen A2A, wenn Sie mehrere Agenten mit verschiedenen Spezialisierungen betreiben. Zum Beispiel: ein Coding-Agent, der Dokumentationsaufgaben an einen Schreib-Agenten delegiert, oder ein Monitoring-Agent, der einen Deployment-Agenten auslöst, wenn Tests bestehen.
ANP: Agentenerkennung
ANP übernimmt Erkennung und Routing. Es ermöglicht Agenten, sich über Organisationsgrenzen hinweg zu finden, zu authentifizieren und Kommunikationskanäle aufzubauen. Betrachten Sie es als DNS für Agenten.
Für die meisten selbst gehosteten Setups mit Agenten auf einem einzelnen VPS brauchen Sie ANP noch nicht. Es wird relevant, wenn Ihre Agenten mit Agenten auf anderen Servern oder in anderen Organisationen interagieren müssen.
Welche Serverspezifikationen brauchen KI-Agenten?
Die meisten KI-Agenten sind leichter als gedacht. Das LLM läuft remote über eine API. Ihr VPS betreibt nur das Agenten-Harness, Werkzeuge und lokale Dienste, die Sie hinzufügen (Datenbanken, Message-Queues, Webserver).
Hier sind getestete Mindestwerte für gängige Setups:
| Setup | vCPU | RAM | Speicher | Monatliche Kosten (Virtua) |
|---|---|---|---|---|
| Einzelner Agent (Claude Code oder Hermes) | 1 | 2 GB | 40 GB SSD | 12 € |
| OpenClaw (nur Text) | 2 | 4 GB | 80 GB NVMe | 28 € |
| OpenClaw + Browser-Automatisierung | 4 | 8 GB | 160 GB NVMe | 56 € |
| Mehrere Agenten + Datenbank | 4 | 8 GB | 160 GB SSD | 48 € |
| n8n + Vektordatenbank + Agent | 4 | 8 GB | 160 GB NVMe | 56 € |
| Full Stack (3+ Agenten, DB, Monitoring) | 6 | 12 GB | 240 GB NVMe | 84 € |
Wann brauchen Sie eine GPU? Nur wenn Sie ein lokales LLM (Ollama, vLLM) statt einer API betreiben. Für Modelle wie Llama 3 oder Mistral benötigen Sie mindestens 16 GB VRAM. Die meisten selbst gehosteten Agenten-Setups brauchen keine GPU, weil die Inferenz beim API-Anbieter stattfindet.
Speicher ist wichtig. Verwenden Sie SSD oder NVMe. Agenten, die Docker nutzen (OpenClaw, n8n), sind bei Container-Operationen I/O-empfindlich. HDD verursacht spürbare Verzögerungen bei Container-Starts und Workspace-Operationen.
Reserven einplanen. Halten Sie mindestens 30 % RAM unter typischer Last frei. Agenten können bei komplexen Reasoning-Ketten oder der Verarbeitung großer Kontextfenster Spitzen erzeugen. Wenn Ihr VPS anfängt zu swappen, verschlechtern sich die Antwortzeiten des Agenten schnell.
Wie sichern Sie einen selbst gehosteten KI-Agenten ab?
KI-Agenten sind keine normalen Anwendungen. Sie führen beliebigen Code basierend auf LLM-Ausgaben aus. Ein Agent mit Shell-Zugriff kann alles tun, was Ihr Benutzerkonto tun kann. Ein Prompt-Injection-Angriff kann Ihren Coding-Agenten in ein Datenexfiltrations-Werkzeug verwandeln. Diese Realität bestimmt jede Entscheidung in diesem Abschnitt.
Behandeln Sie Agenten als nicht vertrauenswürdigen Code
Das LLM, das Ihren Agenten steuert, verarbeitet externe Eingaben: Benutzernachrichten, Dateiinhalte, API-Antworten, Webseiten. Jede davon kann Prompt-Injection-Payloads enthalten. Gehen Sie davon aus, dass Ihr Agent irgendwann versuchen wird, etwas zu tun, das er nicht sollte.
Prinzip der geringsten Rechte. Führen Sie jeden Agenten als dedizierten Systembenutzer mit minimalen Berechtigungen aus. Führen Sie Agenten niemals als root aus. Geben Sie dem Agenten-Benutzer nur Zugriff auf die Verzeichnisse und Befehle, die er benötigt.
# Create a dedicated user for your agent
sudo useradd -r -m -s /bin/bash agent-claude
sudo chmod 700 /home/agent-claude
Sandboxen Sie die Agentenausführung
Ein Standard-Docker-Container ist keine Sicherheitsgrenze. Container teilen sich den Host-Kernel, und ein motivierter Angreifer (oder ein verwirrtes LLM) kann aus einem permissiven Container ausbrechen. Für echte Isolation:
- MicroVMs (Firecracker, Kata Containers): Jeder Agent bekommt seinen eigenen Kernel. Stärkste Isolation. Optimal für Agenten, die nicht vertrauenswürdigen Code ausführen.
- gVisor: Fängt Syscalls im User-Space ab. Leichter als MicroVMs, aber stärker als nackte Container. Guter Mittelweg.
- Gehärtete Container: Nur für vertrauenswürdige Agenten akzeptabel. Verwenden Sie
--read-only,--no-new-privileges, entfernen Sie alle Capabilities, mounten Sie minimale Volumes.
Netzwerkisolation
Agenten sollten keinen uneingeschränkten Netzwerkzugang haben. Ein Agent, der jede IP erreichen kann, kann Daten exfiltrieren oder an Angriffen teilnehmen.
# Allow only the specific API endpoints your agent needs
sudo ufw default deny outgoing
sudo ufw allow out to any port 443 proto tcp # HTTPS for API calls
sudo ufw allow out to any port 53 proto udp # DNS
sudo ufw enable
Verfeinern Sie dies weiter, indem Sie ausgehende Verbindungen auf bestimmte IP-Bereiche Ihres LLM-Anbieters beschränken. Blockieren Sie alles andere.
Secrets richtig verwalten
Codieren Sie API-Schlüssel niemals hart in Agent-Konfigurationsdateien. Verwenden Sie Umgebungsdateien mit eingeschränkten Berechtigungen.
# Create a secrets file
sudo mkdir -p /etc/agent-claude
echo "ANTHROPIC_API_KEY=sk-ant-..." | sudo tee /etc/agent-claude/env > /dev/null
sudo chmod 600 /etc/agent-claude/env
sudo chown agent-claude:agent-claude /etc/agent-claude/env
Referenzieren Sie dies in einer systemd-Unit mit EnvironmentFile=/etc/agent-claude/env. Der Schlüssel erscheint nie in Prozesslistings oder Konfigurationsdateien, die andere Benutzer lesen können.
Alles überwachen und protokollieren
Autonom laufende Agenten können sich unerwartet verhalten. Protokollieren Sie alle Agentenaktionen und überprüfen Sie sie regelmäßig.
# Watch agent logs in real time
journalctl -u agent-claude -f
# Check for unusual outbound connections
ss -tnp | grep agent-claude
Richten Sie Alarme für ungewöhnliche Muster ein: hohe CPU-Auslastung, unerwartete Netzwerkverbindungen, schnelle Dateisystemänderungen oder Agenten, die Befehle außerhalb ihres normalen Aufgabenbereichs ausführen.
Eine vollständige Anleitung zur Sicherheitshärtung finden Sie unter .
So starten Sie mit Ihrem ersten selbst gehosteten Agenten
Wählen Sie einen Agenten und bringen Sie ihn zum Laufen. Versuchen Sie nicht, den gesamten Stack auf einmal aufzusetzen.
Wenn Sie einen Coding-Assistenten wollen: Beginnen Sie mit Claude Code. Installation über npm, Authentifizierung, und Sie haben in wenigen Minuten einen funktionierenden Agenten. Die ressourcensparendste Option hier.
Wenn Sie einen persönlichen Assistenten auf Ihren Messaging-Apps wollen: Deployen Sie OpenClaw. Die Einrichtung dauert länger (Docker, Messaging-Plattform-Konfiguration, Skill-Auswahl), aber Sie erhalten den vielseitigsten Allzweck-Agenten. Planen Sie 4-8 Stunden für die Ersteinrichtung ein.
Wenn Sie einen Agenten mit persistentem Speicher wollen: Probieren Sie Hermes. Ein-Befehl-Installation, MIT-lizenziert, und er wird mit der Zeit besser.
Wenn Sie KI-gestützte Workflow-Automatisierung wollen: Richten Sie n8n mit KI-Knoten ein. Verbinden Sie Ihre bestehenden Tools und Dienste über visuelle Workflows. Optimal für Automatisierungsaufgaben ohne Code.
Ihre ersten Schritte
Unabhängig davon, welchen Agenten Sie wählen:
- VPS provisionieren. Starten Sie mit 4 GB RAM, wenn Sie unsicher sind. Sie können später skalieren.
- Server absichern. Nur SSH-Schlüssel, Firewall aktiviert, Nicht-Root-Benutzer erstellt. Tun Sie dies vor jeder anderen Installation.
- Agenten installieren. Folgen Sie dem spezifischen Tutorial für Ihren gewählten Agenten.
- Berechtigungen einschränken. Betreiben Sie den Agenten als dedizierten Benutzer. Netzwerkzugang beschränken. Secrets in geschützten Dateien speichern.
- Von außen testen. Überprüfen Sie, dass der Agent funktioniert, indem Sie sich von Ihrem lokalen Rechner verbinden, nicht nur vom Server selbst.
- Monitoring einrichten. Mindestens Logs mit
journalctlüberwachen. Idealerweise Ressourcenalarme konfigurieren.
Jedes in diesem Leitfaden verlinkte Tutorial enthält eine Überprüfung bei jedem Schritt. Beginnen Sie mit einem Agenten, machen Sie sich vertraut, dann erweitern Sie.
Copyright 2026 Virtua.Cloud. Alle Rechte vorbehalten. Dieser Inhalt ist ein Originalwerk des Virtua.Cloud-Teams. Vervielfältigung, Wiederveröffentlichung oder Weiterverbreitung ohne schriftliche Genehmigung ist untersagt.
Bereit, es selbst auszuprobieren?
Stellen Sie Ihren eigenen Server in Sekunden bereit. Linux, Windows oder FreeBSD.
VPS-Angebote ansehen