Claude Code Auto Mode und Channels: Code von überall schreiben

Stell dir vor, du sitzt im Zug. Dein Laptop zu Hause rackert an einem 30-minütigen Refactor. Dein Handy vibriert: Telegram zeigt dir eine Zusammenfassung von deinem eigenen Claude-Code-Bot. Tests laufen durch, das wurde geändert, das ist kaputt gegangen. Du tippst die nächste Anweisung, sperrst das Handy und liest weiter.

Zwei Features von Claude Code machen diesen Loop möglich. Auto Mode entfernt die Freigabeabfragen, die eine Session sonst ausbremsen. Channels leiten Nachrichten aus Telegram, Discord oder iMessage in die laufende Session, als hättest du sie selbst getippt. 

Dieses Tutorial zeigt dir Schritt für Schritt die Einrichtung und wie du einen Write-Test-Debug-Loop von deinem Handy aus fährst.

Wenn du neu bei Anthropics LLMs bist, empfehle ich dir zuerst unseren Kurs Introduction to Claude Models.

Voraussetzungen

Um dem Tutorial zu folgen, brauchst du:

• Claude Code v2.1.83 oder neuer (Auto Mode benötigt v2.1.83, Channels benötigen v2.1.80)
• Installierte Bun-Runtime (alle Channels-Plugins benötigen sie; Node und Deno funktionieren nicht)
• Einen Claude-Tarif auf Max-, Team- oder Enterprise-Stufe oder API-Zugang. Auto Mode ist auf Pro nicht verfügbar; kein Add-on schaltet es frei (und auch nicht über Extra-Nutzung)
• Einen Telegram-Account auf deinem Handy
• Python 3.10 oder neuer auf der Host-Maschine
• Eine Maschine, die wach bleiben kann, während du weg bist (Laptop-Deckel offen, Desktop an oder ein Server)

Was ist der Claude Code Auto Mode (und warum mit Channels kombinieren)?

Claude Code fragt vor Aktionen nach, die außerhalb des Projekts zugreifen. Laut Anthropics eigenen Daten bestätigen Nutzer 93% dieser Prompts ohnehin. Bei dieser Quote erhöhen die Prompts die Reibung, ohne mehr Sicherheit zu bringen.

Auto Mode ersetzt dieses Muster durch einen Klassifikator. Jeder Tool-Call geht an ein separates Claude-Modell (Sonnet 4.6), das die Aktion prüft und entweder erlaubt oder blockiert. Lange unbeaufsichtigte Läufe hören auf, alle dreißig Sekunden für Freigaben zu pausieren.

Der Klassifikator läuft auf einem anderen Modell als dem, das den Code schreibt. Ein jailbrokenes oder fehlgeleitetes Hauptmodell kann ihn nicht dazu bringen, eine riskante Aktion durchzuwinken. Eine separate Probe scannt Tool-Ausgaben (Dateiinhalte, Web-Fetches, Shell-stdout) auf Prompt-Injection, bevor sie in Claudes Kontext gelangen.

Nicht jeder Tool-Call geht durch den Klassifikator. Reads, Textsuchen, Code-Navigation und Datei-Edits im Projektverzeichnis laufen über den Fast Path ohne Prüfung. Shell-Befehle, Web-Fetches, Zugriffe außerhalb des Projekts und das Starten von Subagenten gehen an den Klassifikator.

Anthropic hat die Zahlen in der Auto-Mode-Ankündigung veröffentlicht. Bei 10.000 echten Tool-Calls lag die False-Positive-Rate bei 0,4%. Bei 52 kuratierten übereifrigen Aktionen lag die False-Negative-Rate bei 17%. --dangerously-skip-permissions durch Auto Mode zu ersetzen, ist ein klarer Gewinn. Gründliche menschliche Reviews zu ersetzen ist es nicht: Der Klassifikator verpasst etwa jeden sechsten Fall.

Wenn der Klassifikator einen Call blockiert, erhält Claude die Ablehnung als Tool-Result. Von Claude wird erwartet, einen sichereren Weg zu finden, nicht den Block zu umgehen. Nach drei aufeinanderfolgenden Blocks oder zwanzig insgesamt übergibt Auto Mode die Kontrolle an dich zurück. Kopflose claude -p-Läufe beenden stattdessen.

Auto Mode vs bypassPermissions

Ich habe Auto Mode mit der Erwartung genutzt, es wäre ein smarteres bypassPermissions. Meine Kritik an Bypass war, dass es alles erlaubt: das Lesen von .env-Dateien, das Bearbeiten von Configs usw. 

Auto Mode behebt das. Operationen an sensiblen Dateien und explizite Löschungen werden standardmäßig abgelehnt. Die Ausnahme ist, die Datei im Prompt beim Namen zu nennen, wodurch der Klassifikator die Änderung erlauben kann. Das ist besser als Bypass, das keine solche Prüfung hatte.

Was mich am Auto Mode überrascht hat: Er ist ein Entscheidungsmodus, nicht nur ein Berechtigungsmodus. Früher habe ich eine Kette von Claude-Code-Skills nacheinander laufen lassen, eine Pipeline zum Implementieren oder Debuggen eines Features. Unter bypassPermissions hielt Claude zwischen den Stufen an und fragte nach der Erlaubnis, weiterzumachen. 

Dieses Muster mochte ich: Die Pause war mein Review-Punkt oder das Signal an Claude, weiterzumachen. Im Auto Mode entscheidet Claude selbst, ob genug Kontext für den nächsten Schritt vorhanden ist. Die Review-Checkpoints, auf die ich mich verlassen habe, sind weg. Du wirst entweder die schnelleren Läufe schätzen oder die Pausen mit Mensch-in-the-Loop vermissen.

Die andere Überraschung ging in die entgegengesetzte Richtung. Unter bypassPermissions weigerte sich Claude, wenn ich bat, seine eigene Config oder Skills zu bearbeiten. Mit oder ohne Bypass fragte es trotzdem nach. Im Auto Mode hat Claude dort mehr Freiheit: Skill-Dateien, .claude/-Einstellungen und die eigene Konfiguration sind ohne Nachfrage editierbar. Das ist nützlich für selbstwartende Skills, aber ein Risiko, wenn du erwartest, dass Claude seine eigene Config in Ruhe lässt.

Auto Mode vs. andere Berechtigungsmodi

Claude Code bringt vier Modi mit, die auf einem Spektrum zwischen „alles genehmigen“ und „alles verweigern“ liegen. Die Tabelle unten ist die Kurzfassung. Die ausführliche Version steht in den offiziellen Docs.

Meine Empfehlung: Nutze default für sensible Repos, bei denen jeder Write einen zweiten Blick braucht, auto für deine eigenen Projekte und bypassPermissions nur in Wegwerf-Containern mit begrenztem Schaden.

Wie Channels ins Bild passen

Claude Code Channels sind MCP-Server, die Events in deine laufende Session schicken. Wir nutzen das Telegram-Plugin; Discord und iMessage funktionieren genauso. Du schreibst dem Bot eine DM, das Plugin leitet die Nachricht in die Session, und Claude arbeitet an deinen lokalen Dateien. Eine Antwort kommt über denselben Bot zurück, wenn der Turn endet.

Claude schreibt dir nur am Ende des Turns. Es gibt kein Mid-Turn-Streaming, keine Live-Vorschau dessen, was Claude auf dem Host tut. Was Claude im Turn ausführt, läuft. Du erfährst es, wenn die Zusammenfassung kommt. Darum ist der Berechtigungsmodus über einen Channel wichtiger als am Terminal.

Channels können Berechtigungs-Prompts ans Handy weiterleiten, wenn du im default- oder acceptEdits-Modus bist. Du antwortest yes oder no in Telegram. Für ein paar Prompts ist das okay. Ein echter Build-Test-Debug-Run schickt Dutzende, und jedes Tippen wird schnell lästig.

Das andere Ende des Spektrums ist schlechter. --dangerously-skip-permissions entfernt die Prompts, aber über einen Channel fehlt dir der Live-Blick auf Tool-Calls im Terminal. Nichts sagt dir, dass gerade ein riskanter Befehl lief. Am Terminal kannst du beim Bypass immerhin den Stream sehen und Esc drücken. Über Telegram tippst du einen Prompt und erfährst am Ende des Turns, was passiert ist.

Auto Mode liegt zwischen diesen beiden Extremen. Kein Prompt-Spam. Der Klassifikator blockt klar gefährliche Schritte eigenständig. Die End-of-Turn-Nachricht gibt dir eine prüfbare Zusammenfassung. Für Remote-Arbeit ist das der praktikable Kompromiss.

Das Demo-Projekt

Ich habe ein kleines Demo namens libcache gebaut. Es ist ein Python-CLI, das Buch-Metadaten von der OpenLibrary-API holt und Antworten unter ~/.cache/libcache/ zwischenspeichert. 

Der Stack ist mit Absicht unspektakulär: uv verwaltet Abhängigkeiten, typer das CLI, httpx macht HTTP-Calls und pytest führt die Tests aus.

Drei Dinge an libcache sind wichtig. 

1. Es hat mehrere Dateien, daher würde ein Build-from-scratch im default-Modus ein Dutzend Berechtigungs-Prompts stapeln. 

2. Es gibt eine HTTP-Grenze, die dem Klassifikator echte Entscheidungen liefert. 

3. Es ist schnell genug fertig, dass das gesamte Gerüst in einen Telegram-Turn passt.

Auto Mode und Telegram-Channels einrichten

Drei Dinge der Reihe nach: Host-Maschine wach, Plugin gekoppelt, Auto Mode aktiv. Wenn eines davon scheitert, klappt der Rest nicht.

Die Host-Maschine vorbereiten

Claude Code ist ein lokaler Prozess. Wenn die Maschine schläft, empfängt der Prozess keine Events mehr. Das Telegram-Plugin hat dann keinen Zielort für deine Nachrichten. Events kommen nur an, während die Session offen ist.

Unter macOS öffnest du ein separates Terminal und führst aus:

caffeinate -d

Der -d-Schalter verhindert, dass das Display einschläft. Linux-Hosts können stattdessen die Sleep-Targets maskieren:

sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

Das machst du mit unmask rückgängig.

Für alles, was länger als einen Nachmittag dauert, starte die Session in tmux. Das hält deine Shell über geschlossene Fenster und abgerissene SSH-Verbindungen hinweg am Leben. Starte eine neue Session:

tmux new -s claude

Starte Claude darin, trenne mit Strg+B, dann D, und hänge später wieder an:

tmux attach -t claude

Noch etwas vor dem Start. Jedes CLI-Tool, das Claude über Telegram aufrufen könnte, muss auf dem Host bereits authentifiziert sein. Interaktive Logins oder Authentifizierungen laufen nicht vom Handy. Prüfe gh, die GitHub-CLI, die wir heute nutzen:

gh auth status

Wenn sie nicht authentifiziert ist, führe gh auth login aus und beende den Browser-Flow. Mach dasselbe für andere CLIs, die Claude erreichen soll (aws, gcloud, docker, Paket-Registries) für deine anderen Projekte.

Das Telegram-Plugin installieren und konfigurieren

Installiere Bun, falls noch nicht geschehen. Unter macOS oder Linux:

curl -fsSL https://bun.sh/install | bash

Unter Windows:

powershell -c "irm bun.sh/install.ps1 | iex"

Prüfe die Installation:

bun --version

Erstelle dann den Telegram-Bot.

Öffne BotFather in Telegram, sende /newbot, wähle einen Anzeigenamen und einen Benutzernamen, der auf bot endet (zum Beispiel libcache_dev_bot). Kopiere den Token, den BotFather zurückgibt.

Zurück in einer Claude-Code-Session installierst du das Plugin:

/plugin install telegram@claude-plugins-official

Wenn Claude Code meldet, dass es im Marketplace fehlt, füge es manuell hinzu und versuche es erneut:

/plugin marketplace add anthropics/claude-plugins-official

Nach der Installation Plugins neu laden, damit die Telegram-Tools erscheinen:

/reload-plugins

Konfiguriere den Bot mit dem Token von BotFather:

/telegram:configure <your_bot_token_here>

Der Token wird in ~/.claude/channels/telegram/.env gespeichert.

Nach /telegram:configure Claude Code komplett beenden (Strg+D oder /exit eingeben) und neu starten. /reload-plugins ist nicht zuverlässig, damit der Pairing-Code bei der ersten DM erscheint.

Starte die Session neu, öffne den Bot in Telegram und sende /start. Der Bot antwortet mit einem 6-stelligen Pairing-Code.

Zurück in Claude Code koppelst du mit dem Code:

/telegram:access pair <code>

Pairing ist symmetrisch. Beide Seiten müssen zustimmen, bevor die Session Nachrichten akzeptiert.

Letzter Schritt. Sperre den Bot auf nur deinen Account:

/telegram:access policy allowlist

Wer nicht auf der Allowlist steht und dem Bot eine DM schreibt, wird still gedroppt, ohne Pairing-Code.

Mit Auto Mode und Channels starten

Aus einem Projektverzeichnis startest du Claude mit beiden Flags:

claude --channels plugin:telegram@claude-plugins-official --permission-mode auto

Eine laufende Session kann mitten im Stream in den Auto Mode wechseln: Drücke Shift+Tab mehrfach, bis die Statusleiste auto zeigt. Um Auto Mode als Standard für jeden Start zu setzen, ergänze ~/.claude/settings.json um:

{ "permissions": { "defaultMode": "auto" } }

Beim Eintritt in den Auto Mode verwirft Claude Code breite Allow-Regeln aus settings.json. Pauschale Bash(*), wildgecardete Interpreter wie Bash(python*) und pauschale Agent-Allows werden beim Eintritt entfernt und beim Verlassen wiederhergestellt. Enge Regeln wie Bash(pytest) bleiben unverändert bestehen.

Prüfe die Einrichtung. Schicke dem Bot eine DM und warte auf die Antwort. Bitte Claude dann, eine kleine Datei ins Projekt zu schreiben, und beobachte, dass es ohne Prompt passiert. Wenn beides klappt, ist alles bereit.

Claude Code Auto Mode und Channels in Aktion

Schauen wir uns an, wie wir das in der Praxis über Telegram starten.

Ein Prompt, viele Tool-Calls, null Freigaben

Sende einen Start-Prompt aus Telegram. Entscheidend ist die Art der Aufgabe: eine, die im default-Modus ein Dutzend Freigabe-Prompts stapeln würde. Für libcache war der Prompt in etwa:

Create a Python CLI that fetches book metadata from OpenLibrary and caches it to disk, use uv for deps, typer for the CLI, httpx for requests, pytest for tests, scaffold the directory and add a README, and when you're done, summarize what you built in under 80 words.

Der Zusatz „in unter 80 Wörtern zusammenfassen“ ist eine kleine Channel-spezifische Angewohnheit. Antworten kommen ans Handy, und ein Handy ist kein guter Ort für lange Ausgaben.

Das Plugin schickt die Handynachricht in die laufende Session auf dem Host. Sie erscheint als ← telegram · <sender>: ...-Banner im Terminal.

Schreibvorgänge im Projekt laufen über den Fast Path und überspringen den Klassifikator komplett. Dependency-Installs, der erste pytest-Lauf und das abschließende git init gehen durch den Klassifikator und werden standardmäßig erlaubt. Nichts pausiert, der Turn läuft in einem Rutsch durch.

Auf dem Handy ist die Zusammenfassung das einzige Signal während des Turns.

Lange Prompts sind auf dem Handy mühsam. Sprache-zu-Text erledigt das meiste, und knappe, deklarative Prompts reichen. „Gerüste libcache, OpenLibrary + Disk-Cache, unter 80 Wörtern“ ist genug.

Der Iterations-Loop: fragen, arbeiten, antworten, wiederholen

Jedes Follow-up läuft gleich: eine Nachricht aus Telegram, ein Turn Arbeit, eine Zusammenfassung zurück. Die Zusammenfassung ist Claudes Darstellung, nicht der tatsächliche Zustand. Bitte Claude, die Tests laufen zu lassen und die wörtliche Ausgabe zu posten:

uv run pytest -v

Bitte es, eine bestimmte Datei zu caten. Bitte um Dateigrößen oder Zeilenzählungen oder eine jüngste Commit-Historie:

git log --oneline

Auto Mode führt Verifizierungs-Calls über dieselben Fast Paths aus. Das Nachfragen kostet wenig. Das Ergebnis ist eine Aussage, die du vom Sperrbildschirm aus prüfen kannst, ohne zum Laptop zu laufen.

Noch ein Turn, um zu zeigen, dass der Loop echte externe Systeme erreicht. Vom Handy:

push libcache to a new public GitHub repo called libcache, clean commit, decent message, send me the URL when it's up.

Claude nutzt die zuvor authentifizierte gh-CLI und antwortet mit der Repo-URL.

Wenn Auto Mode funktioniert, wirkt der Loop angenehm leise. Der nächste Abschnitt zeigt, was passiert, wenn nicht.

Wenn Auto Mode gegendruckt

Auto Mode unterbricht auf zwei Arten. 

Der Klassifikator blockiert hart eine kleine Menge Muster: 

• curl | bash-Pipes

• Force-Pushes auf main

• Massenlöschungen in Cloud-Speichern. 

Häufiger und weicher pausiert Claude selbst bei erkannten irreversiblen Aktionen. Auf dem Handy sehen beide gleich aus: kein rotes Banner, kein Modal, nur normaler Text. Claude nennt die Aktion, listet Kommandos auf und bittet um eine spezifische Bestätigungsphrase, bevor es weitergeht.

Eine destruktive Bitte wie „Lösche das Projekt, nimm das GitHub-Repo auch herunter“ triggert die Irreversibilitäts-Pause. Die Antwort führt die Kommandos aus und bietet sicherere Alternativen an: archivieren, nur lokal oder nur remote. Gewartet wird auf eine von Claude gewählte Phrase, nicht auf ja/nein.

Dasselbe Screenshot zeigt ein Folge-Verhalten. Mitten im Löschen lief Claude in einen fehlenden Scope der gh-CLI (der Token hatte kein delete_repo). Anstatt halbfertig zu bleiben, pausierte Claude und bat mich, einen interaktiven Befehl am Terminal auszuführen:

gh auth refresh -h github.com -s delete_repo

Auto Mode kann keine browserbasierten Auth-Flows steuern, und Claude hat den fehlenden Scope nicht zu umgehen versucht.

Verlauf ist keine implizite Zustimmung. Selbst für ein Repo, das Claude vor fünfzehn Minuten in derselben Session erstellt hat, triggert die Pause beim Löschen. Dieselbe Grenze von 3 in Folge bzw. 20 insgesamt gilt: Stapeln sich Unterbrechungen, geht die Kontrolle zurück an den Menschen.

Zwei bekannte Bugs: Nachrichten werden manchmal nicht zugestellt, wenn Claude Code am REPL-Prompt untätig ist (Issue #48404). Nach einer Antwort hört das Plugin teils auf, neue Nachrichten weiterzuleiten, bis es angestupst wird (Issue #36477). Workarounds sind, einen Turn in Flight zu halten oder die Session neu zu starten. Ein Fix steht noch aus.

Auto-Mode-Sicherheitsregeln feinjustieren

Für die meiste Arbeit an deinem eigenen Code reicht der Standard des Auto Mode. Wenn du bestimmte Pfade härten oder andere lockern willst, lies zuerst, was Anthropic für dich gesetzt hat:

claude auto-mode defaults

Das druckt die eingebauten Block- und Allow-Regeln als JSON. Die Struktur ist zum Erweitern gedacht, nicht zum Ersetzen: Baseline editieren, nicht von Null starten. Jede entfernte Regel zwingt den Klassifikator zur Entscheidung, und jede Entscheidung ist eine Chance für ein False Negative.

Füge projektbezogene Regeln in settings.json unter dem Schlüssel permissions hinzu. Enge Allows gelten im Auto Mode unverändert. Breite werden beim Eintritt verworfen. Eine Regel wie Bash(pytest) oder Bash(gh pr create *) ist spezifisch genug, dass der Klassifikator deinem Urteil vertraut. In der Praxis: Eine enge Allow-Regel pro Tool, das das Projekt wirklich nutzt, keine Wildcards.

Wenn dein Workflow Berechtigungs-Prompts als Review-Gates zwischen Pipeline-Stufen genutzt hat, hole dir diese Checkpoints explizit zurück. Füge ask-Regeln für die Tool-Muster oder Pfade hinzu, bei denen Claude pausieren soll. Oder verlagere diesen Workflow auf acceptEdits statt auto, um den Prompt-Checkpoint auf allem außer In-Project-Edits zu behalten.

Ein oft ungenutztes Feature: Der Klassifikator wertet im Chat formulierte Grenzen als Block-Signale. Sag Claude: „Nicht pushen, bis ich reviewt habe“, und es blockt passende Aktionen, selbst wenn Default-Regeln sie erlauben würden. Eine einfache Alternative zu einer formalen Regel für eine einzelne Session.

Die effektive Konfiguration nach dem Merge deiner settings.json mit den Defaults siehst du so:

claude auto-mode config

Enterprise-Admins können das Feature org-weit über permissions.disableAutoMode: 'disable' in den Managed Settings ausschalten.

Fazit

Auto Mode plus Channels macht aus Claude Code ein asynchrones Tool, das du von überall steuerst. Der Klassifikator entscheidet, welche Tool-Calls durchgehen. Claude entscheidet, wann eine Aktion ernst genug für eine Pause ist. Du bestimmst Prompts, Scope und Regeln. Das Terminal ist ein Ort, an dem du arbeiten kannst – nicht der einzige.

Zum Weiterlesen empfehle ich unsere Guides zu Claude Code Remote Control, Claude Code Plugins und Claude Code Best Practices.