Zum Hauptinhalt springen
Zurück zum Blog

18 Hook-Typen und "Dreaming": wie Claude Code Governance in agentisches Coding bringt

DevOpsLuminaByte Team4. Juni 20265 min Lesezeit
18 Hook-Typen und "Dreaming": wie Claude Code Governance in agentisches Coding bringt

Der am meisten unterschätzte Teil des jüngsten Claude-Code-Releases ist nicht Auto Mode oder Outcomes. Es ist das Hook-System — achtzehn benannte Erweiterungspunkte, an denen Ihr Code abfangen kann, was der Agent gerade tut — und die Memory-Architektur, die die Kontext-Komprimierung des Agenten überlebt. Zusammen machen sie Claude Code zu etwas, das ein Plattform-Team governen kann, statt zu einem cleveren Assistenten, der nur in den Terminals einzelner Entwickler lebt.

Warum Hooks zählen

Ein fähiger Agent, den Sie nicht inspizieren können, ist eine Haftung. Ein fähiger Agent, der Events an jeder bedeutungsvollen Grenze feuert — Session-Start, vor einem Tool-Aufruf, nach einem Tool-Aufruf, vor einem Commit, nach Komprimierung, auf User-Prompt, auf Permission-Entscheidung und so weiter — ist eine Infrastrukturkomponente. Ihr Code kann auf jedes dieser Events laufen. Sie können blocken, redigieren, loggen, eskalieren, anreichern.

Achtzehn Hook-Typen sind genug Fläche, um fast jede Policy auszudrücken, die Ihr Security-Team verlangen wird. Die in der Praxis wichtigsten:

  • Pre-Session-Injection. Organisationskontext, Policy-Erinnerungen oder repositoryspezifische Anweisungen einspielen, bevor der Agent seinen ersten Prompt liest.
  • User-Prompt-Submit-Hooks. Inspizieren, was der Nutzer gleich fragen wird. Versehentlich durchgerutschte Secrets redigieren, Kürzel expandieren, den richtigen House-Style-Guide anhängen.
  • Pre-Tool-Use-Hooks. Gefährliche Tool-Aufrufe vetoen oder modifizieren. Der Agent sieht den abgelehnten Aufruf nie.
  • Post-Compaction-Hooks. Identität, Rolle und Policies des Agenten nach Kompression wieder einspielen. Ohne das verlieren lange Sessions still ihre Grundierung.
  • Stop-Hooks. Lints, Security-Scans oder Benachrichtigungen laufen lassen, wenn der Agent einen Zug beendet.

Jeder ist ein sauberer Integrationspunkt. Sie schreiben ein kleines Programm, registrieren es, und die Plattform ruft es zum richtigen Zeitpunkt auf.

"Dreaming" — die Memory-Architektur

Lange Agent-Sessions stoßen an Kontextlimits. Das Modell komprimiert alte Züge zu Zusammenfassungen; die Zusammenfassung ist per Definition verlustbehaftet. Ohne Eingriff vergisst eine mehrstündige Session still die frühe Diskussion von Constraints, die gesetzte Policy, die tatsächliche Rolle des Nutzers.

Die Memory-Architektur im aktuellen Claude Code — in Anthropics eigenen Diskussionen mitunter als Dreaming bezeichnet — ist eine strukturierte Antwort auf dieses Problem. Spezifische Informationen werden in dauerhaftes Memory geschrieben, das die Kompression überlebt; Pre-Session- und Post-Compaction-Hooks lesen aus diesem Memory und spielen die relevanten Stücke wieder ein. Der Agent muss nicht alles in seinem Working Context behalten; er muss sich nur erinnern, die richtigen Notizen zu konsultieren.

Für den Enterprise-Einsatz ist die Konsequenz bedeutsam. Eine Coding-Session über einen ganzen Nachmittag driftet nicht. Der Agent, der morgens um 9 unter der Anweisung "fass das Auth-Modul nicht an" startete, weiß diese Anweisung um 16 Uhr noch.

Was das einem Plattform-Team erlaubt

Konkrete Muster, die mit Hooks und Memory realistisch werden:

  • Repositoryspezifische Policy-Injection. Ein Pre-Session-Hook liest das AGENTS.md-Äquivalent des Repositories und fügt es dem Session-Kontext hinzu. Andere Repositories, andere Regeln, keine Entwicklerkonfiguration.
  • Secret-Redaktion an der Grenze. Ein User-Prompt-Submit-Hook scannt nach Token-förmigen Strings, ersetzt sie durch Platzhalter, loggt die Redaktion. Der Agent sieht das Secret nie.
  • Tool-Allow-Listing pro Verzeichnis. Ein Pre-Tool-Use-Hook prüft das Arbeitsverzeichnis und verweigert Netzwerkaufrufe überall in /legacy/ oder verweigert File-Writes außerhalb des Feature-Branch-Pfads des Entwicklers.
  • Audit-Log-Shipping. Ein Post-Tool-Use-Hook schickt jeden Tool-Aufruf an Ihren zentralen Observability-Stack mit Entwickler-Identität, Repository, Tool-Name, Parametern, Ergebnis.
  • Compliance-Eskalation. Ein Stop-Hook postet in Slack, sobald eine lange Session Dateien in einem sensiblen Pfad berührt hat, damit ein Senior-Reviewer drüber schauen kann, bevor der Entwickler einen PR öffnet.

Nichts davon ist exotisch. Es sind dieselben Muster, die Enterprise-Security-Teams seit zwei Jahrzehnten um jedes andere Entwicklerwerkzeug bauen. Der Unterschied ist, dass der Agent jetzt die Events hat, an die man sich integriert.

Ein Werkzeug, das Sie nicht auf Event-Ebene governen können, kommt nicht in regulierte Umgebungen. Hooks sind die Linie zwischen "Entwickler-Experiment" und "freigegebene Enterprise-Fähigkeit".

Praktisches Startkit

Ein nützliches erstes Hook-Set für ein typisches Enterprise-Team:

  1. Ein Pre-Session-Hook, der Ihre Hausregeln einspielt (Review-Erwartungen, Secret-Handling, Sprachstil).
  2. Ein User-Prompt-Submit-Hook, der offensichtliche Secrets redigiert (Regex auf Token-Präfixe, Basic-Auth-Strings, AWS-artige Keys).
  3. Ein Pre-Tool-Use-Hook, der Tool-Aufrufe gegen Pfade oder Kommandos auf Ihrer Deny-Liste blockt.
  4. Ein Post-Tool-Use-Hook, der ein Audit-Event pro Tool-Aufruf an Ihre bestehende Logging-Plattform schickt.
  5. Ein Stop-Hook, der den Entwickler über alle markierten Events der Session benachrichtigt.

Fünf Hooks. Die meisten sind Dutzende Zeilen Code. Zusammen verwandeln sie Claude Code von "Werkzeug, das ein Einzelner installiert" in "Fähigkeit, die ein Plattform-Team verantwortet".

Was Hooks nicht lösen

Zwei ehrliche Grenzen. Erstens: Hooks wirken auf das, was der Agent tut, nicht auf das, was er denkt. Ein User-Prompt, der Social Engineering gegen die Policy enthält, erreicht den Agenten dennoch, sofern Ihr Hook ihn nicht abfängt. In gut gestaltete System-Prompts und Memory-Einträge zu investieren, zählt ebenso viel wie die Hooks selbst.

Zweitens: Die Hooks sind lokal. Sie laufen auf der Maschine des Entwicklers. Für Organisationen, die eine serverseitige Durchsetzungsschicht wollen, ist das Hook-System notwendig, aber nicht ausreichend — Sie brauchen zusätzlich einen zentralen Policy-Server, den die lokalen Hooks konsultieren. Das Muster ist geradlinig; es muss nur bewusst gebaut werden.

Das Reifezeichen

Ein Werkzeug, das achtzehn benannte Erweiterungspunkte und eine strukturierte Memory-Architektur ausliefert, ist ein Werkzeug, das sich selbst als Infrastruktur ernst nimmt. Das ist das Signal, das man aufnehmen sollte. Für Enterprise-Teams, die darauf gewartet haben, dass agentisches Coding governbar wirkt, ist dies der Moment, die Policy zu entwerfen, die in diesen Hooks leben wird. Bauen Sie die Policy jetzt. Die nächsten sechs Monate sind die, in denen Peers anfangen zu fragen, wie Sie das gemacht haben.

Teilen: