Konfiguration
LLM-Provider, API-Keys und System-Einstellungen konfigurieren.
Übersicht
OpenCognit speichert alle Konfigurationen in der SQLite-Datenbank unter der Tabelle einstellungen. Die Einstellungen können über das Dashboard → Einstellungen verwaltet oder direkt über die API gesetzt werden.
LLM-Provider
Anthropic (Claude)
Der Standard-Provider für komplexe Aufgaben.
Navigiere zu Einstellungen → API-Keys und füge deinen Anthropic API-Key ein.
curl -X PUT http://localhost:3201/api/einstellungen/anthropic_api_key \
-H "Authorization: Bearer <dein-jwt-token>" \
-H "Content-Type: application/json" \
-d '{"wert": "sk-ant-..."}'OpenAI
curl -X PUT http://localhost:3201/api/einstellungen/openai_api_key \
-H "Authorization: Bearer <dein-jwt-token>" \
-H "Content-Type: application/json" \
-d '{"wert": "sk-..."}'OpenRouter
OpenRouter gibt Zugang zu 100+ Modellen (GPT-4, Gemini, Mistral, Llama, etc.) über eine einzige API.
curl -X PUT http://localhost:3201/api/einstellungen/openrouter_api_key \
-H "Authorization: Bearer <dein-jwt-token>" \
-H "Content-Type: application/json" \
-d '{"wert": "sk-or-..."}'Ollama (Lokal)
Für lokale Modelle ohne Cloud-Abhängigkeit. Standardmäßig wird http://localhost:11434 verwendet.
curl -X PUT http://localhost:3201/api/einstellungen/ollama_base_url \
-H "Authorization: Bearer <dein-jwt-token>" \
-H "Content-Type: application/json" \
-d '{"wert": "http://localhost:11434"}'Ollama muss separat installiert und gestartet sein. Modelle können mit ollama pull llama3 heruntergeladen werden.
Einstellungen-Schlüssel (Referenz)
| Schlüssel | Beschreibung | Beispielwert |
|---|---|---|
anthropic_api_key | Claude API-Key | sk-ant-api03-... |
openai_api_key | OpenAI API-Key | sk-proj-... |
openrouter_api_key | OpenRouter API-Key | sk-or-v1-... |
ollama_base_url | Ollama-Server URL | http://localhost:11434 |
Server-Konfiguration
Umgebungsvariablen — müssen vor dem Start gesetzt werden. Der install.sh-Installer generiert eine sichere .env automatisch.
| Variable | Standard | Beschreibung |
|---|---|---|
JWT_SECRET | (Dev-Fallback — unsicher) | JWT-Signing-Secret. In Produktion immer setzen. |
ENCRYPTION_KEY | Automatisch generiert | 32-Byte-Hex-Schlüssel für die Verschlüsselung von API-Keys. Wird in data/.encryption_key erstellt, wenn nicht gesetzt. |
PORT | 3201 | Port des Backend-Servers |
APP_URL | http://localhost:3200 | Öffentliche Frontend-URL. Erforderlich für OAuth-Callbacks (GitHub, Google). |
Der Standard-JWT-Secret ist öffentlich bekannt. Setze in Produktion zwingend eine eigene JWT_SECRET Umgebungsvariable. Der install.sh-Installer generiert einen automatisch.
Beispiel .env-Datei:
JWT_SECRET=mein-sicherer-zufaelliger-schluessel-abc123xyz
ENCRYPTION_KEY=a1b2c3d4e5f6... # 32-Byte-Hex
PORT=3201
APP_URL=https://mein-opencognit.beispiel.deAgent-Konfiguration
Jeder Experte (Agent) hat seine eigene Verbindungskonfiguration. Diese wird beim Anlegen eines Agenten gesetzt.
Verbindungstypen
verbindungsTyp | Beschreibung | Konfigurationsfelder |
|---|---|---|
claude | Claude API direkt | model, maxTokens |
claude-code | Claude Code CLI (Session-Persistenz) | workDir, sessionPrefix |
openrouter | OpenRouter Multi-Model | model, maxTokens |
ollama | Lokales Ollama-Modell | model, baseUrl |
openai | OpenAI API | model, maxTokens |
bash | Shell-Kommandos ausführen | shell, timeout |
http | HTTP-Requests an externe APIs | baseUrl, headers |
Beispiel: Claude-Experte
{
"verbindungsTyp": "claude",
"verbindungsConfig": {
"model": "claude-opus-4-6",
"maxTokens": 8096
}
}Beispiel: OpenRouter-Experte
{
"verbindungsTyp": "openrouter",
"verbindungsConfig": {
"model": "anthropic/claude-3.5-sonnet",
"maxTokens": 4096
}
}Beispiel: Ollama-Experte
{
"verbindungsTyp": "ollama",
"verbindungsConfig": {
"model": "llama3.2",
"baseUrl": "http://localhost:11434"
}
}Agent-Workspaces
Jede Aufgabe läuft in einem isolierten Workspace-Verzeichnis — Agenten können keine Dateien in die OpenCognit-Installation selbst schreiben.
Wie es funktioniert
Beim Start einer Aufgabe wird automatisch ein eigener Ordner zugewiesen:
data/workspaces/{taskId}/ ← pro Task isoliert
.meta.json ← Task-Metadaten
<Agent-Output-Dateien> ← alles was der Agent produziertIst kein Workspace konfiguriert, fällt der Agent immer auf data/workspaces/agent-default/ zurück — niemals auf das OpenCognit-Projektverzeichnis.
Verbotene Zonen
Der Workspace Guard verhindert, dass Agenten innerhalb der OpenCognit-Installation arbeiten. Nur diese Pfade innerhalb des Installationsordners sind erlaubt:
| Pfad | Erlaubt |
|---|---|
data/workspaces/** | ✅ Ja |
data/sessions/** | ✅ Ja |
src/, server/, node_modules/ | ⛔ Blockiert |
| OpenCognit-Root direkt | ⛔ Blockiert |
Alle Pfade außerhalb der OpenCognit-Installation sind erlaubt — so zeigst du Agenten auf dein eigenes Projekt.
Agenten auf dein eigenes Projekt zeigen
Setze ein Firmen-Arbeitsverzeichnis unter Einstellungen → Firma → Arbeitsverzeichnis:
/home/du/mein-projekt/Agenten arbeiten dann innerhalb deines Projektordners. Das Verzeichnis muss ein absoluter Pfad außerhalb der OpenCognit-Installation sein.
Wenn das konfigurierte Arbeitsverzeichnis versehentlich auf einen Pfad innerhalb des OpenCognit-Roots zeigt, loggt das System eine Warnung und weicht automatisch auf ein isoliertes data/workspaces/-Verzeichnis aus.
Heartbeat-Einstellungen
Pro Agent kann das autonome Zyklus-Verhalten konfiguriert werden:
| Feld | Standard | Beschreibung |
|---|---|---|
zyklusAktiv | false | Autonome Zyklen aktivieren/deaktivieren |
zyklusIntervallSek | 300 | Intervall zwischen Heartbeats (Sekunden) |
budgetMonatCent | 0 | Monatliches Kostenbudget in Cent (0 = kein Limit) |
Der globale Scheduler läuft alle 30 Sekunden und prüft, welche Agenten ihren nächsten Heartbeat benötigen.
Bash-Adapter Sicherheit
Der Bash-Adapter führt Shell-Kommandos aus. Es greifen zwei Schutzmechanismen:
1. Blockliste gefährlicher Befehle:
rm -rf, mkfs, dd, fdisk, format, deltree, rmdir /s2. Workspace Guard (immer aktiv):
Der Bash-Adapter läuft immer im zugewiesenen Workspace — nie im OpenCognit-Projektverzeichnis. Auch erlaubtePfade aus den Agent-Permissions werden geprüft (fail-closed).
Der Bash-Adapter sollte nur für vertrauenswürdige Agenten aktiviert werden. Laufzeit-Timeout: 5 Minuten.