Claude Code vs Codex CLI 2026: Entscheidungsreferenz

Ich nutze Claude Code als mein primäres Entwicklungswerkzeug. Diese Voreingenommenheit sollte ich vorab erwähnen, denn die stärksten Vergleichstexte entstehen dann, wenn man ein Werkzeug tiefgehend kennt und das andere ehrlich testet. Nach 36 Blind-Duellen (bei denen ich identische Aufgaben durch beide Werkzeuge laufen ließ und die Ergebnisse bewertete, ohne zu wissen, welches welches Ergebnis erzeugt hatte ¹) und Hunderten von Sitzungen mit beiden habe ich festgestellt, dass die Antwort auf die Frage „Welches ist besser?” tatsächlich lautet: „Es kommt auf die Aufgabe an.”

Claude Code ist besser für tiefgreifendes Refactoring, Code-Reviews und programmierbare Governance durch 26 Lifecycle-Hook-Typen; Codex CLI ist besser für Sandboxing auf Kernel-Ebene und werkzeugübergreifende Portabilität via AGENTS.md. Claude Code erzwingt Sicherheit auf der Anwendungsebene mit Hooks, die Sie selbst schreiben, während Codex Sicherheit auf der OS-Kernel-Ebene erzwingt, wo das Modell die Einschränkungen nicht umgehen kann. Wählen Sie Claude Code für komplexes Multi-File-Reasoning und anpassbare Workflows. Wählen Sie Codex für maximale Isolation und standardisierte Agent-Anweisungen, die über mehr als 8 Werkzeuge hinweg funktionieren.

TL;DR

Claude Code und Codex CLI lösen dasselbe Problem (KI-gestützte Entwicklung) mit grundlegend unterschiedlichen Architekturen. Claude Code steuert über Hooks: 26 Lifecycle-Event-Typen, die Richtlinien deterministisch durchsetzen ². Codex steuert über Sandboxing: Kernel-Einschränkungen auf OS-Ebene unterhalb der Anwendungsschicht ³. Keiner der beiden Ansätze ist dem anderen strikt überlegen.

Claude Code übertraf Codex durchgängig bei Code-Reviews und Sicherheitsverifikation. Codex bietet echte Vorteile beim Sandboxing, bei der werkzeugübergreifenden Portabilität via AGENTS.md und bei der Cloud-Aufgabendelegation.

Schnelle Entscheidung: Benötigen Sie Sandboxing auf Kernel-Ebene oder werkzeugübergreifendes AGENTS.md? → Codex. Benötigen Sie programmierbare Governance-Hooks oder tiefgreifendes Refactoring? → Claude Code. Benötigen Sie beide Sicherheitsmodelle? → Nutzen Sie beide.

Neu bei beiden? Beginnen Sie zuerst mit dem Claude Code-Guide oder dem Codex-Guide. Dieser Beitrag setzt Vertrautheit mit mindestens einem voraus.

Zwei Denkmodelle

Beide Werkzeuge sind dreischichtige Architekturen, doch die Schichten erfüllen unterschiedliche Zwecke.

Claude Code:

1. Reasoning. Claude Code führt das ausgewählte Claude-Modell aus: Opus 4.7 auf Max und Team Premium, Sonnet 4.6 auf Pro, Team Standard, Enterprise und API (Enterprise und API wechseln am 23. April 2026 zu Opus 4.7)
2. Ausführung. Bash, Dateioperationen, git-Befehle, MCP-Tool-Aufrufe
3. Governance. Hooks fangen Aktionen an 26 Lifecycle-Punkten ab ²; Berechtigungen begrenzen den Geltungsbereich

Codex:

1. Modell. GPT-5.4 (veröffentlicht am 5. März 2026, Snapshot gpt-5.4-2026-03-05) mit 1,05M-Long-Context-Modus / 128K Output; GPT-5.3-Codex bleibt verfügbar mit 400K / 128K ⁴
2. Sandbox. Kernel-Durchsetzung auf OS-Ebene (Seatbelt auf macOS, Landlock + seccomp auf Linux) ³
3. Freigabe. Drei Richtlinien (untrusted, on-request, never) kontrollieren Mutationen vor der Ausführung ⁵

Der kritische Unterschied liegt darin, wo Governance angesiedelt ist. Claude Code erzwingt Sicherheit auf der Anwendungsebene; Hooks sind Programme, die Sie schreiben, um bestimmte Events abzufangen. Codex erzwingt Sicherheit auf der Kernel-Ebene; das Betriebssystem verhindert unerlaubte Operationen, unabhängig davon, was das Modell versucht.

Warum diese Unterscheidung wichtig ist: Governance auf Anwendungsebene ist programmierbar. Sie können Geschäftslogik kodieren, Linter ausführen, Schemata validieren, alles, was in Code ausdrückbar ist. Governance auf Kernel-Ebene ist ausbruchssicher. Das Modell kann Einschränkungen nicht umgehen, weil das OS den Syscall verweigert, bevor er die Anwendung erreicht. Jede Sicherheitsarchitektur tauscht Ausdrucksstärke gegen Stärke, und diese beiden Werkzeuge sitzen an entgegengesetzten Enden dieses Spektrums.

Konfigurationsphilosophie

Claude Code verwendet JSON. Codex verwendet TOML. Beide unterstützen hierarchisches Scoping. Die Philosophien unterscheiden sich darin, wie sie über Kontextwechsel denken.

Claude Code: Geschichtete Konfiguration

// ~/.claude/settings.json (user-level)
{
  "permissions": {
    "allow": ["Bash(git *)"],
    "deny": ["Bash(rm -rf *)"]
  }
}

// .claude/settings.json (project-level, inherits user)
{
  "permissions": {
    "allow": ["Bash(npm test)"]
  }
}

Claude Code löst Einstellungen aus mehreren Schichten auf: verwaltete Einstellungen (höchste Priorität) → Kommandozeile → lokales Projekt → geteiltes Projekt → Benutzer-Standardwerte ⁶. Memory-Dateien (CLAUDE.md) folgen ihrem eigenen Scoping: Benutzer → Projekt → lokal. Skills und Hooks fügen weitere Schichten hinzu. Die Flexibilität ist mächtig, doch die aktive Konfiguration ist aus keiner einzelnen Datei ersichtlich; Sie setzen sie zusammen, indem Sie die Hierarchie durchlesen.

Codex: Profile mit explizitem Wechsel

# ~/.codex/config.toml
model = "gpt-5.3-codex"
approval_policy = "on-request"

[profiles.deep-review]
model = "gpt-5-pro"
approval_policy = "never"

[profiles.careful]
approval_policy = "untrusted"

codex --profile careful "Review this PR"
codex --profile deep-review "Audit this module"

Mit Codex-Profilen können Sie zwischen Konfigurationen per Flag wechseln ⁷. Keine Schichtauflösung, über die Sie nachdenken müssen; die aktive Konfiguration ist immer explizit. Für Teams, die Freigaberichtlinien standardisieren, ist dies einfacher zu auditieren. Profile sind derzeit experimentell ⁷.

Sicherheitsmodelle

Sicherheit ist die tiefste architektonische Divergenz zwischen den beiden Werkzeugen.

Claude Code: Deterministische Hooks auf der Anwendungsebene

Hooks fangen Aktionen ab, bevor sie ausgeführt werden. Ein PreToolUse-Hook auf Bash kann jeden Befehl inspizieren und gefährliche Muster blockieren ²:

# Hook: git-safety-guardian (PreToolUse:Bash)
if echo "$tool_input" | grep -q "push.*--force.*main"; then
  echo '{"decision": "block", "reason": "Force push to main blocked"}'
fi

Die Stärke: Hooks sind Programme. Sie können beliebig komplexe Sicherheitslogik kodieren: Dateipfade prüfen, JSON validieren, Namenskonventionen durchsetzen, Linter ausführen. Ich betreibe 95 Hooks, die alles von der Credential-Erkennung bis zu Qualitäts-Gates abdecken.

Die Schwäche: Hooks operieren auf der Anwendungsebene. 2025 veröffentlichte Check Point Research CVE-2025-59536 und demonstrierte, dass bösartige Hooks in Projektkonfigurationsdateien Shell-Befehle während der Claude Code-Initialisierung ausführen konnten, bevor der Benutzer einen Zustimmungsdialog sah ¹⁹. Anthropic patchte die Schwachstelle innerhalb von Wochen, doch die Offenlegung bestätigt die architektonische Bedenken: Die Durchsetzung auf Anwendungsebene teilt sich eine Prozessgrenze mit dem Agenten. Der Leitfaden von NVIDIAs AI Red Team kommt zum selben Schluss: „Hooks und MCP-Initialisierungsfunktionen laufen oft außerhalb einer Sandbox-Umgebung und bieten eine Gelegenheit, Sandbox-Kontrollen zu umgehen” ²⁰.

Codex: Sandboxing auf Kernel-Ebene

Codex schränkt den Agenten auf OS-Ebene ein. Auf macOS begrenzen Seatbelt-Profile den Dateisystemzugriff, die Netzwerkkonnektivität und das Prozess-Spawning ³. Auf Linux bieten Landlock + seccomp äquivalente Einschränkungen, mit einer optionalen Bubblewrap-Pipeline (bwrap), die per Konfiguration verfügbar ist ³.

# Three sandbox modes
codex --sandbox read-only           # Agent can read but not write
codex --sandbox workspace-write     # Agent writes only in project directory (default)
codex --sandbox danger-full-access  # No restrictions (named to signal risk)

Die Stärke: Die Durchsetzung auf Kernel-Ebene liegt unterhalb der Anwendung. Das Modell kann Einschränkungen nicht umgehen, indem es clevere Befehle formuliert; das Betriebssystem verweigert den Syscall, bevor er ausgeführt wird ³. Das danger--Präfix beim Vollzugriffsmodus spiegelt wider, dass das Entfernen von Sandbox-Einschränkungen eine außergewöhnliche Handlung ist, keine Routineeinstellung.

Die Schwäche: Kernel-Einschränkungen sind binär. Sie können Schreibvorgänge auf dem Dateisystem erlauben oder verweigern, aber Sie können nicht sagen: „Schreibvorgänge in src/ erlauben, aber Schreibvorgänge in config/ blockieren, es sei denn, die Änderung besteht einen Linter-Check.” Diese feingranulare Governance erfordert Logik auf Anwendungsebene.

Der Tradeoff ist real. Hooks bieten granulare, programmierbare Sicherheit, aber schwächere Grenzen. Sandboxing bietet stärkere Grenzen, aber gröbere Kontrolle. Eine schnelle Entscheidungsheuristik:

• Internes Vertrauen, externer Code: Nutzen Sie Codex mit read-only-Sandboxing, wenn Sie PRs von unbekannten Mitwirkenden reviewen. Der Kernel verhindert Dateiänderungen, unabhängig davon, was das Modell versucht.
• Vertrauenswürdiger Code, Richtliniendurchsetzung: Nutzen Sie Claude Code-Hooks, wenn Sie dem Codebase vertrauen, aber organisatorische Standards durchsetzen müssen: Commit-Nachrichten-Formate, Credential-Scanning, Linting-Gates.
• Beide Anliegen: Nutzen Sie beide. Verwenden Sie Codex für die initiale Sicherheitsgrenze, wechseln Sie dann zu Claude Code für governance-intensive Reviews.

Erweiterbarkeit

Beide Werkzeuge unterstützen Anpassungen, doch die Reife variiert je nach Mechanismus.

Wo Claude Code führt: Hooks. Das 26-Event-Lifecycle-System umspannt PreToolUse, PostToolUse, UserPromptSubmit, SessionStart, Stop, SubagentStart, SubagentStop, PreCompact, PermissionRequest, PermissionDenied, TaskCreated, CwdChanged, FileChanged und viele mehr ² und ermöglicht Governance-Muster, mit denen Codex’ Ein-Event-Benachrichtigungssystem nicht mithalten kann. Wenn Sie Qualitäts-Gates durchsetzen, Credential-Leaks vor Commits erkennen oder automatisch Kontext einspeisen müssen, ist Claude Codes Hook-Architektur erheblich ausgereifter.

Wo Codex führt: Werkzeugübergreifende Portabilität. AGENTS.md ist ein offener Standard, der von der Agentic AI Foundation unter der Linux Foundation verwaltet wird ¹³ und von 60.000+ Projekten adoptiert wurde ⁸. Dieselbe Anweisungsdatei funktioniert in Codex, Cursor, GitHub Copilot, Amp, Windsurf und Gemini CLI (mit Konfiguration) ¹⁴. CLAUDE.md ist mächtig, aber an Claude Code gebunden. Cloud-Aufgabendelegation ist ebenfalls ein Alleinstellungsmerkmal von Codex: codex cloud exec lagert langlaufende Arbeit an OpenAI-Infrastruktur aus und liefert Diffs zurück ¹², ein Workflow, den Claude Code nativ nicht bietet.

Wo jedes Werkzeug gewinnt

Basierend auf 36 Blind-Duellen, bei denen ich identische Prompts an beide Werkzeuge schickte und Ausgaben blind bewertete, sowie auf täglicher Produktionsnutzung:

Die vollständige Methodik und die Bewertung pro Duell finden sich in The Blind Judge.

Claude Code gewinnt

• Code-Review und Sicherheitsverifikation. Claude Code gewann 8 von 12 entschiedenen Duellen bei Review-Aufgaben ¹. Das Qualitätsphilosophie-System und Evidence-Gates fangen Probleme ab, die durch Codex’ eher prozeduralen Ansatz rutschen.
• Governance-intensive Workflows. Wenn Ihr Workflow Pre-Commit-Checks, Credential-Scanning, Output-Validierung oder Qualitäts-Gates erfordert, sind Hooks der Mechanismus. Codex’ Benachrichtigungssystem feuert nachdem der Agenten-Turn abgeschlossen ist ⁹; zu spät, um gefährliche Aktionen zu blockieren.
• Komplexe Multi-Agent-Orchestrierung. Explizite Subagent-Delegation via Task-Tool ¹⁰, kombiniert mit Deliberations-Systemen, ermöglicht Workflows, bei denen mehrere spezialisierte Agenten mit isoliertem Kontext zusammenarbeiten.
• Tiefgreifendes Refactoring von Codebases. Opus glänzt darin, architektonischen Kontext über lange Sitzungen hinweg zu halten. Die Context-Engineering-Muster, die Claude Codes Hook-/Skill-/Rules-Hierarchie steuern, übertragen sich direkt darauf, wie das Modell über große Codebases nachdenkt.

Codex gewinnt

• Sandbox-kritische Umgebungen. Wenn Sie einen KI-Agenten gegen nicht vertrauenswürdigen Code laufen lassen, externe PRs verarbeiten oder in einer CI/CD-Pipeline arbeiten, in der Sie harte Garantien für Dateisystem- und Netzwerkzugriff benötigen, ist Codex’ Sandboxing auf Kernel-Ebene das richtige Werkzeug ³. Hooks auf Anwendungsebene können diese Garantie nicht bieten.
• Werkzeugübergreifende Teams. Wenn Ihr Team mehrere KI-Coding-Tools nutzt, gibt Ihnen AGENTS.md eine Anweisungsdatei, die in Codex, Cursor, Copilot, Amp, Windsurf und weiteren funktioniert ¹⁴. Keine doppelte Pflege zwischen CLAUDE.md, .cursor/rules und Copilot-Anweisungen.
• Cloud-Async-Workflows. codex cloud exec delegiert Aufgaben an Cloud-Infrastruktur und liefert Diffs zurück ¹². Für CI/CD-Integration oder Batch-Verarbeitung ist dies ein Workflow, den Claude Code nativ nicht bietet.
• Echtzeit-Steuerung. Codex’ Steer-Modus erlaubt es Ihnen, Anweisungen mitten in der Aufgabe mit Enter (sofort) einzuspeisen oder Follow-ups mit Tab (nächster Turn) in die Warteschlange zu stellen ¹⁵. Claude Code unterstützt Follow-up-Nachrichten, aber keine Mid-Turn-Injektion.
• Desktop-Erfahrung. Codex’ Desktop-App (macOS) unterstützt Multitasking über parallele Worktrees und schwebende Pop-out-Fenster ¹⁶. Claude Code integriert sich mit VS Code und JetBrains ¹⁷, ist aber CLI-first.

Beide parallel betreiben

Die Werkzeuge stehen nicht in Konflikt. CLAUDE.md und AGENTS.md koexistieren im selben Repository. Hier ist mein Setup:

my-project/
├── .claude/
│   └── settings.json     # Claude Code project config
├── CLAUDE.md              # Claude Code instructions
├── AGENTS.md              # Codex + Cursor + Copilot instructions
└── codex.md               # Codex project config (optional)

Ein konkreter Dual-Tool-Workflow: Ich nutze Claude Code für die tägliche Entwicklung: Feature-Implementierung, Code-Review, Multi-File-Refactoring, bei dem Hooks Qualitäts-Gates bei jedem Schritt durchsetzen. Wenn ein externer Mitwirkender einen PR öffnet, wechsle ich zu Codex mit --sandbox read-only, um seine Änderungen gegen nicht vertrauenswürdigen Code zu reviewen. Wenn ich eine zweite Meinung zu einer Architekturentscheidung brauche, schicke ich denselben Prompt an beide Werkzeuge und vergleiche die Ausgaben blind nach dem Blind-Judge-Ansatz.

Der Dual-Tool-Ansatz hat empirische Unterstützung jenseits meiner eigenen Tests. Forschung von Milvus ergab, dass adversarisches Review zwischen mehreren KI-Modellen die Fehlererkennung von 53 % auf 80 % erhöhte ²³. Eine separate Studie ergab, dass iterative Claude-Codex-Review-Schleifen in 3 Runden 14 Probleme auffingen, die keines der Werkzeuge allein fand ²⁴. Keines der Werkzeuge ersetzt das andere; sie decken unterschiedliche Bedrohungsmodelle und Aufgabenprofile ab.

Zentrale Erkenntnisse

Wenn Sie ein Werkzeug auswählen:

• Beginnen Sie mit Ihren Sicherheitsanforderungen. Benötigen Sie Sandboxing auf Kernel-Ebene? Codex. Benötigen Sie programmierbare Governance-Hooks? Claude Code.
• Berücksichtigen Sie Ihr Team. Mehrere KI-Werkzeuge im Einsatz? AGENTS.md vermeidet doppelte Pflege der Anweisungen über Werkzeuge hinweg ¹⁴.
• Probieren Sie beide bei einer echten Aufgabe, bevor Sie entscheiden. Die Blind-Judge-Methodik funktioniert auch für die persönliche Evaluierung.

Wenn Sie bereits investiert sind:

• Claude Code-Benutzer: Schreiben Sie trotzdem eine AGENTS.md. Das dauert 20 Minuten und macht Ihr Projekt für Codex-, Cursor- und Copilot-Benutzer zugänglich.
• Codex-Benutzer: Beobachten Sie das Hooks-System, während es reift. Das aktuelle notify-Event ⁹ ist ein Ausgangspunkt; Community-Anfragen für erweiterte Hook-Events sind auf GitHub aktiv ¹⁸.
• Beide Werkzeuge verbessern sich schnell. Der Vergleich in diesem Beitrag hat eine Haltbarkeit, die in Monaten gemessen wird, nicht in Jahren.

FAQ

Kann ich beide Werkzeuge im selben Projekt nutzen?

Ja. CLAUDE.md und AGENTS.md sind getrennte Dateien ohne Konflikte. Jedes Werkzeug liest seine eigene Anweisungsdatei und ignoriert die andere. Ich pflege beide in meinen aktiven Projekten.

Welches Werkzeug eignet sich besser für Einsteiger?

Codex hat eine niedrigere Konfigurationshürde: Drei Sandbox-Modi und drei Freigaberichtlinien decken die meisten Anwendungsfälle ab ⁵. Claude Codes Stärke kommt aus Hooks und Skills, deren Einrichtung Investition erfordert. Beginnen Sie mit dem Modell (Claude oder GPT), mit dem Sie bereits vertraut sind.

Wie vergleichen sich die Kosten?

Beide nutzen token-basiertes Pricing über ihre jeweiligen APIs. Claude Code läuft über Anthropics Pricing; Codex läuft über OpenAIs Credit-System. Unabhängiges Benchmarking von Composio ergab, dass Codex 2–4× weniger Tokens für vergleichbare Ergebnisse verbrauchte. Bei einer Figma-Plugin-Aufgabe verbrauchte Claude Code 6,2M Tokens gegenüber Codex’ 1,5M ²². Token-Effizienz übersetzt sich nicht direkt in Kosten (unterschiedliches Pricing pro Token), aber Codex’ geringerer Token-Verbrauch ist ein messbarer Vorteil für budgetbeschränkte Workflows.

Funktioniert AGENTS.md mit Claude Code?

Derzeit nicht. Claude Code liest CLAUDE.md; Codex liest AGENTS.md. Die Formate sind sich ähnlich genug, dass Inhalte leicht zwischen ihnen übersetzt werden können, aber es gibt kein automatisches Cross-Reading. Beide zu schreiben erfordert minimalen Aufwand, da sich die Inhalte überschneiden.

Welches hat die bessere IDE-Integration?

Codex hat eine Desktop-App mit Multitasking und schwebenden Fenstern (ab Februar 2026 nur macOS) ¹⁶. Claude Code integriert sich mit VS Code via Extension und JetBrains via Plugin (Beta) ¹⁷. Beide funktionieren gut; die Wahl hängt davon ab, ob Sie CLI-first (Claude Code) oder GUI-first (Codex) Workflows bevorzugen.

Referenzen