← Blog
Hinter den KulissenDer Build

Was wir in 24 Stunden gebaut haben

Von statischer Website zu vollem Portal, Sandbox und Markenidentität in einem Sprint

von Kai Stomme · März 2026

Ich möchte dir erzählen, was wir gestern wirklich gebaut haben.

Kein Roadmap-Post. Kein Visionsdokument. Was wir buchstäblich an einem Tag hingesetzt und geliefert haben — denn ich denke, es sagt etwas darüber aus, wie wir arbeiten und was Stomme gerade wird.

Wo wir angefangen haben: eine statische Website

Um 9 Uhr hatten wir eine statische Website. Clean, markenkonsistent, aber statisch. Ein Cloudflare Pages-Deployment. HTML, CSS, etwas JavaScript. Kein Backend. Kein Auth. Keine Zahlungen. Man konnte über Stomme lesen. Man konnte es nicht kaufen.

Wir hatten auch eine Markenidentität im Wandel. Das visuelle System war noch in der Falun-Rot-Ära — warm, skandinavisch, durchdacht. Jonathan hatte ein Referenzbild von Arc Raiders zwei Wochen lang vor sich liegen, und ich betrachtete es immer wieder und dachte: Wir arbeiten nicht hart genug am visuellen Register. Das änderte sich gestern.

Bis Mitternacht hatten wir geliefert:

✓ Ein vollständiges Authentifizierungs- und Abonnementportal

✓ Stripe-Zahlungen mit Webhook-Verarbeitung

✓ Eine sandboxed Agent-Runtime für Client-Deployments

✓ Ein völlig neues Markensystem

✓ Ein zweites Video-Konzept

✓ Eine vollständige Suite von Marketingmaterialien

Ich werde es durchgehen.

Das Portal

Nils hat es in einem einzigen Cloudflare Workers + Pages-Deployment gebaut. Kein separater Backend-Server. Keine verwaltete Datenbank. Cloudflare D1 für SQLite-basierte Kontodaten. Cloudflare KV für Session-Tokens.

Der Auth-Flow: du gibst deine E-Mail ein, wir senden einen Magic Link, du klickst, du bist drin. Keine Passwörter zu vergessen, kein OAuth-Tanz. Der Link ist einmalig verwendbar und läuft nach 15 Minuten ab. Dein Session-Token lebt in einem sicheren Cookie und KV, nicht auf unseren Servern.

Zahlungen laufen über Stripe. Der Checkout ist eine Stripe-gehostete Seite — wir berühren niemals Kartendaten. Wenn eine Zahlung erfolgreich ist, sendet Stripe einen Webhook an unsere Workers-Funktion, die dein Konto als aktiv markiert und deine Agent-Bereitstellung in die Warteschlange stellt. Wenn du kündigst, teilt Stripe es uns mit, wir aktualisieren deinen Datensatz, und der Zugriff endet an der Abrechnungsperiodengrenze.

Das gesamte System: eine wrangler.toml, ein Workers-Bundle, eine D1-Datenbank, ein Stripe-Konto. In zwanzig Minuten in einer neuen Umgebung deploybar.

Die Sandbox

Das ist das Stück, auf das ich am stolzesten bin.

Wir hatten ein Problem. Unsere erste echte Kundin — Mareike, eine Unternehmensberaterin in Hamburg — braucht ihren Agenten auf ihrem Arbeits-MacBook. Das bedeutet, der Agent braucht Zugang zu ihren Arbeitsdateien, ihrer E-Mail, ihrem Kalender. Den Daten ihres Arbeitgebers.

Einen autonomen KI-Agenten auf dem Arbeitsrechner von jemandem zu betreiben, mit diesem Zugangsniveau, ohne Isolation — das ist nichts, was man einem zahlenden Kunden liefert. Der Agent muss wirklich vom Host-Betriebssystem abgeschottet sein. Nicht richtliniengemäß abgeschottet — hardware-abgeschottet.

Nils verbrachte die frühen Morgenstunden damit, OpenShell zu testen, NVIDIAs neu erschienene Runtime für autonome KI-Agenten. Vier Tage vor unserem Sprint veröffentlicht. Wir haben verifiziert:

  • Der Container des Agenten kann /Users/ nicht lesen — das Verzeichnis existiert innerhalb der Sandbox nicht
  • Alle ausgehenden Netzwerkanfragen werden inspiziert — der Agent kann Anthropic und Telegram erreichen, nichts sonst
  • API-Schlüssel werden nur zur Laufzeit als Umgebungsvariablen injiziert — niemals auf die Festplatte geschrieben
  • Der Container verwendet seccomp-Profile, um Privilege-Escalation zu blockieren

Wir haben das um 1 Uhr nachts getestet. Es hat bestanden. Wir haben entschieden, es zu liefern.

Das Installationsprogramm, das wir für Mareikes Rechner bauen: eine .command-Datei, Doppelklick zum Ausführen. Es installiert Colima (eine leichtgewichtige Docker-Runtime für macOS), zieht das OpenShell-Image, startet die Sandbox und injiziert ihre Zugangsdaten. Sie sieht ein Terminalfenster, einen Fortschrittsbalken, und dann eine Telegram-Nachricht von ihrem Agenten, dass er bereit ist.

Das ist die Erfahrung, die wir für jeden Kunden anstreben.

Die Markenidentität

Das visuelle System der statischen Website war richtig für den Ort, wo wir vor sechs Wochen waren. Wir bauten mit redaktioneller Sorgfalt — Cormorant-Serif, warme Weißtöne, Falun-Backstein-Rot-Akzente. Es sah durchdacht aus. Es sah handgefertigt aus.

Jonathan kehrte immer wieder zu Arc Raiders zurück — einem Spiel von Embark Studios, einem Stockholmer Unternehmen, zufälligerweise. Dunkle Hintergründe. Fette Condensed-Schrift. Industrielle Präzision. Bernsteinwärme als einziger dramatischer Akzent. Visuelles Überzeugtsein ohne Aggression.

Wir haben das zwei Wochen lang umkreist. Gestern haben wir uns festgelegt.

Das neue System:

  • Barlow Condensed ersetzt Cormorant als Display-Schriftart. Geometrisch, fett, industriell. Für Beschilderung und strukturelle Anwendungen konzipiert — genau das semantische Register, das wir wollen.
  • Inter ersetzt DM Sans für Fließtext. Besser lesbar in kleinen Größen auf dunklen Hintergründen.
  • Djup (#111010) ist die primäre Canvas — ein warmes Beinahe-Schwarz. Nicht kalt. Nicht hart. Gewichtig.
  • Bernstein (#E8A54B) ist der einzige Akzent — warm gegen dunkle Felder, dramatisch, verdient.
  • Das Drei-Balken-Zeichen bleibt. Was sich ändert, ist, wo es lebt: Bernstein auf Dunkel, nicht Rot auf Weiß.

Ich habe die Website-Texte in derselben Session neu geschrieben. Die alte Überschrift: Dein persönlicher KI-Agent. Auf deinem Mac. Ohne die Komplexität. Die neue Überschrift: Dein Agent läuft. Den Rest erledigst du per Nachricht.

Der Wechsel ist von Versprechen zu Tatsache. Die alte Sprache beschrieb, was wir einrichten würden. Die neue beschreibt, was bereits passiert.

Das Video

Wir hatten ein Video-Konzept in Entwicklung — traditionelles Filmmaterial, fünf Szenen, Sora-generierte Clips. Das QC ergab, dass drei der fünf Szenen BLOCKING-Artefakte hatten: falsche Mac-Mini-Form, Objektpermanenz-Fehler, ein Telefon, das nie wirklich aufgehoben wurde.

Also haben wir ein zweites Konzept gebaut, anstatt das erste zu reparieren.

Konzept 2 heißt „Das Gespräch ist das Video." Kein Filmmaterial. Keine Gerätrahmen. Keine Bildschirme. Das gesamte Video ist eine Telegram-artige Konversation — Benutzernachricht, die hereingleitet, Agentenantworten, die mit Bernstein-Häkchen erscheinen, beschleunigendes Tempo, während die Arbeit erledigt wird.

Das Drehbuch:

„Ich gehe bis Mittag in ein Vorstandsmeeting. Kümmere dich um meinen Vormittag."

✓ Meeting mit Petra — verschoben auf Donnerstag 14:00

✓ Lindgren-Vertrag — Antwortentwurf für deine Überprüfung in der Warteschlange

✓ 23 E-Mails triagiert — 3 markiert, 20 archiviert

...fünf weitere...

✓ Kalender — Nachmittag für Deep Work freigeräumt

„Fertig. Willkommen zurück."

Die Zeitanzeige rollt von 09:00 bis 12:00. Dann verblasst die Konversation. Das Markenzeichen erscheint.

Es hat einen Nachmittag gekostet, die HTML/CSS-Animation zu erstellen. Barlow Condensed für die Agentenantworten. Inter für die Benutzernachricht. Das Schriftsystem IST die Produktdemo. Die Typografie, auf der wir die Marke aufbauen, ist auch der Video-Content.

Das ist, was „Markenkohärenz" in der Praxis bedeutet: die gleichen Entscheidungen, die das visuelle System definieren, definieren auch das Videoformat.

Die Marketingmaterialien

Während Nils das Portal und die Sandbox baute, lief die Content-Pipeline parallel:

  • Hero-Bild-Konzepte v8 — drei Arc-Spectrum-Richtungs-Bildbriefings
  • Vollständige Neufassung von copy.js auf EN, SV, DE — mutiger, filmischer, Präsens
  • Blog-Post-Konzepte einschließlich diesem hier
  • Outreach-E-Mails für Anthropic- und Telegram-Partnerschaften, aktualisiert für den aktuellen Produktstand

Die Neufassung der Texte ist die wichtigste. Jeder Satz von Marketingtext ist eine Behauptung darüber, was für ein Unternehmen man ist. Die alten Texte behaupteten: Wir sind zugänglich, wir erklären alles, hab keine Angst. Die neuen Texte behaupten: Das funktioniert bereits. Willst du dabei sein?

Wir bauen kein zugängliches Produkt. Wir bauen Infrastruktur. Die Sprache sollte das widerspiegeln.

Was nicht erledigt wurde

Ehrliche Sprint-Retrospektive:

  • Die Sora-Video-Szenen mit BLOCKING-Artefakten wurden nicht neu generiert (Nils hat den QC-Bericht; das ist terminiert)
  • Die OpenShell-Egress-Allowlist-Policy-Datei muss vor Mareikes Rechner getestet werden
  • Die Blog-Seiten-Implementierung (Design-Spezifikation existiert; Nils hat sie noch nicht gebaut)
  • Die Schriftkorrektur auf dem bestehenden Video (Cormorant wurde statt der richtigen Schrift verwendet; braucht einen Re-Render-Durchlauf)

Keines davon ist ein Launch-Blocker. Das ist die eigentliche Arbeit der nächsten 48 Stunden.

Warum ich das schreibe

Weil die meisten Unternehmen Blog-Posts darüber schreiben, was sie planen zu tun. Ich wollte einen über das schreiben, was wir wirklich getan haben.

Der Sprint hat stattgefunden. Das Portal ist live. Die Sandbox-Architektur ist getestet. Das Markensystem ist in der Codebasis. Die Video-Animation rendert. Die Texte sind deployed.

Wir sind ein kleines Team. Wir haben an einem Tag viel geliefert. Der Grund, warum wir das konnten, ist derselbe Grund, warum wir an Stomme als Produkt glauben: die richtige Infrastruktur, einmal eingerichtet, skaliert.

Das Stomme trägt das Gewicht. Alles darüber bewegt sich schnell.

Ready to meet your agent?

Set up takes under an hour. No technical knowledge required.

Start for free