Überlass E-Mails nicht der KI — der Posteingang braucht keinen Assistenten, sondern eine „Firewall“ (Open Source)

Die heutigen Tools für „KI-E-Mail“ gehen alle in dieselbe Richtung. Sie legen für jede Mail einen Entwurf an, kleben ein Badge „KI empfiehlt zu antworten“ daran und bauen einen Button fürs automatische Senden ein. Das Ergebnis? Der Posteingang wird nicht ruhiger, sondern lauter. Man legt nur noch einen Bildschirm über den anderen.

Ich habe das genaue Gegenteil gebaut. Nicht die KI übernimmt den Posteingang, sondern eine Firewall, die KI in Schach hält. Klorn gibt für jede eingehende Mail genau eine Klassifizierung aus und zeigt den Rest nicht an.

Vier Stufen — SILENT (nur protokolliert, nicht sichtbar) / QUEUE (in der Queue sichtbar, keine Benachrichtigung) / PUSH (weckt dich wirklich) / AUTO (derzeit nur Klassifizierung, Ausführung absichtlich nicht angebunden).

Der Kern: Das LLM trifft keine Entscheidungen. Es bewertet pro Mail nur vier Zahlen (Konfidenz, Vertrauen in den Absender, Reversibilität, Dringlichkeit), und menschenlesbare deterministische Regeln mappen diese auf die Stufen. Dadurch lässt sich die Policy auch ohne Modell auditieren und testen; selbst wenn das LLM ausfällt, erzeugt ein Keyword-Fallback dieselben Zahlen, sodass dringende Mails durchkommen.

Und Unumkehrbares überlasse ich niemals der KI. Senden, endgültiges Löschen und externe Weiterleitung liegen hinter einem deterministic floor: Zum Zeitpunkt der Freigabe werden die zu sendenden Bytes als Receipt fixiert, und wenn bei der Ausführung auch nur ein Byte abweicht, wird geworfen. Autonome Pfade sind fail-closed. Selbst wenn die KI behauptet „Ich habe es gesendet“, geht nichts raus, wenn die Bytes nicht stimmen.

Auch den Teil „KI ist Magie“ habe ich direkt gemessen. Bei Klassifizierungsaufgaben war ein viel günstigeres Modell genauer als GPT-4o. Für so etwas braucht man kein Genie-Modell, sondern Konsistenz: dieselben vier Signale jedes Mal gleich lesen (Zahlen und Begründung im Artikel unten).

AGPLv3 Open Source, lässt sich an jeden OpenAI-kompatiblen Endpoint anbinden (mit Ollama verlassen Mails meine Maschine nicht). Ehrlich gesagt: frühes PoC — etwa 80 % Übereinstimmung bei 50 meiner echten Mails (ein Durchlauf, von mir gesetzte Baseline), bislang bin ich der einzige echte Nutzer, AUTO-Ausführung ist absichtlich deaktiviert. Wenn ich übertreibe, zerlegt mich der erste Kommentar.

Design-Artikel (Serie mit Architektur-Diskussionen unter Engineers):

Warum ein günstiges Modell GPT-4o geschlagen hat: https://dev.to/k08200/…
Warum das LLM nur Scores vergibt und keine Entscheidungen trifft: https://dev.to/k08200/…
Deterministic floor für irreversible Aktionen: https://dev.to/k08200/…
Repo: https://github.com/k08200/klorn (docker-compose + lokales LLM-Setup). Die Demo läuft im OAuth-Testing-Modus (100 Personen), daher ist Self-Hosting am schnellsten.