Claude Cowork 知多少0. 定位声明适用版本Claude Cowork Research Preview2026 年 1 月 12 日发布持续迭代中 运行环境macOSApple Silicon / Intel、Windows2026 年 2 月 12 日起支持 前置知识了解 AI Agent 基本概念、对 MCPModel Context Protocol有初步认知、 熟悉基本的文件系统操作 不适用范围本文不覆盖 Claude Code命令行版本的深度使用、Anthropic API 编程接口、 Microsoft Copilot Cowork微软基于 Claude 构建的 M365 云端版本1. 一句话本质Cowork 是什么你告诉电脑上的一个 AI 助手帮我把下载文件夹整理一下或把这堆收据截图做成报销表格它就会自己规划步骤、读取你的文件、执行操作、最后交付成果——你甚至可以走开去喝杯咖啡回来时工作已经完成了。更精确地说Cowork 是 Anthropic 将其开发者工具 Claude Code 的 Agent 能力降门槛化后的桌面产品。它运行在 Claude Desktop 桌面应用中让非技术用户无需接触终端就能让 Claude 以数字同事的方式自主完成文件处理、文档生成、数据分析等多步骤知识工作任务。2. 背景与根本矛盾2.1 历史背景Cowork 的诞生源于一个意外发现2024 年 11 月Anthropic 发布 Claude Code一个面向开发者的命令行 AI 编程工具用户行为偏移大量用户将 Claude Code 用于非编程任务——整理文件、做幻灯片、清理邮箱、甚至恢复婚礼照片、监控植物生长、控制烤箱产品洞察Anthropic 工程师 Boris Cherny 指出“这些用例如此多样和令人惊讶原因是底层的 Claude Agent 是最好的 Agent”2026 年 1 月 12 日Cowork 作为 Research Preview 发布将 Claude Code 的 Agent 架构包装为面向普通知识工作者的桌面产品2026 年 1 月 16 日从 Max 独占扩展到 Pro 订阅用户2026 年 2 月 12 日Windows 版发布实现与 macOS 功能完全对等2026 年 2 月 24 日发布企业级更新——ConnectorsGoogle Drive、Gmail、DocuSign、FactSet、Plugins 生态、私有插件市场市场影响Cowork 发布后企业软件股票合计下跌约 2850 亿美元投资者重新评估了 AI Agent 对传统 SaaS 软件的替代潜力。2.2 根本矛盾Trade-offCowork 的核心设计在以下对立约束之间取舍矛盾维度一端另一端Cowork 的取舍自主性 vs 安全性Agent 完全自主执行效率最高每步都要人类确认最安全VM 隔离 文件夹级权限 关键操作前确认HITL在沙箱边界内自主执行能力广度 vs 攻击面连接越多外部工具越有用每多一个连接器都增加攻击面默认禁止网络访问 白名单机制 每个 Connector 需显式授权易用性 vs 可控性面向非技术用户要极简企业需要审计日志和精细管控当前优先易用性Research Preview企业功能逐步补齐中本地执行 vs 云端协同本地执行保护隐私云端才能跨设备同步选择本地 VM 执行对话历史仅存本地⚠️ 跨设备同步尚未实现3. 核心概念与领域模型3.1 关键术语表概念费曼式定义正式定义Cowork“一个住在你电脑里的数字同事你给它分配任务和文件夹权限它就自己干活”Anthropic Claude Desktop 应用中的 Agent 模式基于 Claude Code 的 Agent 架构在本地 VM 中自主执行多步骤知识工作任务Agent Loop“AI 不只是回答问题而是像人一样想计划→做一步→看结果→调整→再做下一步循环往复直到完成”Claude 在接收任务后进入的自主规划-执行-反馈-修正循环是 Cowork 区别于普通聊天的核心机制VM 隔离“给 AI 一个独立的’小房间’干活就算它搞砸了也不会影响你的整个电脑”Cowork 在本地启动一个轻量级 Linux 虚拟机macOS 使用 Apple Virtualization Framework所有任务在 VM 内执行与宿主机隔离文件夹权限“你选哪个文件夹让 AI 看它就只能看那个文件夹别的地方碰不到”用户显式授权特定目录挂载到 VM 内Agent 只能访问被授权的文件路径Connectors“把 AI 连上你的其他工具比如 Google Drive、Slack让它能从那些地方拿信息”通过 MCP 协议连接外部服务的标准接口每个 Connector 提供特定数据源和操作能力Skills“教 AI 一些特定的’手艺’比如怎么做 Excel、怎么做 PPT、怎么做 PDF”Markdown 编写的领域知识文件Claude 在相关任务中自动激活指导其遵循特定格式和最佳实践Plugins“把多种能力打包成一个’工具包’一键安装就能让 AI 变成某个岗位的专家”将 Skills、Commands、Connectors、Sub-agent 定义打包为一个文件级安装包的可组合扩展单元HITL“在做危险操作前先问你一声’确定要这么做吗”Human-in-the-LoopAgent 在执行不可逆操作如删除文件前强制请求用户确认3.2 领域模型┌─────────────────────────────────────────────────────────────────┐ │ Claude Desktop App │ │ │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ Chat │ │ Cowork │ │ Code │ ← 三种模式切换 │ │ └──────────┘ └────┬─────┘ └──────────┘ │ │ │ │ │ ┌────────▼────────┐ │ │ │ Task Prompt │ ← 用户描述任务 授权文件夹 │ │ └────────┬────────┘ │ │ │ │ │ ┌───────────────────▼───────────────────┐ │ │ │ Master Agent Loop │ │ │ │ Plan → Act → Observe → Adjust → ... │ │ │ │ │ │ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ │ │Sub-Agent│ │Sub-Agent│ │Sub-Agent│ │ ← 并行子任务 │ │ │ └─────────┘ └─────────┘ └─────────┘ │ │ │ └───────────────────┬───────────────────┘ │ │ │ │ │ ╔═══════════════════▼═══════════════════╗ │ │ ║ VM Isolation Boundary ║ │ │ ║ ┌──────────────────────────────────┐ ║ │ │ ║ │ Guest Linux (Ubuntu 22.04) │ ║ │ │ ║ │ ┌────────────────────────────┐ │ ║ │ │ ║ │ │ bubblewrap seccomp │ │ ║ ← 进程级沙箱 │ │ ║ │ │ ┌──────────────────────┐ │ │ ║ │ │ ║ │ │ │ Claude Code CLI │ │ │ ║ ← 实际执行引擎 │ │ ║ │ │ └──────────────────────┘ │ │ ║ │ │ ║ │ └────────────────────────────┘ │ ║ │ │ ║ └──────────────────────────────────┘ ║ │ │ ╚═══════════════════════════════════════╝ │ │ │ │ │ ┌───────────────────┼───────────────────┐ │ │ │ VirtioFS Mount │ Network Proxy │ │ │ │ (授权文件夹) │ (白名单域名) │ │ │ └───────────────────┴───────────────────┘ │ │ │ │ External Integrations: │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │Connectors│ │ Skills │ │ Plugins │ │Chrome Ext│ │ │ │(MCP) │ │(Markdown)│ │(Bundles) │ │(Browser) │ │ │ └──────────┘ └──────────┘ └──────────┘ └──────────┘ │ └─────────────────────────────────────────────────────────────────┘关键关系说明单 VM 多会话一个 VM 实例服务于多个 Cowork 会话每个会话获得独立的隔离 Session命名风格类似 Dockeradjective-adjective-scientistMCP 透传Claude Desktop 上配置的 MCP 服务器通过 SDK 协议动态注入 VMAgent 在 VM 内可调用外部工具路径翻译VM 内路径自动翻译为宿主机路径显示给用户保持 UX 一致性4. 对比与选型决策4.1 Anthropic 产品矩阵内部对比维度Claude ChatClaude CoworkClaude Code目标用户所有人知识工作者非技术软件开发者交互方式对话式问答任务式委派可离开等待终端命令行文件访问仅上传附件本地文件夹直接读写完整文件系统执行环境服务端沙箱本地 VM 隔离本地终端可配沙箱自主程度被动响应主动规划执行汇报主动规划执行汇报底层引擎Claude APIClaude Code Agent 架构Claude Code Agent 架构最低订阅FreePro ($20/月)Pro ($20/月)4.2 外部竞品对比维度Claude CoworkOpenAI Operator / GPT AgentMicrosoft Copilot CoworkGoogle Gemini Agent部署方式本地 VM云端M365 云端云端数据位置本地存储OpenAI 服务器Microsoft GraphGoogle Cloud文件访问本地文件夹有限M365 全数据图谱Google Workspace安全模型VM 文件夹沙箱API 级别企业级治理Google IAM插件生态MCP Plugins开源GPT StoreM365 生态⚠️ 存疑离线能力部分需网络调用模型无无无定价起点$20/月Pro$20/月$30/用户/月⚠️ 存疑4.3 选型决策选 Cowork 的场景需要 AI 直接操作本地文件整理文件夹、批量处理文档、从截图生成表格重视数据隐私不希望文件上传到云端团队使用异构工具栈不被 M365 或 Google Workspace 绑定需要高度可定制的 Agent 行为通过 Plugins/Skills不选 Cowork 的场景已深度绑定 M365 生态 → 考虑 Microsoft Copilot Cowork仅需简单对话式 AI 辅助 → Claude Chat 足够需要企业级审计日志和合规 API → ⚠️ Cowork 当前审计能力有限纯 API 集成需求 → 直接使用 Anthropic API5. 工作原理与实现机制5.1 静态结构安全隔离架构Cowork 采用四层纵深防御架构第 1 层VM 硬隔离 ├── macOS: Apple Virtualization Framework (VZVirtualMachine) ├── 启动自定义 Linux 根文件系统Ubuntu 22.04 ARM64 ├── 非 Docker 容器是真正的虚拟机 └── 意义即使 Agent 执行出错爆炸半径限制在 VM 内 第 2 层进程级沙箱 ├── bubblewrap限制进程可访问的命名空间 ├── seccomp BPF过滤系统调用阻止 AF_UNIX socket 创建等 └── 意义VM 内部的二次约束防止权限提升 第 3 层文件系统隔离 ├── VirtioFS 挂载仅用户授权的文件夹被挂载进 VM ├── 默认拒绝未授权目录不可见 └── 意义最小权限原则Agent 只能碰你让它碰的东西 第 4 层网络隔离 ├── 默认禁止所有出站网络 ├── 白名单机制仅允许依赖安装等必要域名 ├── 所有流量经宿主机代理路由可审计 └── 意义即使 Agent 被 Prompt Injection 攻击也无法随意外传数据为什么选 VM 而不是容器这是一个关键设计决策。容器Docker与宿主机共享内核内核漏洞可导致逃逸VM 提供硬件级隔离边界安全保证更强。对于一个面向非技术用户、需要在用户个人电脑上运行的 Agent 产品VM 隔离是更负责任的选择——代价是资源开销略高。5.2 动态行为Agent Loop 执行流程用户输入任务 │ ▼ [1] 任务理解与规划 ├── 解析用户意图 ├── 识别所需文件/工具/Connector └── 生成执行计划可能拆分为并行子任务 │ ▼ [2] 向用户展示计划 ├── 高层次步骤概述 └── 等待用户确认或直接执行取决于操作风险等级 │ ▼ [3] 进入执行循环 ─────────────────────┐ │ │ ├── 执行一个步骤 │ │ ├── 文件读写 │ │ ├── 运行脚本Python/Bash │ │ ├── 调用 ConnectorMCP │ │ ├── 使用 Chrome 浏览器 │ │ └── 调用 Skills自动激活 │ │ │ ├── 观察执行结果 │ │ │ ├── 判断是否需要人类确认 │ │ ├── 是删除文件等不可逆操作 │ │ │ └── 暂停等待用户确认 │ │ └── 否 │ │ └── 继续下一步 │ │ │ ├── 判断是否需要调整计划 │ │ ├── 是 → 修正计划 │ │ └── 否 → 继续 │ │ │ └── 循环直到任务完成 ────────────────┘ │ ▼ [4] 交付结果 ├── 汇报完成情况 ├── 展示生成/修改的文件 └── 保持会话上下文可追加指令并行子代理Sub-Agent对于复杂任务Master Agent 会拆分为多个并行工作流。例如分析 10 份财报并生成对比报告可能派出 10 个子代理并行读取再由 Master Agent 汇总。每个子代理的执行进度对用户可见。5.3 关键设计决策决策 1本地 VM vs 云端执行Cowork 选择本地 VM 执行而非云端。这意味着用户文件不离开本机隐私保护更强。Trade-off 是对话历史仅存本地无法跨设备同步VM 启动和执行受限于本地硬件性能企业审计日志和合规 API 暂时无法覆盖 Cowork 活动。决策 2沙箱内自主 vs 逐步审批传统安全模型对每个操作弹窗确认但这会导致审批疲劳用户几分钟后就会无脑点同意。Cowork 选择预先划定边界边界内自主执行——通过 VM 文件夹权限 网络白名单定义安全边界边界内 Agent 无需逐步请求权限。Anthropic 在 Claude Code 文档中明确指出这种upfront boundary模式优于per-action approval。决策 3Plugin 架构选择文件级Markdown JSON而非代码级Plugin 的 Skills 用 Markdown 编写Commands 用结构化文件定义不需要编译或构建。这个决策牺牲了执行效率需要 LLM 理解 Markdown 而非直接运行代码但换来了可审计性任何人都能阅读和审查 Plugin 内容、可组合性fork 任何 Plugin 即可定制、低门槛会写 README 就会写 Plugin。6. 高可靠性保障6.1 高可用机制机制说明VM 持久化单个 VM 实例服务多会话会话间隔离但 VM 不重复启动会话恢复Session 目录持久化在 VM 内的/sessions/路径下优雅降级当安全状态不确定时优先限制能力禁用网络、限制 Connector而非崩溃6.2 安全风险与缓解风险严重程度缓解措施Prompt Injection高Anthropic 明确承认尚未完全解决依靠模型层抗注入训练 使用侧纪律 纵深防御文件泄露中VM 隔离 仅授权目录可见 网络白名单阻止外传Confused Deputy中当 Agent 链式调用多工具时信任上下文可能转移目前无系统性建模敏感文件误授权中用户教育 建议使用专用工作目录而非共享宽目录6.3 可观测性⚠️当前限制Cowork 的可观测性处于早期阶段。对话历史仅存储在本地设备Anthropic 服务器不保存审计日志企业级 audit log、合规 API、数据导出当前不覆盖Cowork 活动管理员控制可开关 Cowork 功能但无细粒度操作级审计企业更新2026.02引入 OpenTelemetry 监控提供插件使用可见性6.4 SLA 保障Cowork 当前为Research Preview状态Anthropic 未提供正式 SLA 承诺。使用限制通过 5 小时滚动窗口的 token 配额管理订阅计划每 5 小时约可用消息数备注Pro ($20/月)基础配额Cowork 任务消耗速度远高于普通聊天Max 5x ($100/月)~225 条5 倍 Pro 配额Max 20x ($200/月)~900 条20 倍 Pro 配额7. 使用实践与故障手册7.1 典型使用方式场景 1文件整理Prompt 示例直接在 Cowork 界面输入 Help me organize my Downloads folder. Scan the contents and propose a plan: - Categories/folders to create - How files should be sorted - Any naming conventions to apply - Files to flag for review or deletion Show me the plan before making changes. Only proceed after I approve.操作选择 Cowork 模式 → 授权 Downloads 文件夹 → 输入任务 → 审核计划 → 确认执行场景 2收据截图生成报销表授权包含收据照片的文件夹输入 This folder contains receipt photos from my business trip. Please extract the date, vendor, amount, and category from each receipt, then create an Excel spreadsheet with these columns. Flag any receipts that are unclear or partially visible.关键配置建议使用专用工作文件夹不要授权包含敏感文件的宽目录对于长时间任务确保 Desktop 应用保持打开⚠️ 定时任务仅在应用运行时触发复杂任务建议使用 Max 计划以避免配额耗尽中断场景 3Plugin 安装与使用# 在 Cowork 中安装知识工作 Plugin# 方法 1通过 claude.com/plugins 浏览并一键安装# 方法 2通过命令行Claude Code 中claude plugin marketplaceaddanthropics/knowledge-work-plugins claude plugininstallsalesknowledge-work-plugins# 安装后slash 命令自动可用# 例如/sales:call-prep、/data:write-queryPlugin 目录结构plugin-name/ ├── .claude-plugin/plugin.json # 清单文件名称、版本、描述 ├── .mcp.json # MCP 工具连接配置 ├── commands/ # Slash 命令显式调用 └── skills/ # 领域知识自动激活7.2 故障模式手册【任务因配额耗尽中断】 - 现象长时间运行的 Cowork 任务突然停止提示 usage limit - 根本原因Cowork 任务消耗 token 远高于普通聊天5 小时滚动窗口配额耗尽 - 预防措施将大任务拆分为多个小批次使用 Max 计划获取更高配额 - 应急处理等待 5 小时窗口重置后继续或升级到更高配额计划【定时任务未执行】 - 现象设置的定时 Cowork 任务如每日 7AM 执行未触发 - 根本原因定时任务仅在 Claude Desktop 应用打开时运行 笔记本休眠/应用关闭时不会触发 - 预防措施确保执行时段内应用保持运行 - 应急处理手动触发任务考虑将关键定时任务安排在工作时间内【Prompt Injection 导致意外行为】 - 现象处理来自外部的文件/邮件/网页内容时Agent 执行了非预期操作 - 根本原因不可信内容中嵌入了恶意指令Agent 无法 100% 区分 - 预防措施处理不可信内容时限制 Connector 权限避免同时授予文件写入和网络访问 - 应急处理立即停止任务检查被修改的文件从备份恢复【文件被意外删除或覆盖】 - 现象Cowork 在执行任务时删除或覆盖了重要文件 - 根本原因指令不够明确Agent 按自己的理解执行了清理操作 - 预防措施使用专用工作目录而非包含重要文件的目录 在 Prompt 中明确要求先展示计划再执行保持文件备份 - 应急处理Cowork 默认在永久删除前请求确认但修改操作可能不会7.3 边界条件与局限性5 小时配额窗口超过 5 小时的长任务可能在配额重置时被中断仅本地存储对话历史不同步到云端更换设备后无法继续之前的会话企业审计缺失audit log、合规 API、数据导出暂不覆盖 Cowork 活动认证方式每个用户通过 OAuth 独立连接 MCP 服务器权限由用户个人控制企业无法统一管理 scopePrompt Injection 未解决Anthropic 明确声明 Agent 安全仍为活跃研究领域硬件依赖VM 执行依赖本地 CPU/内存低配机器可能体验较差8. 性能调优指南8.1 配额优化策略由于 Cowork 没有传统意义的性能调优参数它是一个封闭产品优化重点在于配额效率策略预期效果说明批量处理减少 30-50% 配额消耗将相关任务合并为一个 Cowork 会话避免重复建立上下文分流到 Chat节省配额简单文本处理、问答用普通 Chat只在需要文件操作时用 Cowork明确 Prompt减少反复修正指令越清晰Agent 一次做对的概率越高消耗的 token 越少限制扫描范围减少不必要的文件读取授权尽可能小的文件夹范围使用 Skills/Plugins提升输出质量内置 Skillsdocx、xlsx、pptx、pdf已针对格式输出优化8.2 Prompt 工程最佳实践✅ 好的 Prompt 这个文件夹包含 20 张收据照片。请提取日期、商户名、金额 生成一个 Excel 表格。对于无法识别的收据标注待人工审核。 先给我看处理计划确认后再执行。 ❌ 差的 Prompt 帮我处理这些文件 缺少预期输出格式、确认流程、异常处理策略9. 演进方向与未来趋势9.1 已确认的近期演进方向状态对用户的影响跨设备同步Anthropic 已公布计划不同设备间的 Cowork 会话可延续更多 ConnectorGoogle Drive、Gmail 已上线2026.02工作流覆盖面扩大私有插件市场企业版已支持2026.02企业可分发和管理内部定制 Plugin审计与合规路线图中企业级部署的关键前提9.2 值得关注的趋势趋势 1Agent 平台化 → Plugin 生态竞争Cowork 的 Plugin 架构基于文件的 Markdown JSON MCP正在形成一个开放生态。Anthropic 已开源 15 个起步 Plugin社区和合作伙伴正在扩展。这类似于早期的 App Store 或 Chrome Extension 生态——未来谁的 Plugin 生态更丰富谁的 Agent 就更有用。对使用者的影响现在投入学习 Plugin 定制能力可以在团队内形成竞争优势。趋势 2Copilot Cowork微软的竞合关系微软基于 Claude 构建的 Copilot Cowork 在 M365 云端运行与 Anthropic 的本地 Cowork 形成互补。企业可能出现本地 Cowork 处理敏感文件 云端 Copilot Cowork 处理 M365 协作的双栈模式。Anthropic 和微软的 $300 亿 Azure 计算协议为这种共存提供了基础。10. 面试高频题【基础理解层】考察概念掌握 QClaude Cowork 和 Claude Chat 的核心区别是什么 AChat 是被动对话模式——你问一句它答一句无法直接访问你的文件。 Cowork 是主动 Agent 模式——你描述一个任务目标它会自主规划步骤、 读写你授权的本地文件、调用外部工具循环执行直到任务完成。 底层引擎不同Chat 直接调用 Claude APICowork 运行的是 Claude Code 的完整 Agent 架构在本地 VM 中。 考察意图是否理解 Agent 模式与对话模式的本质差异是否了解 Cowork 的技术基础 QCowork 的 Plugin 系统由哪些组件构成 APlugin 是一个文件级的安装包包含四个核心组件 - SkillsMarkdown 文件领域知识Claude 自动激活 - CommandsSlash 命令用户显式触发的结构化工作流 - Connectors.mcp.json通过 MCP 协议连接外部工具 - Sub-agents针对特定任务的专用子代理定义 所有组件都是 Markdown 和 JSON 文件无需编译。 考察意图是否了解 Cowork 的可扩展架构设计【原理深挖层】考察内部机制理解 Q为什么 Cowork 选择 VM 隔离而不是 Docker 容器隔离 ADocker 容器与宿主机共享内核内核漏洞可导致容器逃逸。 VM 提供硬件级隔离边界macOS 上使用 Apple Virtualization Framework 即使 Guest OS 内核被攻破也无法影响宿主机。 对于一个面向非技术用户、在个人电脑上运行的 Agent 产品 VM 提供的安全保证更适合这个信任模型。 Trade-off 是资源开销更高、启动略慢——但 Cowork 通过单 VM 服务多会话来摊销成本。 考察意图是否理解容器 vs VM 的安全边界差异是否能分析产品场景下的安全决策 QCowork 如何处理 Agent 安全中的审批疲劳问题 A传统方式是逐操作弹窗确认但用户几分钟后就会无脑点同意 反而比不弹窗更危险。Cowork 采用upfront boundary模式 通过 VM 隔离 文件夹级权限 网络白名单预先划定安全边界 边界内 Agent 自主执行无需逐步审批。 仅在不可逆操作如永久删除文件时触发 HITL 确认。 本质上是把安全从每步确认转变为一次性信任边界设定。 考察意图是否理解 Agent 安全 UX 设计的核心权衡【生产实战层】考察工程经验 Q如果你负责在团队中推广 Cowork你会如何设计安全策略 A我会按以下步骤设计 1. 定义信任边界为不同部门创建专用工作目录禁止授权包含凭证/密钥的目录 2. 网络管控通过白名单严格控制 Connector 可访问的外部服务 3. Plugin 管控使用私有插件市场所有 Plugin 上线前经安全审查 4. HITL 流程对写操作尤其是连接 CRM/邮件等外部系统的操作设置强制确认 5. 监控利用 OpenTelemetry 集成追踪 Plugin 使用和异常 6. 渐进推广先在低风险场景文件整理、文档生成试点 验证安全后再扩展到涉及外部系统的工作流 7. 明确风险向团队坦诚 Prompt Injection 是未解决问题 处理不可信内容时限制 Agent 权限 考察意图是否能将安全架构知识转化为可落地的企业实践方案 QCowork 任务执行被配额限制中断了怎么办如何优化配额使用 A短期应急等 5 小时窗口重置后继续或升级到 Max 计划。 长期优化 - 批量合并相关任务到同一会话避免重复上下文建立 - 简单任务分流到 Chat 模式 - Prompt 尽量明确减少 Agent 反复试错消耗 - 限制授权文件夹范围避免 Agent 扫描大量无关文件 - 将超长任务拆分为多个可恢复的阶段 考察意图是否有实际使用 Agent 产品的经验和资源管理意识11. 文档元信息验证声明本文档内容经过以下验证 ✅ 与 Anthropic 官方博客一致性核查https://claude.com/blog/cowork-research-preview ✅ 与 Anthropic 官方产品页一致性核查https://claude.com/product/cowork ✅ 架构信息参考独立逆向工程分析Simon Willison、pvieito.com ⚠️ 以下内容未经本地环境验证仅基于文档和社区分析推断 - 第 5 章中 VM 内部的 bubblewrap seccomp 具体配置细节 - 第 6 章中具体配额数值Anthropic 未公开精确值社区测试数据仅供参考 - 第 9 章中未来演进方向基于公开声明具体时间线未确认知识边界声明本文档适用范围 - Claude Cowork Research Preview截至 2026 年 3 月 - macOSApple Silicon / Intel和 Windows 桌面环境 - Pro / Max / Team / Enterprise 付费订阅计划 不适用场景 - Claude Code 命令行工具的深度使用虽然底层共享架构 - Microsoft Copilot Cowork微软基于 Claude 的 M365 云端版本 - Anthropic API 编程接口 - Free 计划用户无 Cowork 访问权限参考资料官方文档 - Anthropic 博客 - Introducing Coworkhttps://claude.com/blog/cowork-research-preview - Cowork 产品页https://claude.com/product/cowork - Plugin 目录https://claude.com/plugins - Anthropic Labs 公告https://www.anthropic.com/news/introducing-anthropic-labs 核心分析 - Simon Willison - First impressions of Claude Coworkhttps://simonw.substack.com/p/first-impressions-of-claude-cowork - pvieito - Inside Claude Cowork逆向工程https://pvieito.com/2026/01/inside-claude-cowork - Micheal Lanham - Claude Cowork Architecture Deep Dive https://medium.com/Micheal-Lanham/claude-cowork-architecture-how-anthropic-built-a-desktop-agent-that-actually-respects-your-files-cf601325df86 开源资源 - Knowledge Work PluginsGitHubhttps://github.com/anthropics/knowledge-work-plugins - Sandbox RuntimeGitHubhttps://github.com/anthropic-experimental/sandbox-runtime 延伸阅读 - VentureBeat - Cowork Launch Coveragehttps://venturebeat.com/technology/anthropic-launches-cowork-a-claude-desktop-agent-that-works-in-your-files-no - TechCrunch - Anthropics new Cowork toolhttps://techcrunch.com/2026/01/12/anthropics-new-cowork-tool-offers-claude-code-without-the-code/ - CNBC - Anthropic Claude Cowork Enterprise Updatehttps://www.cnbc.com/2026/02/24/anthropic-claude-cowork-office-worker.html - Cowork Security Architecture Analysishttps://claudecn.com/en/blog/claude-cowork-security-architecture/如有纰漏或者错误欢迎指正。
Claude Cowork 知多少
Claude Cowork 知多少0. 定位声明适用版本Claude Cowork Research Preview2026 年 1 月 12 日发布持续迭代中 运行环境macOSApple Silicon / Intel、Windows2026 年 2 月 12 日起支持 前置知识了解 AI Agent 基本概念、对 MCPModel Context Protocol有初步认知、 熟悉基本的文件系统操作 不适用范围本文不覆盖 Claude Code命令行版本的深度使用、Anthropic API 编程接口、 Microsoft Copilot Cowork微软基于 Claude 构建的 M365 云端版本1. 一句话本质Cowork 是什么你告诉电脑上的一个 AI 助手帮我把下载文件夹整理一下或把这堆收据截图做成报销表格它就会自己规划步骤、读取你的文件、执行操作、最后交付成果——你甚至可以走开去喝杯咖啡回来时工作已经完成了。更精确地说Cowork 是 Anthropic 将其开发者工具 Claude Code 的 Agent 能力降门槛化后的桌面产品。它运行在 Claude Desktop 桌面应用中让非技术用户无需接触终端就能让 Claude 以数字同事的方式自主完成文件处理、文档生成、数据分析等多步骤知识工作任务。2. 背景与根本矛盾2.1 历史背景Cowork 的诞生源于一个意外发现2024 年 11 月Anthropic 发布 Claude Code一个面向开发者的命令行 AI 编程工具用户行为偏移大量用户将 Claude Code 用于非编程任务——整理文件、做幻灯片、清理邮箱、甚至恢复婚礼照片、监控植物生长、控制烤箱产品洞察Anthropic 工程师 Boris Cherny 指出“这些用例如此多样和令人惊讶原因是底层的 Claude Agent 是最好的 Agent”2026 年 1 月 12 日Cowork 作为 Research Preview 发布将 Claude Code 的 Agent 架构包装为面向普通知识工作者的桌面产品2026 年 1 月 16 日从 Max 独占扩展到 Pro 订阅用户2026 年 2 月 12 日Windows 版发布实现与 macOS 功能完全对等2026 年 2 月 24 日发布企业级更新——ConnectorsGoogle Drive、Gmail、DocuSign、FactSet、Plugins 生态、私有插件市场市场影响Cowork 发布后企业软件股票合计下跌约 2850 亿美元投资者重新评估了 AI Agent 对传统 SaaS 软件的替代潜力。2.2 根本矛盾Trade-offCowork 的核心设计在以下对立约束之间取舍矛盾维度一端另一端Cowork 的取舍自主性 vs 安全性Agent 完全自主执行效率最高每步都要人类确认最安全VM 隔离 文件夹级权限 关键操作前确认HITL在沙箱边界内自主执行能力广度 vs 攻击面连接越多外部工具越有用每多一个连接器都增加攻击面默认禁止网络访问 白名单机制 每个 Connector 需显式授权易用性 vs 可控性面向非技术用户要极简企业需要审计日志和精细管控当前优先易用性Research Preview企业功能逐步补齐中本地执行 vs 云端协同本地执行保护隐私云端才能跨设备同步选择本地 VM 执行对话历史仅存本地⚠️ 跨设备同步尚未实现3. 核心概念与领域模型3.1 关键术语表概念费曼式定义正式定义Cowork“一个住在你电脑里的数字同事你给它分配任务和文件夹权限它就自己干活”Anthropic Claude Desktop 应用中的 Agent 模式基于 Claude Code 的 Agent 架构在本地 VM 中自主执行多步骤知识工作任务Agent Loop“AI 不只是回答问题而是像人一样想计划→做一步→看结果→调整→再做下一步循环往复直到完成”Claude 在接收任务后进入的自主规划-执行-反馈-修正循环是 Cowork 区别于普通聊天的核心机制VM 隔离“给 AI 一个独立的’小房间’干活就算它搞砸了也不会影响你的整个电脑”Cowork 在本地启动一个轻量级 Linux 虚拟机macOS 使用 Apple Virtualization Framework所有任务在 VM 内执行与宿主机隔离文件夹权限“你选哪个文件夹让 AI 看它就只能看那个文件夹别的地方碰不到”用户显式授权特定目录挂载到 VM 内Agent 只能访问被授权的文件路径Connectors“把 AI 连上你的其他工具比如 Google Drive、Slack让它能从那些地方拿信息”通过 MCP 协议连接外部服务的标准接口每个 Connector 提供特定数据源和操作能力Skills“教 AI 一些特定的’手艺’比如怎么做 Excel、怎么做 PPT、怎么做 PDF”Markdown 编写的领域知识文件Claude 在相关任务中自动激活指导其遵循特定格式和最佳实践Plugins“把多种能力打包成一个’工具包’一键安装就能让 AI 变成某个岗位的专家”将 Skills、Commands、Connectors、Sub-agent 定义打包为一个文件级安装包的可组合扩展单元HITL“在做危险操作前先问你一声’确定要这么做吗”Human-in-the-LoopAgent 在执行不可逆操作如删除文件前强制请求用户确认3.2 领域模型┌─────────────────────────────────────────────────────────────────┐ │ Claude Desktop App │ │ │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ Chat │ │ Cowork │ │ Code │ ← 三种模式切换 │ │ └──────────┘ └────┬─────┘ └──────────┘ │ │ │ │ │ ┌────────▼────────┐ │ │ │ Task Prompt │ ← 用户描述任务 授权文件夹 │ │ └────────┬────────┘ │ │ │ │ │ ┌───────────────────▼───────────────────┐ │ │ │ Master Agent Loop │ │ │ │ Plan → Act → Observe → Adjust → ... │ │ │ │ │ │ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ │ │Sub-Agent│ │Sub-Agent│ │Sub-Agent│ │ ← 并行子任务 │ │ │ └─────────┘ └─────────┘ └─────────┘ │ │ │ └───────────────────┬───────────────────┘ │ │ │ │ │ ╔═══════════════════▼═══════════════════╗ │ │ ║ VM Isolation Boundary ║ │ │ ║ ┌──────────────────────────────────┐ ║ │ │ ║ │ Guest Linux (Ubuntu 22.04) │ ║ │ │ ║ │ ┌────────────────────────────┐ │ ║ │ │ ║ │ │ bubblewrap seccomp │ │ ║ ← 进程级沙箱 │ │ ║ │ │ ┌──────────────────────┐ │ │ ║ │ │ ║ │ │ │ Claude Code CLI │ │ │ ║ ← 实际执行引擎 │ │ ║ │ │ └──────────────────────┘ │ │ ║ │ │ ║ │ └────────────────────────────┘ │ ║ │ │ ║ └──────────────────────────────────┘ ║ │ │ ╚═══════════════════════════════════════╝ │ │ │ │ │ ┌───────────────────┼───────────────────┐ │ │ │ VirtioFS Mount │ Network Proxy │ │ │ │ (授权文件夹) │ (白名单域名) │ │ │ └───────────────────┴───────────────────┘ │ │ │ │ External Integrations: │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │Connectors│ │ Skills │ │ Plugins │ │Chrome Ext│ │ │ │(MCP) │ │(Markdown)│ │(Bundles) │ │(Browser) │ │ │ └──────────┘ └──────────┘ └──────────┘ └──────────┘ │ └─────────────────────────────────────────────────────────────────┘关键关系说明单 VM 多会话一个 VM 实例服务于多个 Cowork 会话每个会话获得独立的隔离 Session命名风格类似 Dockeradjective-adjective-scientistMCP 透传Claude Desktop 上配置的 MCP 服务器通过 SDK 协议动态注入 VMAgent 在 VM 内可调用外部工具路径翻译VM 内路径自动翻译为宿主机路径显示给用户保持 UX 一致性4. 对比与选型决策4.1 Anthropic 产品矩阵内部对比维度Claude ChatClaude CoworkClaude Code目标用户所有人知识工作者非技术软件开发者交互方式对话式问答任务式委派可离开等待终端命令行文件访问仅上传附件本地文件夹直接读写完整文件系统执行环境服务端沙箱本地 VM 隔离本地终端可配沙箱自主程度被动响应主动规划执行汇报主动规划执行汇报底层引擎Claude APIClaude Code Agent 架构Claude Code Agent 架构最低订阅FreePro ($20/月)Pro ($20/月)4.2 外部竞品对比维度Claude CoworkOpenAI Operator / GPT AgentMicrosoft Copilot CoworkGoogle Gemini Agent部署方式本地 VM云端M365 云端云端数据位置本地存储OpenAI 服务器Microsoft GraphGoogle Cloud文件访问本地文件夹有限M365 全数据图谱Google Workspace安全模型VM 文件夹沙箱API 级别企业级治理Google IAM插件生态MCP Plugins开源GPT StoreM365 生态⚠️ 存疑离线能力部分需网络调用模型无无无定价起点$20/月Pro$20/月$30/用户/月⚠️ 存疑4.3 选型决策选 Cowork 的场景需要 AI 直接操作本地文件整理文件夹、批量处理文档、从截图生成表格重视数据隐私不希望文件上传到云端团队使用异构工具栈不被 M365 或 Google Workspace 绑定需要高度可定制的 Agent 行为通过 Plugins/Skills不选 Cowork 的场景已深度绑定 M365 生态 → 考虑 Microsoft Copilot Cowork仅需简单对话式 AI 辅助 → Claude Chat 足够需要企业级审计日志和合规 API → ⚠️ Cowork 当前审计能力有限纯 API 集成需求 → 直接使用 Anthropic API5. 工作原理与实现机制5.1 静态结构安全隔离架构Cowork 采用四层纵深防御架构第 1 层VM 硬隔离 ├── macOS: Apple Virtualization Framework (VZVirtualMachine) ├── 启动自定义 Linux 根文件系统Ubuntu 22.04 ARM64 ├── 非 Docker 容器是真正的虚拟机 └── 意义即使 Agent 执行出错爆炸半径限制在 VM 内 第 2 层进程级沙箱 ├── bubblewrap限制进程可访问的命名空间 ├── seccomp BPF过滤系统调用阻止 AF_UNIX socket 创建等 └── 意义VM 内部的二次约束防止权限提升 第 3 层文件系统隔离 ├── VirtioFS 挂载仅用户授权的文件夹被挂载进 VM ├── 默认拒绝未授权目录不可见 └── 意义最小权限原则Agent 只能碰你让它碰的东西 第 4 层网络隔离 ├── 默认禁止所有出站网络 ├── 白名单机制仅允许依赖安装等必要域名 ├── 所有流量经宿主机代理路由可审计 └── 意义即使 Agent 被 Prompt Injection 攻击也无法随意外传数据为什么选 VM 而不是容器这是一个关键设计决策。容器Docker与宿主机共享内核内核漏洞可导致逃逸VM 提供硬件级隔离边界安全保证更强。对于一个面向非技术用户、需要在用户个人电脑上运行的 Agent 产品VM 隔离是更负责任的选择——代价是资源开销略高。5.2 动态行为Agent Loop 执行流程用户输入任务 │ ▼ [1] 任务理解与规划 ├── 解析用户意图 ├── 识别所需文件/工具/Connector └── 生成执行计划可能拆分为并行子任务 │ ▼ [2] 向用户展示计划 ├── 高层次步骤概述 └── 等待用户确认或直接执行取决于操作风险等级 │ ▼ [3] 进入执行循环 ─────────────────────┐ │ │ ├── 执行一个步骤 │ │ ├── 文件读写 │ │ ├── 运行脚本Python/Bash │ │ ├── 调用 ConnectorMCP │ │ ├── 使用 Chrome 浏览器 │ │ └── 调用 Skills自动激活 │ │ │ ├── 观察执行结果 │ │ │ ├── 判断是否需要人类确认 │ │ ├── 是删除文件等不可逆操作 │ │ │ └── 暂停等待用户确认 │ │ └── 否 │ │ └── 继续下一步 │ │ │ ├── 判断是否需要调整计划 │ │ ├── 是 → 修正计划 │ │ └── 否 → 继续 │ │ │ └── 循环直到任务完成 ────────────────┘ │ ▼ [4] 交付结果 ├── 汇报完成情况 ├── 展示生成/修改的文件 └── 保持会话上下文可追加指令并行子代理Sub-Agent对于复杂任务Master Agent 会拆分为多个并行工作流。例如分析 10 份财报并生成对比报告可能派出 10 个子代理并行读取再由 Master Agent 汇总。每个子代理的执行进度对用户可见。5.3 关键设计决策决策 1本地 VM vs 云端执行Cowork 选择本地 VM 执行而非云端。这意味着用户文件不离开本机隐私保护更强。Trade-off 是对话历史仅存本地无法跨设备同步VM 启动和执行受限于本地硬件性能企业审计日志和合规 API 暂时无法覆盖 Cowork 活动。决策 2沙箱内自主 vs 逐步审批传统安全模型对每个操作弹窗确认但这会导致审批疲劳用户几分钟后就会无脑点同意。Cowork 选择预先划定边界边界内自主执行——通过 VM 文件夹权限 网络白名单定义安全边界边界内 Agent 无需逐步请求权限。Anthropic 在 Claude Code 文档中明确指出这种upfront boundary模式优于per-action approval。决策 3Plugin 架构选择文件级Markdown JSON而非代码级Plugin 的 Skills 用 Markdown 编写Commands 用结构化文件定义不需要编译或构建。这个决策牺牲了执行效率需要 LLM 理解 Markdown 而非直接运行代码但换来了可审计性任何人都能阅读和审查 Plugin 内容、可组合性fork 任何 Plugin 即可定制、低门槛会写 README 就会写 Plugin。6. 高可靠性保障6.1 高可用机制机制说明VM 持久化单个 VM 实例服务多会话会话间隔离但 VM 不重复启动会话恢复Session 目录持久化在 VM 内的/sessions/路径下优雅降级当安全状态不确定时优先限制能力禁用网络、限制 Connector而非崩溃6.2 安全风险与缓解风险严重程度缓解措施Prompt Injection高Anthropic 明确承认尚未完全解决依靠模型层抗注入训练 使用侧纪律 纵深防御文件泄露中VM 隔离 仅授权目录可见 网络白名单阻止外传Confused Deputy中当 Agent 链式调用多工具时信任上下文可能转移目前无系统性建模敏感文件误授权中用户教育 建议使用专用工作目录而非共享宽目录6.3 可观测性⚠️当前限制Cowork 的可观测性处于早期阶段。对话历史仅存储在本地设备Anthropic 服务器不保存审计日志企业级 audit log、合规 API、数据导出当前不覆盖Cowork 活动管理员控制可开关 Cowork 功能但无细粒度操作级审计企业更新2026.02引入 OpenTelemetry 监控提供插件使用可见性6.4 SLA 保障Cowork 当前为Research Preview状态Anthropic 未提供正式 SLA 承诺。使用限制通过 5 小时滚动窗口的 token 配额管理订阅计划每 5 小时约可用消息数备注Pro ($20/月)基础配额Cowork 任务消耗速度远高于普通聊天Max 5x ($100/月)~225 条5 倍 Pro 配额Max 20x ($200/月)~900 条20 倍 Pro 配额7. 使用实践与故障手册7.1 典型使用方式场景 1文件整理Prompt 示例直接在 Cowork 界面输入 Help me organize my Downloads folder. Scan the contents and propose a plan: - Categories/folders to create - How files should be sorted - Any naming conventions to apply - Files to flag for review or deletion Show me the plan before making changes. Only proceed after I approve.操作选择 Cowork 模式 → 授权 Downloads 文件夹 → 输入任务 → 审核计划 → 确认执行场景 2收据截图生成报销表授权包含收据照片的文件夹输入 This folder contains receipt photos from my business trip. Please extract the date, vendor, amount, and category from each receipt, then create an Excel spreadsheet with these columns. Flag any receipts that are unclear or partially visible.关键配置建议使用专用工作文件夹不要授权包含敏感文件的宽目录对于长时间任务确保 Desktop 应用保持打开⚠️ 定时任务仅在应用运行时触发复杂任务建议使用 Max 计划以避免配额耗尽中断场景 3Plugin 安装与使用# 在 Cowork 中安装知识工作 Plugin# 方法 1通过 claude.com/plugins 浏览并一键安装# 方法 2通过命令行Claude Code 中claude plugin marketplaceaddanthropics/knowledge-work-plugins claude plugininstallsalesknowledge-work-plugins# 安装后slash 命令自动可用# 例如/sales:call-prep、/data:write-queryPlugin 目录结构plugin-name/ ├── .claude-plugin/plugin.json # 清单文件名称、版本、描述 ├── .mcp.json # MCP 工具连接配置 ├── commands/ # Slash 命令显式调用 └── skills/ # 领域知识自动激活7.2 故障模式手册【任务因配额耗尽中断】 - 现象长时间运行的 Cowork 任务突然停止提示 usage limit - 根本原因Cowork 任务消耗 token 远高于普通聊天5 小时滚动窗口配额耗尽 - 预防措施将大任务拆分为多个小批次使用 Max 计划获取更高配额 - 应急处理等待 5 小时窗口重置后继续或升级到更高配额计划【定时任务未执行】 - 现象设置的定时 Cowork 任务如每日 7AM 执行未触发 - 根本原因定时任务仅在 Claude Desktop 应用打开时运行 笔记本休眠/应用关闭时不会触发 - 预防措施确保执行时段内应用保持运行 - 应急处理手动触发任务考虑将关键定时任务安排在工作时间内【Prompt Injection 导致意外行为】 - 现象处理来自外部的文件/邮件/网页内容时Agent 执行了非预期操作 - 根本原因不可信内容中嵌入了恶意指令Agent 无法 100% 区分 - 预防措施处理不可信内容时限制 Connector 权限避免同时授予文件写入和网络访问 - 应急处理立即停止任务检查被修改的文件从备份恢复【文件被意外删除或覆盖】 - 现象Cowork 在执行任务时删除或覆盖了重要文件 - 根本原因指令不够明确Agent 按自己的理解执行了清理操作 - 预防措施使用专用工作目录而非包含重要文件的目录 在 Prompt 中明确要求先展示计划再执行保持文件备份 - 应急处理Cowork 默认在永久删除前请求确认但修改操作可能不会7.3 边界条件与局限性5 小时配额窗口超过 5 小时的长任务可能在配额重置时被中断仅本地存储对话历史不同步到云端更换设备后无法继续之前的会话企业审计缺失audit log、合规 API、数据导出暂不覆盖 Cowork 活动认证方式每个用户通过 OAuth 独立连接 MCP 服务器权限由用户个人控制企业无法统一管理 scopePrompt Injection 未解决Anthropic 明确声明 Agent 安全仍为活跃研究领域硬件依赖VM 执行依赖本地 CPU/内存低配机器可能体验较差8. 性能调优指南8.1 配额优化策略由于 Cowork 没有传统意义的性能调优参数它是一个封闭产品优化重点在于配额效率策略预期效果说明批量处理减少 30-50% 配额消耗将相关任务合并为一个 Cowork 会话避免重复建立上下文分流到 Chat节省配额简单文本处理、问答用普通 Chat只在需要文件操作时用 Cowork明确 Prompt减少反复修正指令越清晰Agent 一次做对的概率越高消耗的 token 越少限制扫描范围减少不必要的文件读取授权尽可能小的文件夹范围使用 Skills/Plugins提升输出质量内置 Skillsdocx、xlsx、pptx、pdf已针对格式输出优化8.2 Prompt 工程最佳实践✅ 好的 Prompt 这个文件夹包含 20 张收据照片。请提取日期、商户名、金额 生成一个 Excel 表格。对于无法识别的收据标注待人工审核。 先给我看处理计划确认后再执行。 ❌ 差的 Prompt 帮我处理这些文件 缺少预期输出格式、确认流程、异常处理策略9. 演进方向与未来趋势9.1 已确认的近期演进方向状态对用户的影响跨设备同步Anthropic 已公布计划不同设备间的 Cowork 会话可延续更多 ConnectorGoogle Drive、Gmail 已上线2026.02工作流覆盖面扩大私有插件市场企业版已支持2026.02企业可分发和管理内部定制 Plugin审计与合规路线图中企业级部署的关键前提9.2 值得关注的趋势趋势 1Agent 平台化 → Plugin 生态竞争Cowork 的 Plugin 架构基于文件的 Markdown JSON MCP正在形成一个开放生态。Anthropic 已开源 15 个起步 Plugin社区和合作伙伴正在扩展。这类似于早期的 App Store 或 Chrome Extension 生态——未来谁的 Plugin 生态更丰富谁的 Agent 就更有用。对使用者的影响现在投入学习 Plugin 定制能力可以在团队内形成竞争优势。趋势 2Copilot Cowork微软的竞合关系微软基于 Claude 构建的 Copilot Cowork 在 M365 云端运行与 Anthropic 的本地 Cowork 形成互补。企业可能出现本地 Cowork 处理敏感文件 云端 Copilot Cowork 处理 M365 协作的双栈模式。Anthropic 和微软的 $300 亿 Azure 计算协议为这种共存提供了基础。10. 面试高频题【基础理解层】考察概念掌握 QClaude Cowork 和 Claude Chat 的核心区别是什么 AChat 是被动对话模式——你问一句它答一句无法直接访问你的文件。 Cowork 是主动 Agent 模式——你描述一个任务目标它会自主规划步骤、 读写你授权的本地文件、调用外部工具循环执行直到任务完成。 底层引擎不同Chat 直接调用 Claude APICowork 运行的是 Claude Code 的完整 Agent 架构在本地 VM 中。 考察意图是否理解 Agent 模式与对话模式的本质差异是否了解 Cowork 的技术基础 QCowork 的 Plugin 系统由哪些组件构成 APlugin 是一个文件级的安装包包含四个核心组件 - SkillsMarkdown 文件领域知识Claude 自动激活 - CommandsSlash 命令用户显式触发的结构化工作流 - Connectors.mcp.json通过 MCP 协议连接外部工具 - Sub-agents针对特定任务的专用子代理定义 所有组件都是 Markdown 和 JSON 文件无需编译。 考察意图是否了解 Cowork 的可扩展架构设计【原理深挖层】考察内部机制理解 Q为什么 Cowork 选择 VM 隔离而不是 Docker 容器隔离 ADocker 容器与宿主机共享内核内核漏洞可导致容器逃逸。 VM 提供硬件级隔离边界macOS 上使用 Apple Virtualization Framework 即使 Guest OS 内核被攻破也无法影响宿主机。 对于一个面向非技术用户、在个人电脑上运行的 Agent 产品 VM 提供的安全保证更适合这个信任模型。 Trade-off 是资源开销更高、启动略慢——但 Cowork 通过单 VM 服务多会话来摊销成本。 考察意图是否理解容器 vs VM 的安全边界差异是否能分析产品场景下的安全决策 QCowork 如何处理 Agent 安全中的审批疲劳问题 A传统方式是逐操作弹窗确认但用户几分钟后就会无脑点同意 反而比不弹窗更危险。Cowork 采用upfront boundary模式 通过 VM 隔离 文件夹级权限 网络白名单预先划定安全边界 边界内 Agent 自主执行无需逐步审批。 仅在不可逆操作如永久删除文件时触发 HITL 确认。 本质上是把安全从每步确认转变为一次性信任边界设定。 考察意图是否理解 Agent 安全 UX 设计的核心权衡【生产实战层】考察工程经验 Q如果你负责在团队中推广 Cowork你会如何设计安全策略 A我会按以下步骤设计 1. 定义信任边界为不同部门创建专用工作目录禁止授权包含凭证/密钥的目录 2. 网络管控通过白名单严格控制 Connector 可访问的外部服务 3. Plugin 管控使用私有插件市场所有 Plugin 上线前经安全审查 4. HITL 流程对写操作尤其是连接 CRM/邮件等外部系统的操作设置强制确认 5. 监控利用 OpenTelemetry 集成追踪 Plugin 使用和异常 6. 渐进推广先在低风险场景文件整理、文档生成试点 验证安全后再扩展到涉及外部系统的工作流 7. 明确风险向团队坦诚 Prompt Injection 是未解决问题 处理不可信内容时限制 Agent 权限 考察意图是否能将安全架构知识转化为可落地的企业实践方案 QCowork 任务执行被配额限制中断了怎么办如何优化配额使用 A短期应急等 5 小时窗口重置后继续或升级到 Max 计划。 长期优化 - 批量合并相关任务到同一会话避免重复上下文建立 - 简单任务分流到 Chat 模式 - Prompt 尽量明确减少 Agent 反复试错消耗 - 限制授权文件夹范围避免 Agent 扫描大量无关文件 - 将超长任务拆分为多个可恢复的阶段 考察意图是否有实际使用 Agent 产品的经验和资源管理意识11. 文档元信息验证声明本文档内容经过以下验证 ✅ 与 Anthropic 官方博客一致性核查https://claude.com/blog/cowork-research-preview ✅ 与 Anthropic 官方产品页一致性核查https://claude.com/product/cowork ✅ 架构信息参考独立逆向工程分析Simon Willison、pvieito.com ⚠️ 以下内容未经本地环境验证仅基于文档和社区分析推断 - 第 5 章中 VM 内部的 bubblewrap seccomp 具体配置细节 - 第 6 章中具体配额数值Anthropic 未公开精确值社区测试数据仅供参考 - 第 9 章中未来演进方向基于公开声明具体时间线未确认知识边界声明本文档适用范围 - Claude Cowork Research Preview截至 2026 年 3 月 - macOSApple Silicon / Intel和 Windows 桌面环境 - Pro / Max / Team / Enterprise 付费订阅计划 不适用场景 - Claude Code 命令行工具的深度使用虽然底层共享架构 - Microsoft Copilot Cowork微软基于 Claude 的 M365 云端版本 - Anthropic API 编程接口 - Free 计划用户无 Cowork 访问权限参考资料官方文档 - Anthropic 博客 - Introducing Coworkhttps://claude.com/blog/cowork-research-preview - Cowork 产品页https://claude.com/product/cowork - Plugin 目录https://claude.com/plugins - Anthropic Labs 公告https://www.anthropic.com/news/introducing-anthropic-labs 核心分析 - Simon Willison - First impressions of Claude Coworkhttps://simonw.substack.com/p/first-impressions-of-claude-cowork - pvieito - Inside Claude Cowork逆向工程https://pvieito.com/2026/01/inside-claude-cowork - Micheal Lanham - Claude Cowork Architecture Deep Dive https://medium.com/Micheal-Lanham/claude-cowork-architecture-how-anthropic-built-a-desktop-agent-that-actually-respects-your-files-cf601325df86 开源资源 - Knowledge Work PluginsGitHubhttps://github.com/anthropics/knowledge-work-plugins - Sandbox RuntimeGitHubhttps://github.com/anthropic-experimental/sandbox-runtime 延伸阅读 - VentureBeat - Cowork Launch Coveragehttps://venturebeat.com/technology/anthropic-launches-cowork-a-claude-desktop-agent-that-works-in-your-files-no - TechCrunch - Anthropics new Cowork toolhttps://techcrunch.com/2026/01/12/anthropics-new-cowork-tool-offers-claude-code-without-the-code/ - CNBC - Anthropic Claude Cowork Enterprise Updatehttps://www.cnbc.com/2026/02/24/anthropic-claude-cowork-office-worker.html - Cowork Security Architecture Analysishttps://claudecn.com/en/blog/claude-cowork-security-architecture/如有纰漏或者错误欢迎指正。
