一个面向知识工作者的桌面 Agent ——不写代码,也能让 Claude 接管你的文件、浏览器与连接服务,把"描述结果"变成"交付成品"。
一句话:Cowork 是 Claude Code 的同款 Agent 架构,被搬进了 Claude 桌面客户端,并卸掉了"必须打开终端"这道门槛。
过去 Claude Code 把"自主多步执行"这件事局限在开发者的命令行里。Cowork 做的事情,是把同一套agentic 架构(规划→分解→执行→交付)开放给所有知识工作者——不只是程序员。官方将其定位为"把 Claude Code 的 agentic 能力带到 Claude Desktop,用于编码之外的知识工作"。
它和普通聊天最本质的区别在于交互模型:聊天是一问一答,而 Cowork 让你描述一个产出(outcome)、转身离开、回来时拿到成品——格式化文档、整理好的文件、综合好的研究报告。
Chat = 对话伙伴(turn-by-turn);Cowork = 会替你动手的同事(task-by-task)。前者产出"回答",后者产出"工件"。
Cowork 的能力可以归为五个维度,每一个都对应着"普通聊天做不到"的事:
无需手动上传下载,Claude 直接读写你授权的本地文件夹——这是它能"动手"的物理前提。
把复杂任务拆成子任务,必要时协调多条工作流并行推进,而非单线程逐步执行。
生成带可用公式的 Excel、PowerPoint、格式化文档——不是需要返工的裸 CSV。
不受会话超时与上下文窗口限制打断,可在复杂任务上持续工作较长时间。
/schedule 让任务按设定节奏自动运行——这是聊天模式完全没有的能力。
把相关任务归入持久化、自包含的工作区,带独立的文件、链接、指令与记忆。
Pro/Max 用户可以从手机给 Claude 派活,它在你的桌面上用本地文件和连接器干活,结果回传到同一对话——手机本质上成了桌面资源的远程遥控器。这点在后文的风险章节会再提。
当你在 Cowork 里发起一个任务,Claude 的执行链路是这样的:
整个过程对你保持可见:进度指示、推理过程都会展示出来,你可以中途插手纠偏(steering),也可以放手让它独立跑完。
这是 Cowork 工程设计上最值得讲的一点。它在每台设备上跑着两个泾渭分明的执行环境,二者的信任边界完全不同:
┌─────────────────────────────────────────────────────────┐ │ ① AGENT LOOP — 原生运行在设备上 │ │ 对话处理 · 文件读写(授权文件夹)· web fetch · 本地 MCP │ │ 守门人:应用层权限系统 │ │ ├─ 强制执行你的"已连接文件夹"规则 │ │ └─ 强制执行组织的网络 egress 设置 │ └────────────────────────────┬────────────────────────────┘ │ 写代码 / 跑命令时下沉 ┌────────────────────────────▼────────────────────────────┐ │ ② CODE EXECUTION — 隔离虚拟机(VM) │ │ 专用 Linux VM,由平台 hypervisor 与宿主系统隔离 │ │ macOS → Apple Virtualization.framework │ │ Windows → Hyper-V │ │ VM 自带:网络 egress 过滤 · syscall 限制 · 会话级用户隔离 │ └─────────────────────────────────────────────────────────┘
这个分层的工程含义很清晰:代码执行被关在沙箱里,但 Agent 对你文件的真实改动并不在沙箱里。换句话说,VM 保护的是"Claude 写的代码不会乱碰你的操作系统",但"Claude 决定删/改你授权文件夹里的文件"这件事,靠的是应用层权限,而非 VM 隔离。
VM 故障时,文件与 web 工具仍可继续运行,只有 shell / 代码执行会报 "workspace unavailable"。这说明文件操作的信任根在应用层,与 VM 解耦。
另外:VM 对宿主侧的 EDR 安全工具不可见——这是设计如此。若你的合规依赖端点可见性,需在铺开前评估。
如果套用"编排 / 执行环境 / 行动接口 / 代理身份"这套分层框架,Cowork 的位置就很清楚了:
| 层 | Cowork 的对应实现 |
|---|---|
| 编排 | 原生 Agent loop + 子代理并行协调 |
| 执行环境 | 隔离 Linux VM(代码) + 宿主原生进程(文件 / web) |
| 行动接口 | 本地文件 I/O、web fetch、MCP、插件、computer use、Excel/PPT 加载项 |
| 代理身份 | 沿用你的 Claude 账号与已授予的连接器 / 权限,Project 内带独立记忆 |
Cowork 的权限沿用聊天的那一套,你掌控两件事:连接哪些 MCP 及其询问频率,以及 Claude 的联网范围。在此之上,有一个决定"自主程度"的模式选择器:
每个动作都暂停等你批准。面对新工具、陌生文件、或任何想盯紧的场景时推荐使用。
不暂停、连续执行。对定义明确的任务更快,但显著放大 prompt injection 风险——出问题时你没有中途叫停的机会。
无论哪种模式,永久删除文件之前 Claude 都会要求显式授权——你必须点 "Allow" 它才能执行删除。这是写死在产品里的一道硬闸。
"Act without asking" 的安全使用三条件值得抄下来:你在主动盯着任务、你只对接可信的文件/站点/工具、你能在不对劲时立刻叫停。三者缺一,就回到 Ask 模式。
能动手的 Agent 本质上扩大了攻击面。官方把核心风险点列得很直白,这里按"攻击如何抵达 Claude"重新组织一下:
恶意指令可以藏在网页、邮件、文档里,Claude 访问到就可能被诱导执行你没打算做的动作。Web 内容是头号注入向量。Anthropic 的对策是多层防御:用 RL 训练模型识别并拒绝看似权威/紧急的恶意指令、用内容分类器扫描进入上下文的不可信内容。但官方也坦白——攻击成功率非零。
| 风险面 | 为什么危险 | 怎么收敛 |
|---|---|---|
| 文件访问 | Claude 能读、写、永久删授权文件 | 建专用工作文件夹而非授予宽泛访问;备份重要文件;别给敏感财务/凭证 |
| Computer use | 直接点击/输入/操作屏幕,无沙箱,不走其他工具的权限闸 | 从低风险任务起步;屏蔽银行/医疗等敏感 app;注意它会截屏 |
| 定时任务 | 自动运行,你不在场无法实时监控 | 从摘要类低风险任务起;别让它碰敏感数据或发消息/付款;定期复查输出 |
| 浏览器/Web | 注入的主要入口 | 只对可信站点放行;默认网络访问刻意收紧,谨慎扩展 |
| 陌生 MCP/插件 | 插件打包 skills+连接器+子代理,装一个就大幅扩展行动范围 | 只用官方目录里的可信扩展;装前审权限 |
| 跨应用数据流 | Excel↔PPT 加载项间数据可能在你没明确指示下流动 | Cowork 活跃时避免在这些加载项里处理敏感信息 |
| 移动端访问 | 手机成为桌面资源的远程入口;若公司管控你的电脑,等于延伸到个人手机 | 复查授予 Claude 的访问范围是否适合从手机触达 |
官方建议:盯任务,而不是盯每条命令。你不可能校验每个命令,该警惕的是异常模式——Claude 是否访问了你没提过的文件/网站?任务范围是否在悄悄蔓延?感觉不对就立刻停。若它突然聊起无关话题、试图访问意外资源或主动索要敏感信息,停下并上报。
当前 Cowork 活动不进入 Compliance API、审计日志或数据导出。Team/Enterprise 管理员可以通过 OpenTelemetry 把 Cowork 事件流到自己的 SIEM 与可观测性工具里;托管设备上还有两个 MDM 键(isLocalDevMcpEnabled / isDesktopExtensionEnabled)可禁用本地 MCP 与桌面扩展。
它强大,正因为它能真的动手;它需要被监督,也正因为它能真的动手。
Cowork 的甜区是"多步骤、需要文件访问、需要较长执行时间"的工作。几类典型场景:
按类型和日期整理下载夹;把一堆收据整理成报销单;批量按 YYYY-MM-DD 重命名。
把搜索、论文、笔记综合成连贯报告;从会议记录/访谈里抽主题与待办;笔记知识综合。
带 VLOOKUP/条件格式/多 Tab 的 Excel;从粗略笔记生成幻灯片;把语音备忘变成成稿。
离群检测、交叉表、时间序列;基于你的数据出图;清洗与转换数据集。
Cowork 比聊天消耗多得多的额度——多步任务计算密集、吃 token。简单任务用普通聊天,把 Cowork 留给真正需要文件访问和长执行的复杂工作;相关工作尽量批进同一会话。
你对 Claude 代你执行的一切动作负责:发布的内容、发出的消息、采购与交易、访问或修改的数据、定时任务的行为、computer use 的操作,以及遵守第三方网站服务条款(含对自动化访问的限制)。Agent 替你干活,但责任仍在你身上。
Cowork 是 Anthropic 把"自主 Agent"从开发者终端推向通用知识工作的一步:同一套 Claude Code 引擎,换上了文件直访、子代理编排、定时任务和项目记忆的外壳,并配了一套"代码进 VM、文件靠权限闸"的双环境信任模型。
它的价值与风险来自同一个根源——它能真的在你的机器上动手。把它当成一个能力很强、但需要逐步建立信任的新同事来用:从低风险任务起步、给专用文件夹、盯任务模式而非命令、敏感场景留在 Ask 模式。这样,你既拿到"转身离开、回来收成品"的杠杆,又不把自己暴露在不必要的攻击面下。