$ entry

Claude Cowork jde na web a mobil. Kvůli tomu se ale potichu vyměnil celý bezpečnostní model

Anthropic přepracoval Claude Desktop - a nově už moc nerozlišuje mezi Chat a Cowork. Cowork je také nově dostupný jak na mobilu, tak na webu. Má to ALE své velké bezpečnostní ALE, o kterém byste měli vědět! Takže, co v Coworku nového?

Reklama
Obsah článku

Anthropic pustil Claude Cowork na web a mobil. Beta, zatím jen pro předplatné Max, rozjezd v řádu týdnů. Zadáte úkol, zavřete notebook a práce běží dál, i naplánované úlohy jedou bez zapnutého počítače. Zní to jako běžná zpráva o nové platformě. Ve skutečnosti je pod ní změna, kterou oznámení skoro nezmiňuje: agent se přestěhoval z virtuálního počítače na vašem disku na servery Anthropicu. A protože bezpečnost původního Coworku stála přesně na tom lokálním virtuálním počítači, změnilo se tím i to, co Cowork chrání a před čím. Pojďme si to rozebrat, protože ten posun je zajímavější než samotná novinka.

Co se dnes mění

Cowork je ten režim, kde Claudovi předáte celý úkol a on ho dotáhne napříč vašimi soubory, kalendářem, mailem, komunikátorem, webem a připojenými nástroji. Anthropic uvádí, že přes 90 % reálného použití Coworku není vývoj softwaru, ale běžná znalostní práce - sesouhlasení kvartálních výdajů, převod složky smluv na přehled obnov s vyznačenými riziky, sestavení klientské prezentace z přepisů hovorů. Práce kolem práce, jak tomu říkají. A ta se do jednoho sezení u stolu zpravidla nevejde.

Konkrétně přibývá tohle:

  • Práce vás sleduje. Úkol začnete u počítače, průběh zkontrolujete z mobilu, hotový výstup si vyzvednete kdekoli.
  • Běží to na pozadí. Zavřete notebook, jdete na schůzku, Claude pokračuje. Naplánované úlohy jedou i bez zapnutého zařízení - nastavíte pondělní přípravu na šestou ráno a nad kávou si přečtete hotový briefing s předpřipraveným, ale neodeslaným mailem.
  • Rozhodnutí chodí za vámi. Když Claude narazí na volbu, kterou má udělat člověk, zeptá se a dotaz dorazí do telefonu. Nic se neodešle, dokud to neschválíte.
  • Chat a Cowork mají jednu domovskou obrazovku, projekty a artefakty žijí napříč oběma. A na Cowork se teď dostanou i lidé, kteří si nemohli nainstalovat desktopovou aplikaci.

Desktop zůstává tím plným prostředím, kde Claude sáhne i na lokální soubory a prohlížeč. Web a mobil dostávají tenčí verzi. Proč, to je právě ta zajímavá část.

Za pohodlím je tichá výměna modelu

Aby mohla práce běžet, když je notebook zavřený, musí běžet někde jinde. Tím místem jsou servery Anthropicu. Nápověda k architektuře to říká rovnou: remote sessions jsou nově výchozí režim na všech površích, tedy i na desktopu. Agentní smyčka i běh kódu jedou na spravované infrastruktuře Anthropicu, session a soubory se ukládají k vašemu účtu.

Každá session dostane vlastní dočasný sandbox, který vznikne se startem a zanikne s koncem. Sandboxy mezi sebou nesdílejí stav ani napříč organizacemi a celá tahle infrastruktura je oddělená od firemního, výzkumného a trénovacího prostředí Anthropicu. Kdo zná spouštění kódu v claude.ai, pozná model okamžitě - je to prakticky tentýž efemérní kontejner.

Co zůstává vázané na vaše zařízení, jsou lokální zdroje. Soubory na disku, prohlížeč, ovládání obrazovky. Ty ze své podstaty potřebují něco běžícího u vás. Řešení: desktopová aplikace se mění v most. Když vzdálená session potřebuje lokální soubor, požadavek jde přes desktopovou aplikaci po spojení, které zprostředkuje Anthropic, a to jen ke složkám, které jste připojili, a jen dokud je aplikace otevřená. Vypnete aplikaci, session běží dál, ale na váš disk nedosáhne.

Rozdělení schopností podle povrchu vypadá takto (podle nápovědy k površím):

FunkceDesktopWebMobil
Spuštění, řízení a kontrola úkolů
Navázání na session z jiného zařízení
Konektory, Skills, pluginy
Naplánované úlohy
Projekty
Live artefakty
Přístup k lokálním souborůmpřes desktoppřes desktop
Ovládání prohlížeče a počítačepřes desktoppřes desktop

Vaše intuice, pokud jste s Coworkem začínali dřív, nejspíš zní: vždyť původní Cowork jel v sandboxu na mém stroji, na tom stála jeho bezpečnost, a proto se nedal přesunout. První půlka sedí. Ta druhá stojí za korekci. Sandbox hlídal váš počítač před agentem. To je úplně jiná role než překážka ve stěhování. Abychom viděli, co se doopravdy stalo, musíme se podívat, jak původní ochrana fungovala.

Původní Cowork hlídal váš stroj

Anthropic svou logiku kontejnmentu popsal v inženýrském postu z května 2026 a Cowork v něm dostal vlastní kategorii - Pattern 3, lokální virtuální počítač. Důvod byl střízlivý. Uživatel Coworku je znalostní pracovník, ne vývojář. Nikdo po něm nemůže chtít, aby posoudil, jestli je find . -name "*.tmp" -exec rm {} \; neškodný úklid, nebo mazací nehoda. U Claude Code, který cílí na vývojáře, se dá spolehnout na to, že člověk u každého potvrzení ví, co schvaluje. U Coworku ta znalost chybí, takže hranice musí být pevná a vždy zapnutá.

První verze Coworku proto běžela celá uvnitř plného virtuálního počítače postaveného na vendorovém hypervizoru - Apple Virtualization na macOS, HCS na Windows. VM měl vlastní linuxové jádro, vlastní souborový systém, vlastní tabulku procesů. Připojila se jen vámi vybraná pracovní složka a .claude, nic dalšího z hostitele nebylo vidět. Přihlašovací údaje zůstaly v keychainu hostitele a do VM nikdy nevstoupily. Kdyby se Claude choval mimo mísu, poškodit mohl jen obsah pracovní složky, a tu jste určili vy.

Ten model měl vlastnost, kterou stojí za to pojmenovat, protože byla jeho největší předností. Agentní smyčka běžela uvnitř VM a Claude fungoval jako obyčejný linuxový uživatel, který ani netušil, že je v sandboxu. Žádný vnější proces nedržel klíč od nouzového východu. Srovnejte to s Claude Code, kde venku sedí privilegovaný proces a u každého příkazu rozhoduje, jestli sandbox vynutit - a přesvědčivá injektáž nebo unavené kliknutí na „povolit” ho dokáže obejít. V plném VM nebyl nikdo, kdo by měl pravomoc udělit výjimku. Prostě proto, že tam takový nikdo nebyl.

Šest izolačních mechanismů, dva z nich vynucené vně hostovaného jádra, takže by přežily, i kdyby agent získal ve VM rootovská práva. Zbylé čtyři uvnitř, záměrně minimální, protože vnější vrstvy nesly zbytek.

Pak přišla praxe. Když běžela celá agentní smyčka ve VM, jakékoli selhání startu VM proměnilo Cowork v cihlu. Anthropic proto smyčku vytáhl ven na hostitele a uvnitř nechal jen běh kódu. Nazval to host-mode a označil dopad na bezpečnost za minimální, protože VM dál hlídá souborový systém a síť pro kód, který agent spustí. Minimální dopad možná, ale ta pěkná vlastnost se zapečetěným prostředím padla už tady. Pak se ven z VM přesunuly i lokální MCP servery, kvůli auditovatelnosti a kvůli tomu, že MCP mluvící s lokální databází stejně musely běžet na hostiteli. A teď, s remote sessions, se ven přesunulo úplně všechno.

Tři klece pro agenta

Aby bylo vidět, kam Cowork doputoval, hodí se Anthropicova vlastní typologie tří izolačních vzorů:

ProstředíEfemérní kontejner (claude.ai)HITL sandbox (Claude Code)Zapečetěný VM (desktop Cowork)
Náklad na izolacistart kontejnerurychlý nativní sandboxboot celého VM
Spoléhá na uživatelenemusí umět číst bashne
Blast radiusserverový kontejner (gVisor + hranice infrastruktury)lokální workspacepřipojená složka (vsock + hranice hypervizoru)

Remote Cowork spadl do prvního sloupce. Model efemérního kontejneru, který claude.ai používá pro spouštění kódu dávno. A s ním se mění celá logika hrozby. Anthropic to o claude.ai píše otevřeně: tady nechráníme stroje uživatelů před agenty, chráníme vlastní infrastrukturu a jednotlivé nájemníky navzájem. Vyměnil se rovnou celý model kontejnmentu. Lokální VM zůstává živý jen pro existující desktopové instalace, které dál jedou v lokálním režimu.

Bezpečnostní účet za mobilitu

Oznámení je veselé a bezpečnostní posun v něm zaznívá jako „vaše soubory jdou tam co vy”. Reálné položky účtu jsou tyhle.

Data odcházejí ze stroje. U lokálního VM soubory nikdy neopustily disk, to byl celý smysl. Teď se práce agenta zpracovává na serverech Anthropicu - a co je podstatné, zahrnuje to i lokální soubory, které si Claude otevře přes desktopový most. Anthropic dodává, že data spadají pod stejné komerční závazky jako ostatní firemní provoz a neslouží k trénování Clauda. To řeší trénování. Neřeší to fakt, že místo zpracování se přesunulo z vaší kanceláře do cizího datacentra. Kdo si Cowork vybral právě kvůli lokálnosti, ať s tím počítá.

Zapečetěný VM byl nejsilnější trumf a je pryč. Vzdálený model je v pořádku, je to solidní serverový sandbox. Jenže je to konvenční serverový sandbox stejné kategorie jako claude.ai, ne ta výjimečná konstrukce bez klíče od nouzového východu. A pozor na jednu Anthropicovu vlastní větu: nejslabší bývá to, co si postavíte sami. Hypervizor, seccomp i gVisor drží roky. Selhala jejich vlastní allowlist proxy - a remote Cowork stojí na přesně takové vlastní egress proxy.

Egress přes povolenou doménu už jednou prošel. V jednom hlášení zaútočil škodlivý soubor v připojené složce tak, že přiměl Clauda nahrát cizí soubory přes Files API Anthropicu pomocí útočníkova klíče. Proxy zkontrolovala cíl, viděla api.anthropic.com, pustila to. Sandbox fungoval dokonale a data přesto odtekla. Poučení, které si Anthropic odnesl: allowlist funguje jako udělení schopnosti. Každá funkce dosažitelná přes povolenou doménu je útočná plocha, api.anthropic.com v sobě nese i nahrávání souborů na cizí účty. Opravili to defenzivní MITM proxy uvnitř VM. Remote sessions mají egress vynucený vně sandboxu přes povinnou proxy, kterou sandbox nepřenastaví - dobře. Zůstává ale ta samá třída rizika a ta samá vlastní komponenta, na kterou se spoléhá.

Uživatel jako injektážní vektor. Při interním red-teamu se povedlo zaměstnance nachytat na phishing - mail ve stylu „spusť mi tohle prosím” s připraveným promptem, který mezi řádky požádal Clauda o vytažení ~/.aws/credentials a jejich odeslání ven. Ze 25 pokusů exfiltrace prošla čtyřiadvacetkrát. Model tady nepomůže, protože instrukce přišla od uživatele a klasifikátor nemá co označit za anomálii. Drží jedině prostředí, egress a hranice souborů. To platí pro remote Cowork stejně jako pro Claude Code.

Perzistentní stav se sám nahraje. Naplánované úlohy běžící bez zapnutého zařízení jsou přesně to, před čím inženýrský post varuje jako před rizikem do budoucna. Dlouhověký stav, který se načte při každém startu agenta. Injektáž, která tam jednou přistane, se reaktivuje pokaždé znovu - klasická perzistence v postexploatačním smyslu.

Audit a EDR jsou slepé. Aktivita Coworku se aktuálně nezaznamenává do auditních logů, Compliance API ani exportů dat. K dispozici je jen pull-based export přes OpenTelemetry, což je zpětné dohledání, ne živý monitoring. A slepota vůči EDR se zdvojila - lokální VM byl pro endpointové nástroje neprůhledný, vzdálené session běží úplně mimo vaše koncová zařízení, takže je EDR nevidí taky. Kdo staví compliance na viditelnosti endpointů, měl by to vyřešit dřív, než Cowork nasadí. Anthropic to sám doporučuje.

Co stále platí

Aby byl náš vystavený účet férový, tak tady je druhá strana. Anthropic řadu věcí navrhl rozumně a stojí za to je jmenovat.

Sandbox remote session nemá ve výchozím stavu přístup k vaší síti - nedosáhne na privátní, interní ani cloud-metadata adresy, takže se přes něj nedá proniknout dovnitř k vám. Egress je vynucený vně sandboxu povinnou proxy, kterou sandbox neobejde, a projdou jen povolené cíle. V sandboxu žijí jen session tokeny s platností v řádu hodin. Autorizační tokeny konektorů do sandboxu vůbec nevstupují, volání konektorů se dělají na straně serveru. Data jsou izolovaná per organizace.

K tomu přibyly organizační přepínače přímo pro remote sessions. Můžete je pro firmu vypnout a nechat běžet jen lokální desktopový Cowork. Můžete nastavit síťovou politiku, vynutit čerstvé schválení u každého nástrojového volání vypnutím trvalého „always allow” nebo požadovat ověřené zařízení a nedávné přihlášení. Na spravovaných zařízeních platí i dvě MDM nastavení - isLocalDevMcpEnabled vypne lokální MCP servery, isDesktopExtensionEnabled zablokuje desktopová rozšíření - a ta se vztahují i na to, co remote session dosáhne přes desktopový most.

Komu to sedne a komu ne

Pro jednotlivce a menší tým je tohle čistý zisk. Mobilita, běh na pozadí, naplánované úlohy bez zapnutého stroje, jedna domovská obrazovka pro chat i Cowork. Dvojnásobné limity použití protažené do 5. srpna dávají prostor to vyzkoušet na větších úkolech. Kdo chtěl Coworku předat půldenní práci a dělat mezitím něco jiného, dostává přesně to.

Kdo pracuje s regulovanými daty nebo staví bezpečnostní režim na tom, že citlivé soubory neopustí firemní stroj, ať zpozorní. Přesun zpracování na servery, slepota auditu i EDR a závislost na vlastní egress proxy jsou tři věci, které stojí za rozhovor s bezpečnostním týmem dřív, než remote sessions pustíte do provozu. Lokální desktopový režim s VM zůstává k dispozici a pro tyhle případy je pořád rozumná volba.

Anthropic tu udělal poctivou inženýrskou práci a popsal ji otevřeněji než většina konkurence. To si zaslouží uznat. Zároveň platí, že za slovem „pohodlí” se skrývá výměna bezpečnostního modelu, o které se v oznámení dočtete jednou větou. A to je věc, kterou je fér vytáhnout na světlo.

Patrick Zandl

Technologický publicista a vývojář, který od roku 2025 provozuje Vibecoding.cz — největší česky psaný zdroj o AI-asistovaném programování. Dříve Chief Wizard Architect v Prusa3D, dnes konzultant a lektor AI implementace ve firmách.

Profil autora →