Mobil a web pro Cowork znějí jako pohodlí, které si člověk rád dopřeje. Skutečný příběh je ale jinde: změnil se celý bezpečnostní model a s ním i to, co přesně Cowork chrání.
Co se vlastně změnilo
Nejzajímavější novinka není UI, ale běh na pozadí. Zadáte úkol, zavřete notebook a práce pokračuje na serverech Anthropicu. „Remote sessions" jsou nově výchozí všude – i na desktopu. Cowork (agent – software, který samostatně postupuje krok za krokem) dostane pro každý běh vlastní efemérní sandbox, tedy oddělené dočasné prostředí, a stav i soubory se vážou k vašemu účtu.
Desktop zůstává „tlustý“ klient: umí lokální soubory a ovládat prohlížeč. Současně slouží jako most – když vzdálená session potřebuje sahat na disk, požádá přes desktopovou aplikaci a jen do vámi povolených složek. Web a mobil mají tenčí profil, ale zvládnou spouštění, kontrolu i plánování úloh. Praktické, zvlášť pokud víc než 90 % použití Coworku není kód, ale běžná znalostní práce.
O co přicházíme oproti původnímu Coworku
Původní verze běžela v plném lokálním VM (virtual machine – kompletní virtuální počítač), postaveném na hypervizoru systému. Krása toho řešení byla v tom, že agent neměl „nouzový východ“: smyčka běžela uvnitř VM jako obyčejný uživatel Linuxu, bez privilegovaného procesu venku, který by jí uděloval výjimky. Blast radius – tedy co může pokazit – se omezil na připojenou pracovní složku.
Praxe to ohlodala. Nejprve se agentní smyčka přesunula mimo VM (tzv. host‑mode), uvnitř zůstal jen běh kódu a pak se ven stěhovaly i lokální MCP servery. Dnešek to dokončuje: Cowork spadl do modelu efemérního kontejneru na serveru, podobně jako spouštění kódu na claude.ai. Tím se mění i hrozby – nejde primárně o ochranu vašeho stroje před agentem, ale o ochranu infrastruktury a nájemníků navzájem.
Bezpečnostní účet, který dává smysl si spočítat
- Data opouštějí zařízení. U lokálního VM soubory nikdy neopustily disk. Teď se zpracovávají vzdáleně – včetně lokálních souborů předaných přes desktopový most. Anthropic říká, že je nepoužívá k trénování; to ale neřeší samotný přesun do cizího datacentra.
- Zapečetěné VM je pryč. Serverový sandbox je solidní, ale je to „běžná“ kategorie, ne unikátní konstrukce bez klíčů. A zůstává spoléhání na vlastní egress proxy (výstupní brána pro síť). Dřívější incident ukázal, že allowlist povolených domén může nechtěně otevřít cestu (např. nahrání souborů přes API v rámci povolené domény).
- Uživatel jako injektážní vektor. Phishing s „prosím spusť tohle“ a vloženým promptem dokázal ve vnitřním testu 24× z 25 exfiltrovat přihlašovací údaje. Klasifikátor tady nepomůže – příkaz přišel „od člověka“. Drží jen prostředí, hranice souborů a egress.
- Perzistence přes plánované úlohy. Dlouhověký stav, který se sám znovu načítá, je pohodlí pro práci i potenciální opěrný bod pro injektáž, která se bude znovu aktivovat.
- Audit a EDR (endpoint detection and response) jsou naslepo. Aktivita Coworku se teď nepíše do auditních logů ani Compliance API; k dispozici je až zpětný export přes OpenTelemetry. A protože session běží mimo vaše endpointy, běžné EDR je taky neuvidí.
Co zůstává rozumně navržené
- Vzdálený sandbox bez přístupu do vaší privátní sítě a cloud‑metadata; dovnitř k vám se tím neprorazí.
- Egress vynucený mimo sandbox přes povinnou proxy, kterou kód uvnitř nepřenastaví.
- V sandboxu žijí jen krátkodobé session tokeny; tokeny konektorů do něj vůbec nevstupují, volání se dějí server‑side.
- Data a běhy jsou izolované per organizace.
Co bych si hlídala v praxi
- Pokud byl důvodem nasazení „data nesmí z počítače“, je fér zvážit, jestli vám vzdálený běh ještě sedí. Pro existující desktopové instalace lokální režim zůstává; otázka je, zda ho chcete držet bok po boku s remotem.
- Pilot v režimu „low trust“: malé, neprodukční dataset‑y, vypnuté automatické odesílání a žádné tajné klíče v připojených složkách.
- Politika pro plánované úlohy a pravidelné čištění jejich stavu.
- Školení proti prompt‑phishingu a jasné zásady, co agent nikdy nesmí číst (typicky ~/.aws/credentials apod.).
- Náhrada viditelnosti: centralizované logy z proxy a OTel exporty napojené do SIEM, aby security tým nebyl slepý.
Pohodlí webu a mobilu je fajn a dává Coworku úplně nový rytmus práce. Smysl ale dává vědět, že se přitom přehodil i bezpečnostní koberec – a že některé staré jistoty lokálního VM už neplatí.