Blog

Claude Cowork míří na web a mobil. Hlavní změna: bezpečnost naruby

Cowork nově běží i bez otevřeného notebooku a skáče mezi zařízeními. Důležitější zpráva je ale pod kapotou: agent už neběží ve zapečetěném VM u vás, ale v efemérním kontejneru na serverech Anthropicu.

Mobil a web pro Cowork znějí jako pohodlí, které si člověk rád dopřeje. Skutečný příběh je ale jinde: změnil se celý bezpečnostní model a s ním i to, co přesně Cowork chrání.

Co se vlastně změnilo

Nejzajímavější novinka není UI, ale běh na pozadí. Zadáte úkol, zavřete notebook a práce pokračuje na serverech Anthropicu. „Remote sessions" jsou nově výchozí všude – i na desktopu. Cowork (agent – software, který samostatně postupuje krok za krokem) dostane pro každý běh vlastní efemérní sandbox, tedy oddělené dočasné prostředí, a stav i soubory se vážou k vašemu účtu.

Desktop zůstává „tlustý“ klient: umí lokální soubory a ovládat prohlížeč. Současně slouží jako most – když vzdálená session potřebuje sahat na disk, požádá přes desktopovou aplikaci a jen do vámi povolených složek. Web a mobil mají tenčí profil, ale zvládnou spouštění, kontrolu i plánování úloh. Praktické, zvlášť pokud víc než 90 % použití Coworku není kód, ale běžná znalostní práce.

O co přicházíme oproti původnímu Coworku

Původní verze běžela v plném lokálním VM (virtual machine – kompletní virtuální počítač), postaveném na hypervizoru systému. Krása toho řešení byla v tom, že agent neměl „nouzový východ“: smyčka běžela uvnitř VM jako obyčejný uživatel Linuxu, bez privilegovaného procesu venku, který by jí uděloval výjimky. Blast radius – tedy co může pokazit – se omezil na připojenou pracovní složku.

Praxe to ohlodala. Nejprve se agentní smyčka přesunula mimo VM (tzv. host‑mode), uvnitř zůstal jen běh kódu a pak se ven stěhovaly i lokální MCP servery. Dnešek to dokončuje: Cowork spadl do modelu efemérního kontejneru na serveru, podobně jako spouštění kódu na claude.ai. Tím se mění i hrozby – nejde primárně o ochranu vašeho stroje před agentem, ale o ochranu infrastruktury a nájemníků navzájem.

Bezpečnostní účet, který dává smysl si spočítat

  • Data opouštějí zařízení. U lokálního VM soubory nikdy neopustily disk. Teď se zpracovávají vzdáleně – včetně lokálních souborů předaných přes desktopový most. Anthropic říká, že je nepoužívá k trénování; to ale neřeší samotný přesun do cizího datacentra.
  • Zapečetěné VM je pryč. Serverový sandbox je solidní, ale je to „běžná“ kategorie, ne unikátní konstrukce bez klíčů. A zůstává spoléhání na vlastní egress proxy (výstupní brána pro síť). Dřívější incident ukázal, že allowlist povolených domén může nechtěně otevřít cestu (např. nahrání souborů přes API v rámci povolené domény).
  • Uživatel jako injektážní vektor. Phishing s „prosím spusť tohle“ a vloženým promptem dokázal ve vnitřním testu 24× z 25 exfiltrovat přihlašovací údaje. Klasifikátor tady nepomůže – příkaz přišel „od člověka“. Drží jen prostředí, hranice souborů a egress.
  • Perzistence přes plánované úlohy. Dlouhověký stav, který se sám znovu načítá, je pohodlí pro práci i potenciální opěrný bod pro injektáž, která se bude znovu aktivovat.
  • Audit a EDR (endpoint detection and response) jsou naslepo. Aktivita Coworku se teď nepíše do auditních logů ani Compliance API; k dispozici je až zpětný export přes OpenTelemetry. A protože session běží mimo vaše endpointy, běžné EDR je taky neuvidí.

Co zůstává rozumně navržené

  • Vzdálený sandbox bez přístupu do vaší privátní sítě a cloud‑metadata; dovnitř k vám se tím neprorazí.
  • Egress vynucený mimo sandbox přes povinnou proxy, kterou kód uvnitř nepřenastaví.
  • V sandboxu žijí jen krátkodobé session tokeny; tokeny konektorů do něj vůbec nevstupují, volání se dějí server‑side.
  • Data a běhy jsou izolované per organizace.

Co bych si hlídala v praxi

  • Pokud byl důvodem nasazení „data nesmí z počítače“, je fér zvážit, jestli vám vzdálený běh ještě sedí. Pro existující desktopové instalace lokální režim zůstává; otázka je, zda ho chcete držet bok po boku s remotem.
  • Pilot v režimu „low trust“: malé, neprodukční dataset‑y, vypnuté automatické odesílání a žádné tajné klíče v připojených složkách.
  • Politika pro plánované úlohy a pravidelné čištění jejich stavu.
  • Školení proti prompt‑phishingu a jasné zásady, co agent nikdy nesmí číst (typicky ~/.aws/credentials apod.).
  • Náhrada viditelnosti: centralizované logy z proxy a OTel exporty napojené do SIEM, aby security tým nebyl slepý.

Pohodlí webu a mobilu je fajn a dává Coworku úplně nový rytmus práce. Smysl ale dává vědět, že se přitom přehodil i bezpečnostní koberec – a že některé staré jistoty lokálního VM už neplatí.

Zdroje

Došlo k neočekávané chybě. Obnovit 🗙

Rejoining the server...

Rejoin failed... trying again in seconds.

Failed to rejoin.
Please retry or reload the page.

The session has been paused by the server.

Failed to resume the session.
Please retry or reload the page.