
字节笔记本
2026年2月20日
Anthropic Cowork 技术解析:当 AI Agent 从终端走向桌面
Anthropic 在 2026 年 1 月发布了 Cowork,把 Claude Code 的 Agent 能力从开发者命令行封装成了一个面向普通用户的桌面工具。这不是简单的产品形态变化,而是 AI Agent 从开发者工具走向通用生产力工具的一个重要节点。
不是"又一个聊天机器人"
Cowork 的诞生有个有趣的背景。Claude Code 原本是给开发者用的命令行工具,但用户很快把它用到了各种非编码场景:整理文件、清理邮件、做幻灯片、恢复照片、甚至控制烤箱。
这种"功能溢出"说明一件事:用户需要的不是更聪明的对话,而是能替自己干活的数字同事。
Cowork 和传统聊天 AI 的核心区别在哪?简单说:传统 AI 是一问一答,你问一句它答一句;Cowork 是你交待一个任务,它自己去执行,过程中可能还要读你的文件、改你的文件、调工具,最后把结果放在你桌上。Anthropic 自己的说法是:"这更像是给同事留言,而不是来回沟通。"
Agent Loop + 沙盒隔离
Agent Loop
Cowork 的智能行为遵循标准的 Agent Loop 模式:收集上下文 → 规划行动 → 执行 → 验证结果。
几个关键设计点:
- 子代理并行。复杂任务会被拆成多个独立子代理,每个子代理有自己的上下文窗口。这样避免了单线程处理复杂任务时上下文爆炸的问题。
- 上下文持久化。中间结果直接写到文件系统,后面的步骤可以接着用,不用来回传递上下文。
- PTC(程序化工具调用)。Claude 可以自己写 Python 代码来编排工具执行,而不是依赖预先定义好的工具链。这让它的能力边界更灵活。
沙盒隔离
让 AI 操作本地文件系统,安全是绕不开的问题。Cowork 用的是 Apple 的 VZVirtualMachine 虚拟化方案,多层防御:
- 文件系统隔离。Agent 只能访问用户明确授权的文件夹。
- 网络白名单。出站流量走本地代理,只放行已批准的服务器。
- 进程权限限制。用
bubblewrap和seccomp约束可执行的系统调用。 - 高风险操作确认。删除和批量修改需要用户手动确认。
这种设计在"给 AI 足够的权限干活"和"出了问题能兜住"之间做了平衡。就算 Agent 被提示注入攻击或者自己犯了错,影响范围也被限制在沙盒里。
Skills:可组合的专业知识
Skills 是 Cowork 扩展专业能力的核心机制。本质上就是一个文件夹,里面放着指令、脚本和资源:
.claude/skills/
└── generate_sales_report/
├── SKILL.md # 技能定义和调用指令
└── CODE/
└── analyze.py # 自动化脚本加载方式是渐进的:先扫元数据(大约 100 tokens),匹配上了才加载完整指令(不到 5k tokens),需要时才加载脚本。即使装了大量 Skills 也不会撑爆上下文窗口。
Claude 生态里有几种扩展能力的机制,各管各的:
- 重复的操作流程 → Skills
- 项目背景知识 → Projects
- 外部数据访问 → MCP
- 独立并行任务 → Subagents
- 临时指令 → Prompts
这几种可以组合使用。比如做一个竞争分析任务,可以同时调 Project 加载市场研究文档、用 MCP 连 Google Drive 拉最新报告、用 Skills 应用分析框架、用 Subagents 并行研究多个竞争对手。
连接外部世界
通过 MCP,Cowork 能连 Google Drive、Slack、GitHub、数据库和各种业务工具。如果装了 Chrome 扩展,还能直接操作浏览器:读网页、填表单、跨标签页导航、从没有 API 的网站抓数据。
这样 Cowork 的能力边界就从"本地文件"扩展到了"整个互联网"。
企业落地
让 AI 操作本地文件系统,企业最担心的是两件事:操作风险(误解指令导致数据丢失)和安全风险(提示注入攻击、敏感数据泄露)。
应对方式说起来不复杂:最小权限原则,只授权必要的文件夹;全面操作审计,记录每一次文件操作;培训员工写清楚指令。
落地节奏建议分三步走:先小范围试点 1-3 个月验证可行性,再花 3-6 个月融入业务流程,半年以后再考虑全面推广。对于复杂场景,可以用 Claude Agent SDK 做深度定制,跑无头模式、接入 CI/CD、做专用业务代理。
当前限制
Cowork 目前还有一些限制:只支持 macOS,不支持 Windows 和 Linux;没有跨设备同步,会话只存在本地;Projects、Memory、聊天共享等功能还没上线。不过从研究预览阶段来看,核心功能已经相当稳定了。