安全与沙箱配置
了解 Cowork 如何通过虚拟机隔离、权限控制和安全机制保护您的系统。学习安全使用自主 AI 代理的最佳实践。
Claude Cowork 采用纵深防御的安全策略。与直接在浏览器中运行的传统 AI 聊天机器人不同,Cowork 作为具有文件系统访问权限的自主代理运行——这需要强大的隔离机制来保护您的系统。
安全模型结合了硬件级虚拟机隔离、显式权限授予、用于检测提示注入的内容分类器,以及通过强化学习训练来识别和拒绝恶意指令的能力。
schema 安全架构图
macOS 主机
受保护的系统文件和应用程序
VZVirtualMachine
Apple 虚拟化框架沙箱
Claude 代理
在隔离的 Linux 虚拟机中运行
Apple 虚拟化框架的虚拟机隔离
Cowork 不会直接在您的 macOS 主机上运行。相反,它使用 Apple 的 VZVirtualMachine 框架启动一个轻量级的定制 Linux 虚拟机——这与 macOS 上 Docker Desktop 使用的技术相同。
进程隔离
代理在完全独立的操作系统实例中运行。即使被入侵,也无法逃离虚拟机边界。
无系统访问权限
无法访问 macOS 系统文件、应用程序或任何您未明确授权的文件夹。
Apple 芯片优化
利用基于 ARM 的虚拟化和统一内存,实现最小的性能开销。
每次会话全新启动
每个 Cowork 会话都以干净的虚拟机状态启动。持久性恶意软件无法在会话之间存活。
技术说明
VZVirtualMachine 框架启动一个专为 Cowork 设计的定制 Linux 根文件系统。这提供了硬隔离——代理只能访问您明确"挂载"到虚拟机环境中的文件夹。
权限系统
Cowork 遵循最小权限原则。您可以精确控制 Claude 可以访问哪些文件夹,代理在执行重要操作前会请求明确批准。
文件夹访问授权
在开始工作之前,您选择 Cowork 可以访问哪些文件夹。Claude 只能在这些挂载的文件夹中读取、写入、创建和删除文件。除非明确授权,否则您的文档、桌面或其他文件夹保持不变。
操作确认
对于删除多个文件等重要操作,Claude 会暂停并请求您的确认。您可以在继续之前审查提议的操作并批准或拒绝。
实时活动日志
实时查看 Cowork 正在做什么。每个文件操作、网络请求和动作都会被记录并在界面中可见。您可以随时暂停或停止执行。
安全机制
强化学习保护
Claude 通过 RLHF(人类反馈强化学习)训练,能够识别和拒绝恶意指令。它会拒绝可能损害您系统或数据的请求。
内容分类器
在浏览网页或处理文件时,内容分类器会扫描不受信任的内容以检测潜在的提示注入——可能试图欺骗代理执行意外操作的隐藏文本。
审计追踪
会话期间所有操作的完整历史记录。查看 Claude 做了什么、何时做的、对哪些文件进行了操作。便于了解变更和需要时进行回滚。
本地文件处理
您的文件在虚拟机内本地处理。文件内容不会上传到外部服务器或用于模型训练。只有对话上下文会发送到 Claude 的 API。
安全最佳实践
授予最小文件夹访问权限
只挂载任务所需的文件夹。不要授予整个主目录的访问权限——而是创建一个专用的工作文件夹。
备份重要文件
在让 Cowork 重新整理或修改文件之前,确保您有备份。沙箱保护您的操作系统,但不保护授权文件夹内的数据。
执行前审查计划
Claude 在开始工作前会显示其计划。花时间审查它,特别是涉及文件删除或修改的任务。
明确具体的指令
模糊的指令如"清理所有东西"可能导致意外删除。明确说明应该保留、修改或删除什么。
监控浏览器任务
使用 Chrome 扩展程序执行网络任务时,请注意恶意网站可能尝试提示注入。在网络交互期间监控活动日志。
已知限制
了解安全模型的限制有助于您安全地使用 Cowork:
无法保护您免受自己指令的影响
如果您告诉 Claude 删除文件,它会执行。沙箱保护您免受外部威胁,而不是您明确授权的命令。
提示注入风险
虽然分类器有助于检测提示注入,但恶意网站上的坚定攻击者可能仍会成功。仔细监控网页浏览任务。
数据泄露可能性
启用网络访问后,被入侵的会话可能会将数据发送到外部服务器。对于敏感工作,请使用网络监控。
研究预览状态
Cowork 仍处于研究预览阶段。随着产品成熟,安全措施将继续演进。
故障排除
虚拟机无法启动 expand_more
授予权限后文件夹访问被拒绝 expand_more
Claude 拒绝安全操作 expand_more
安全是首要任务
Anthropic 在使 Cowork 默认安全方面投入了大量资源。虚拟机隔离、权限系统和安全机制协同工作以最小化风险。然而,没有系统是完美的——在授予 AI 代理访问您文件的权限时,请始终保持适当的谨慎。