آلة Claude Cowork الافتراضية المحلية تكشف الكلفة الحقيقية لوكلاء سطح المكتب الآمنين

في 25 مايو، نشرت Anthropic أكثر جملة صراحة في نقاش أمان الوكلاء الحالي: أول معمارية سطح مكتب لـ Claude Cowork كانت تعمل داخل “آلة افتراضية كاملة” باستخدام إطار Virtualization من Apple على macOS وHCS على Windows، مع نواة Linux خاصة بها، ونظام ملفات، وجدول عمليات مستقل (Anthropic). بعد أسبوعين، كان Hacker News يتجادل حول سبب قدرة Claude Desktop على Windows على تشغيل آلة Hyper-V افتراضية بحجم 1.8 غيغابايت حتى عندما كان المستخدم يريد الدردشة فقط (Hacker News).

هذا ليس مصادفة. هذه فاتورة المنتج وقد وصلت.

القصة المريحة تقول إن Anthropic أطلقت خللًا، ونعم، هناك تقرير خلل. لكن القصة الأ sharp هي أن وكلاء سطح المكتب الآمنين يدفعون شركات النماذج إلى أن تصبح مورّدي بيئات تشغيل. ما إن يستطيع الوكيل قراءة الملفات المحلية، وتشغيل الكود، واستدعاء الأدوات، والاحتفاظ بالحالة بين الجلسات، حتى يكف “أمان الذكاء الاصطناعي” عن كونه مشكلة بطاقة نموذج. يصبح مشكلة نظام ملفات، ونواة، ومشرف آلات افتراضية، وسياسة شبكة، وهوية، وتدقيق، ومراقبة أجهزة طرفية.

رسم معماري يوضح عملية مضيف Claude Desktop، وحلقة وكيل أصلية، ومجلد مساحة عمل مركّب، وآلة Linux افتراضية مخصصة

الآلة الافتراضية ليست صدفة

المعمارية التي أعلنتها Anthropic واضحة. Claude Cowork ليس مجرد صندوق دردشة مع رفع ملفات. يقول مركز المساعدة إن Cowork يستخدم بيئتي تنفيذ: حلقة الوكيل تعمل محليًا على الجهاز، بينما تُنفَّذ أوامر الصدفة والكود المولّد داخل آلة Linux افتراضية مخصصة ومعزولة عبر Apple Virtualization.framework على macOS وHyper-V على Windows (Claude Help Center).

هذا التصميم قابل للدفاع عنه. بل إنه الجزء الذي أثق به أكثر.

تشرح تدوينة Anthropic الهندسية لماذا يستطيع Claude Code الاتكاء على حلقة موافقة بشرية بينما لا يستطيع Cowork ذلك. مستخدمو Claude Code مطورون. يستطيعون غالبًا فحص أمر bash قبل الموافقة عليه. أما Cowork فيستهدف أعمال المعرفة الأوسع، حيث مطالبة المستخدم بالحكم على find . -name "*.tmp" -exec rm {} \; ليست إلا مسرحية. الحد الصحيح لذلك المستخدم ليس نافذة تحذير مخيفة. بل صندوق عزل دائم التشغيل.

تقدم Anthropic أرقامًا مفيدة أيضًا. وافق المستخدمون على نحو 93% من طلبات أذونات Claude Code. أدى إضافة صندوق عزل على مستوى نظام التشغيل إلى خفض طلبات الأذونات بنسبة 84%. يلتقط الوضع التلقائي في Claude Code نحو 83% من السلوكيات “المفرطة في الحماسة”، مع ملاحظة Anthropic أن نحو 17% منها لا يزال يمر (Anthropic). الدرس مباشر: النوافذ التحذيرية تلميحات سياسة. صناديق العزل إنفاذ للسياسة.

هذه هي مقايضة الاحتواء التي تجريها Anthropic فعليًا:

سطح المنتج	حد بيئة التشغيل	كلفة الأمان الرئيسية
تنفيذ الكود في claude.ai	حاوية gVisor على جهة الخادم	قدرة محلية أقل
Claude Code	صندوق عزل على مستوى نظام التشغيل مع موافقات	على المستخدم فهم المخاطر
Claude Cowork	آلة Linux افتراضية محلية	بدء التشغيل، الذاكرة، القرص، رؤية فرق التقنية

توجد الآلة الافتراضية لأن Anthropic تأخذ نطاق الضرر المحلي بجدية. يتم تركيب مساحة العمل المحددة ومجلد .claude. تبقى بيانات الاعتماد في سلسلة مفاتيح المضيف. يُقيَّد خروج الشبكة. بل إن Anthropic تشير صراحة إلى التحقق من الروابط الرمزية وأنماط التركيب: قراءة فقط، قراءة وكتابة، وقراءة وكتابة بلا حذف.

هذا هندسة حقيقية. وله أيضًا كلفة حقيقية.

المجتمع غاضب من الفاتورة، لا من الحد

فُتحت مشكلة GitHub التي وصلت إلى HN في 26 فبراير 2026. يصف المبلّغ جهاز Windows 11 Pro 25H2 على حاسوب Razer Blade محمول بذاكرة 16 غيغابايت، مع تفعيل VirtualMachinePlatform وتعطيل Hyper-V وWSL وDocker وWindows Sandbox. بعد استخدام Cowork أو وضع الوكيل مرة واحدة، زُعم أن Claude Desktop صار يشغل آلة Hyper-V افتراضية عند كل بدء، مع ظهور Vmmem بحجم يقارب 1,796 إلى 1,846 ميغابايت (GitHub).

هذا مهم لأن 1.8 غيغابايت ليست رقمًا تجريديًا. على حاسوب بذاكرة 16 غيغابايت، إنها أكثر من 11% من الذاكرة قبل أن يطلب المستخدم من الوكيل أي عمل وكيل. تقول المشكلة نفسها إن الذاكرة في وضع الخمول ارتفعت من نحو 50% إلى 62%، ثم إلى 70–75% تحت حمل التطبيقات المعتاد. ووجد المبلّغ أيضًا 2,689 ملف جلسة قديمًا تحت %APPDATA%\Claude\local-agent-mode-sessions\.

لم يكن الحل الالتفافي جميلًا:

Disable-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform" -NoRestart
Stop-Process -Name vmwp -Force
Stop-Process -Name vmcompute -Force

هذا ليس حلًا التفافيًا للمستهلك. هذه تذكرة دعم تقنية.

فعل نقاش HN ما يفعله HN: بعضهم لام الإهمال، وبعضهم دافع عن الحاجة إلى صندوق عزل، وعدة أشخاص طرحوا سؤال المنتج الذي ينبغي لـ Anthropic أن تجيب عنه مباشرة: لماذا لا يكون Cowork اختياريًا ببساطة؟ صاغ أحد المعلقين المنطقة الوسطى المفيدة: هناك طيف بين منح الوكيل كل شيء وعدم منحه أي شيء (Hacker News). هذا هو الإطار الصحيح.

إحباط مستخدمي Linux يأتي من المكان نفسه. صفحة التثبيت الرسمية لدى Anthropic تذكر macOS 11+ وWindows 10+ فقط، مع خيارات تثبيت لـ “macOS” و“Windows” (Claude Help Center). في المقابل، تستمر نقاشات Reddit في السؤال عن سبب عدم وجود تطبيق سطح مكتب على Linux، خصوصًا أن Claude Desktop يشحن أصلًا آلة Linux افتراضية لتنفيذ الوكيل محليًا (Reddit). الشكوى الشائعة ليست فقط “ادعم نظام التشغيل لدي”. بل هي: إذا كانت بيئة التشغيل الآمنة هي Linux، فلماذا يحصل مستخدمو Linux على أقل دعم رسمي لسطح المكتب؟

قد تكون الإجابة في التغليف، أو نشر المؤسسات، أو تكامل سلسلة المفاتيح، أو عزل التطبيقات، أو عبء الدعم، أو غياب API أمن موحد لسطح مكتب Linux. هذه أسباب جدية. لكن صورة المنتج سيئة. يستطيع المطورون رؤية الآلة الافتراضية. يستطيعون رؤية Hyper-V. يستطيعون رؤية مجلدات الجلسات القديمة. يستطيعون رؤية مشاريع إعادة التغليف غير الرسمية على Linux. يعرفون متى يتسرب التجريد.

مخطط أعمدة مضغوط يقارن الأحمال المحلية المبلّغ عنها: ذاكرة آلة Hyper-V افتراضية بحجم 1.8 غيغابايت في مشكلة Windows، و2,689 ملف جلسة قديم

الأمان صار مشكلة بيئة تشغيل

أهم جزء في تدوينة Anthropic ليس الآلة الافتراضية. بل نمط الفشل.

تصف Anthropic إفصاحًا من طرف ثالث حيث فعلت قائمة السماح لخروج Cowork بالضبط ما ضُبطت عليه. سمحت بالاتصال بـ api.anthropic.com، لأن المنتج يحتاج ذلك API. تضمّن ملف خبيث في مساحة العمل المركّبة تعليمات مخفية ومفتاح API يتحكم به المهاجم. قرأ Claude الملفات ورفعها عبر Files API لدى Anthropic إلى حساب المهاجم. خلاصة Anthropic قاسية: نجح صندوق العزل، ومع ذلك خرجت البيانات (Anthropic).

هذه هي مشكلة أمان الوكلاء في حادثة واحدة. قوائم السماح بالنطاقات لا تكفي لأن النطاق ليس إذنًا. إنه حزمة قدرات. السماح بـ api.anthropic.com يعني السماح بكل عملية يمكن الوصول إليها خلف ذلك API ما لم تفهم بيئة التشغيل المصدر، ونطاق الرمز، والترويسات، والنية.

كان إصلاح Anthropic هو وكيلًا دفاعيًا يعمل كوسيط داخل الآلة الافتراضية، لا يمرر إلا الطلبات التي تحمل رمز الجلسة المخصص للآلة الافتراضية نفسها ويرفض المفاتيح المزروعة من المهاجم. هذا جيد. وهو أيضًا لافتة لكل من يبني وكلاء سطح مكتب: صندوق العزل يحتاج إلى فهم الهوية والقدرة، لا عناوين IP والمسارات فقط.

لم تكن تطبيقات سطح المكتب التقليدية تحتاج هذا القدر من الآلات لأنها لم تكن تقرر ذاتيًا فتح الملفات، وتركيب الأوامر، وربط الأدوات، والالتفاف حول الأذونات الناقصة. يعزل صندوق عزل المتصفح صفحات الويب غير الموثوقة. وتعزل الحاوية خدمة. أما صندوق عزل وكيل سطح المكتب فعليه عزل مشغّل شبه ذاتي يستطيع قراءة تعليمات من مستندات معادية ثم استخدام أدوات شرعية لفعل الشيء الخطأ.

لهذا يتحول الأمر إلى طبقة نظام تشغيل/بيئة تشغيل.

يمتلك نظام التشغيل بالفعل معظم البدائيات: عزل العمليات، وأذونات نظام الملفات، والتخزين الآمن لبيانات الاعتماد، وترشيح الشبكة، وسجلات التدقيق، والتوثيق، وخطافات EDR، وإدارة الأجهزة. وتمتلك شركة النموذج حلقة الوكيل ونية السياسة. المنتج الناقص هو العقد بينهما.

فرق تقنية المؤسسات تدفع مرتين

تعطي الآلة الافتراضية Anthropic حد احتواء صلبًا. لكنها تخفي النشاط أيضًا عن أدوات الأمان نفسها التي تعتمد عليها المؤسسات.

تقول Anthropic هذا صراحة. في أسئلة معمارية Cowork الشائعة، يُجاب عن سؤال “هل تستطيع أدوات كشف واستجابة الأجهزة الطرفية (EDR) فحص النشاط داخل الآلة الافتراضية؟” بـ “لا”. الآلة الافتراضية معزولة عن أدوات الأمان المعتمدة على المضيف بحكم التصميم (Claude Help Center). وتضيف التدوينة الهندسية أن التخفيف الحالي هو تصديرات OTLP يسحبها المسؤولون، وهذا ليس مثل المراقبة الحية (Anthropic).

هذا يعني أن فرق التقنية تدفع مرتين.

أولًا، تدفع كلفة الموارد: حزم القرص، وبدء الآلة الافتراضية، وضغط الذاكرة، وتعارضات الافتراضية، ومشكلات الشبكة، وسكربتات مكتب المساعدة. ثانيًا، تدفع كلفة الرؤية: الشيء الذي يجعل الوكيل أكثر أمانًا من المضيف يجعله أيضًا أكثر تعتيمًا أمام المراقبة المعتمدة على المضيف.

هذا ليس سببًا لرفض الآلات الافتراضية. إنه سبب للتوقف عن التظاهر بأن “يعمل داخل آلة افتراضية” هي نهاية قصة الأمان. في طرح مؤسسي، آلة افتراضية مختومة بلا قياس عن بُعد من الدرجة الأولى هي صندوق أسود بمحيط جميل.

فجوة التدقيق أشد حدة لأن مركز المساعدة يقول إن نشاط Cowork “غير ملتقط حاليًا” في سجلات التدقيق، أو Compliance API، أو تصديرات البيانات، ويوجه المسؤولين إلى OpenTelemetry لإرشادات المراقبة (Claude Help Center). لو استخدم موظف بشري صدفة، أو نسخ ملفات، أو استدعى API، لتوقعت الشركات سجلات. إذا فعل وكيل ذلك داخل آلة افتراضية، فلن تصمد عبارة “ثقوا بنا، إنه محتوى” أمام المشتريات.

مخطط قابلية ملاحظة قبل وبعد: في اليسار يظهر EDR المضيف وهو لا يرى إلا عملية مشرف آلات افتراضية معتمة؛ في اليمين يظهر قياس عن بُعد أوضح

ما ينبغي للمطورين المطالبة به

يركز نقاش المجتمع أكثر مما ينبغي على ما إذا كانت 1.8 غيغابايت “كثيرة جدًا”. هذا يعتمد على الجهاز والمهمة. الطلب الحقيقي يجب أن يكون التحكم.

ينبغي لموردي وكلاء سطح المكتب أن يجعلوا حالة صندوق العزل سطحًا من أسطح المنتج، لا أن يدفنوها في AppData ومدير المهام. على المطورين والمسؤولين أن يطلبوا خمسة أشياء.

أولًا: بدء كسول. لا ينبغي للدردشة أن تشغل آلة افتراضية. Cowork ينبغي أن يفعل. قد تبرر المهام المجدولة بيئة تشغيل دافئة، لكن يجب أن يكون ذلك مرئيًا وقابلًا للضبط.

ثانيًا: لوحة تحكم لصندوق العزل. اعرض حالة الآلة الافتراضية، والذاكرة، واستخدام القرص، والمجلدات المركّبة، والجلسات النشطة، وسياسة الخروج، وآخر تنظيف. إذا كان Docker Desktop يستطيع عرض الحاويات، فيستطيع Claude Desktop عرض بيئة تشغيل وكيله.

ثالثًا: خيارات تثبيت صريحة. إذا كان Cowork يحتاج حزمة من فئة 10 غيغابايت على بعض الأنظمة، فقل ذلك قبل التنزيل. دع المستخدمين يختارون الموقع. ودعهم يزيلونه من دون كسر الدردشة.

رابعًا: السياسة ككود. ينبغي أن يستطيع المطورون فحص سياسة صندوق العزل الفعلية وإصدارها: التركيبات، ووجهات الشبكة، وأذونات MCP المحلية، ونطاقات الرموز، وقواعد الحذف. لوحة غامضة باسم “إعدادات الخروج” لا تكفي للفرق التي تشحن عملًا حقيقيًا.

خامسًا: خطافات قابلية ملاحظة حية. تصدير OTLP بداية. يجب أن يكون السقف سجلات لكل استدعاء أداة، وأحداث وصول إلى الملفات، وإجراءات مرفوضة، وقرارات شبكة، وهوية جلسة، ورموز أسباب قابلة للقراءة من المسؤولين. لا يمكن التلويح بعيدًا بعمى EDR باعتباره كلفة العزل.

طلب Linux ينتمي هنا أيضًا. تطبيق سطح مكتب على Linux ليس مجرد لفتة لطيفة للمجتمع. إنه فرصة للبناء على المنصة التي تعيش عليها أصلًا كثير من بدائيات العزل، وسير عمل المطورين، والنماذج الذهنية للحاويات. إذا كان الجزء الصعب هو تكامل سطح المكتب، فقولوا ذلك. إذا كان الجزء الصعب هو دعم المؤسسات عبر التوزيعات، فقولوا ذلك. الصمت يترك المستخدمين يستنتجون الإهمال.

الخلاصة الصحيحة

تستحق Anthropic التقدير لنشرها تفاصيل غير مريحة. تتضمن التدوينة أرقامًا حقيقية، ومخاطر حقيقية فاتت، ومقايضات حقيقية. كان معظم الموردين سيتوقفون عند “صندوق عزل آمن”. شرحت Anthropic أين فشل صندوق العزل، وأين فشلت موافقة المستخدم، وأين جعل عزل الآلة الافتراضية مراقبة المؤسسات أسوأ.

لكن غضب HN مبرر أيضًا. تكاليف الأمان لا تختفي لأن مخطط المعمارية متين. إنها تنتقل إلى حاسوب المستخدم المحمول، وخطة نشر المسؤول، وسير العمل اليومي للمطور.

آلة Claude Cowork الافتراضية هي المستقبل وهو يصل مبكرًا: سيحتاج الوكلاء المحليون إلى حدود بيئة تشغيل صلبة، وهوية محددة النطاق، ووساطة شبكة، وتنفيذ أدوات قابل للتدقيق. الفائزون لن يكونوا الموردين الذين يخفون هذه الآلات. الفائزون سيجعلونها مقروءة، وقابلة للضبط، وقابلة للملاحظة، ومملة.

وكيل سطح مكتب يستطيع تشغيل ملفاتك وأدواتك لم يعد مجرد تطبيق. إنه بيئة تشغيل صغيرة. عامله على هذا الأساس.

يمكن للقراء الذين يريدون تجربة Claude Fable 5 بأنفسهم استخدامه عبر Claude Fable 5 على OneHop، كنقطة نهاية جاهزة للاستبدال بسعر يقل بنحو 30% عن السعر المعلن. يمكن للحسابات الجديدة البدء برصيد مجاني قدره 10 دولارات، بلا حاجة إلى بطاقة.

قراءة إضافية: البدء مع Claude Fable 5.