Am 25. Mai veröffentlichte Anthropic den ehrlichsten Satz in der aktuellen Debatte um Agentensicherheit: Die erste Desktop-Architektur von Claude Cowork lief in „einer vollständigen virtuellen Maschine“ mit Apples Virtualization-Framework auf macOS und HCS auf Windows, samt eigenem Linux-Kernel, Dateisystem und Prozesstabelle (Anthropic). Zwei Wochen später stritt Hacker News darüber, warum Claude Desktop unter Windows eine 1,8-GB-Hyper-V-VM starten konnte, selbst wenn der Nutzer nur chatten wollte (Hacker News).
Das ist kein Zufall. Das ist die Produktrechnung, die fällig wird.
Die bequeme Geschichte lautet: Anthropic hat einen Bug ausgeliefert. Und ja, es gibt einen Bugreport. Die schärfere Geschichte lautet: Sichere Desktop-Agenten zwingen Modellfirmen dazu, Runtime-Anbieter zu werden. Sobald ein Agent lokale Dateien lesen, Code ausführen, Tools aufrufen und Zustand über Sitzungen hinweg behalten kann, ist „AI safety“ kein Model-Card-Problem mehr. Es wird zu einem Problem von Dateisystem, Kernel, Hypervisor, Netzwerkrichtlinien, Identität, Audit und Endpoint-Monitoring.
Die VM Ist Kein Versehen
Anthropics öffentliche Architektur ist eindeutig. Claude Cowork ist nicht einfach nur eine Chatbox mit Datei-Upload. Das Help Center erklärt, dass Cowork zwei Ausführungsumgebungen nutzt: Die Agentenschleife läuft nativ auf dem Gerät, während Shell-Befehle und generierter Code in einer dedizierten Linux-VM ausgeführt werden, isoliert durch Apple Virtualization.framework auf macOS und Hyper-V auf Windows (Claude Help Center).
Dieses Design ist vertretbar. Tatsächlich ist es der Teil, dem ich am meisten vertraue.
Anthropics Engineering-Post erklärt, warum Claude Code sich auf eine menschliche Freigabeschleife stützen kann, Cowork aber nicht. Claude-Code-Nutzer sind Entwickler. Sie können einen Bash-Befehl oft prüfen, bevor sie ihn freigeben. Cowork richtet sich an breitere Wissensarbeit, wo es Theater ist, Nutzer beurteilen zu lassen, ob find . -name "*.tmp" -exec rm {} \; okay ist. Die richtige Grenze für diese Nutzer ist kein gruseliger Prompt. Es ist eine Sandbox, die immer aktiv ist.
Anthropic liefert auch nützliche Zahlen. Nutzer genehmigten rund 93% der Berechtigungs-Prompts in Claude Code. Eine Sandbox auf OS-Ebene reduzierte Berechtigungs-Prompts um 84%. Der Auto-Modus von Claude Code fängt rund 83% der „übereifrigen“ Verhaltensweisen ab; Anthropics Fußnote sagt, dass etwa 17% trotzdem durchkommen (Anthropic). Die Lektion ist brutal simpel: Prompts sind Richtlinienhinweise. Sandboxes sind Richtliniendurchsetzung.
Das ist der Containment-Trade-off, den Anthropic wirklich eingeht:
| Produktoberfläche | Runtime-Grenze | Wichtigster Sicherheitskostenpunkt |
|---|---|---|
| claude.ai Codeausführung | Serverseitiger gVisor-Container | Weniger lokale Fähigkeiten |
| Claude Code | OS-Sandbox plus Freigaben | Nutzer muss Risiko verstehen |
| Claude Cowork | Lokale Linux-VM | Startzeit, Speicher, Festplatte, IT-Sichtbarkeit |
Die VM existiert, weil Anthropic den lokalen Schadensradius ernst nimmt. Der ausgewählte Workspace und der .claude-Ordner werden eingebunden. Zugangsdaten bleiben im Keychain des Hosts. Ausgehender Netzwerkverkehr wird beschränkt. Anthropic erwähnt sogar Symlink-Validierung und Mount-Modi: read-only, read-write und read-write-no-delete.
Das ist echte Ingenieursarbeit. Und sie hat echte Kosten.
Die Community Ärgerte Sich Über Die Rechnung, Nicht Über Die Grenze
Das GitHub-Issue, das bei HN landete, wurde am 26. Februar 2026 eröffnet. Der Reporter beschreibt Windows 11 Pro 25H2 auf einem Razer-Blade-Laptop mit 16 GB RAM, mit aktiviertem VirtualMachinePlatform und deaktiviertem Hyper-V, WSL, Docker und Windows Sandbox. Nachdem Cowork oder der Agentenmodus einmal genutzt worden war, startete Claude Desktop angeblich bei jedem Start eine Hyper-V-VM und zeigte Vmmem bei rund 1.796 bis 1.846 MB (GitHub).
Das ist relevant, weil 1,8 GB keine Abstraktion sind. Auf einem 16-GB-Laptop sind das mehr als 11% des RAM, bevor der Nutzer den Agenten überhaupt um Agentenarbeit gebeten hat. Dasselbe Issue sagt, dass der Idle-Speicherverbrauch von etwa 50% auf 62% stieg, dann unter normaler App-Last auf 70–75%. Der Reporter fand außerdem 2.689 verwaiste Sitzungsdateien unter %APPDATA%\Claude\local-agent-mode-sessions\.
Der Workaround war nicht schön:
Disable-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform" -NoRestart
Stop-Process -Name vmwp -Force
Stop-Process -Name vmcompute -ForceDas ist kein Verbraucher-Workaround. Das ist ein IT-Ticket.
Der HN-Thread tat, was HN eben tut: Einige gaben Schlamperei die Schuld, andere verteidigten die Notwendigkeit einer Sandbox, und mehrere stellten die Produktfrage, die Anthropic direkt beantworten sollte: Warum ist Cowork nicht einfach opt-in? Ein Kommentator formulierte den sinnvollen Mittelweg: Es gibt ein Spektrum zwischen einem Agenten alles zu geben und ihm nichts zu geben (Hacker News). Genau das ist der richtige Rahmen.
Der Linux-Frust kommt aus derselben Ecke. Anthropics offizielle Installationsseite listet nur macOS 11+ und Windows 10+ auf, mit Installationsoptionen für „macOS“ und „Windows“ (Claude Help Center). Gleichzeitig fragen Reddit-Threads immer wieder, warum es keine Linux-Desktop-App gibt — besonders, weil Claude Desktop bereits eine Linux-VM für lokale Agentenausführung ausliefert (Reddit). Die häufige Beschwerde ist nicht nur „unterstützt mein OS“. Sie lautet: Wenn die sichere Runtime Linux ist, warum bekommen Linux-Nutzer dann den schwächsten offiziellen Desktop-Support?
Die Antwort könnte Packaging sein, Enterprise-Deployment, Keychain-Integration, App-Sandboxing, Supportaufwand oder das Fehlen einer einheitlichen Linux-Desktop-Sicherheits-API. Das sind ernstzunehmende Gründe. Aber die Produktoptik ist schlecht. Entwickler können die VM sehen. Sie können Hyper-V sehen. Sie können verwaiste Sitzungsordner sehen. Sie können inoffizielle Linux-Repackaging-Projekte sehen. Sie merken, wenn die Abstraktion leckt.
Sicherheit Ist Zu Einem Runtime-Problem Geworden
Der wichtigste Teil von Anthropics Post ist nicht die VM. Es ist der Fehlermodus.
Anthropic beschreibt eine Offenlegung durch Dritte, bei der Coworks Egress-Allowlist genau das tat, wofür sie konfiguriert war. Sie erlaubte Traffic zu api.anthropic.com, weil das Produkt diese API braucht. Eine bösartige Datei im eingebundenen Workspace enthielt versteckte Anweisungen und einen vom Angreifer kontrollierten API-Schlüssel. Claude las Dateien und lud sie über Anthropics Files API in das Konto des Angreifers hoch. Anthropics Zusammenfassung ist vernichtend: Die Sandbox funktionierte, und trotzdem verließen Daten das System (Anthropic).
Das ist das Agenten-Sicherheitsproblem in einem einzigen Vorfall. Domain-Allowlisten reichen nicht, weil eine Domain keine Berechtigung ist. Sie ist ein Bündel von Fähigkeiten. api.anthropic.com zu erlauben heißt, jede erreichbare Operation hinter dieser API zu erlauben, sofern die Runtime Herkunft, Token-Scope, Header und Absicht nicht versteht.
Anthropics Fix war ein defensiver Man-in-the-Middle-Proxy innerhalb der VM, der nur Requests durchlässt, die das von der VM selbst bereitgestellte Sitzungstoken tragen, und vom Angreifer eingebettete Schlüssel ablehnt. Das ist gut. Es ist aber auch ein Wegweiser für alle, die Desktop-Agenten bauen: Die Sandbox muss Identität und Fähigkeit verstehen, nicht nur IP-Adressen und Pfade.
Klassische Desktop-Apps brauchten nicht so viel Maschinerie, weil sie nicht autonom entschieden, Dateien zu öffnen, Befehle zu synthetisieren, Tools zu verketten und fehlende Berechtigungen zu umgehen. Eine Browser-Sandbox isoliert nicht vertrauenswürdige Webseiten. Ein Container isoliert einen Dienst. Eine Desktop-Agenten-Sandbox muss einen halbautonomen Operator isolieren, der Anweisungen aus feindlichen Dokumenten lesen und dann legitime Tools nutzen kann, um das Falsche zu tun.
Deshalb wird daraus eine OS-/Runtime-Schicht.
Das OS besitzt bereits die meisten Grundbausteine: Prozessisolierung, Dateisystemberechtigungen, sichere Speicherung von Zugangsdaten, Netzwerkfilterung, Audit-Logs, Notarisierung, EDR-Hooks, Gerätemanagement. Die Modellfirma besitzt die Agentenschleife und die Policy-Absicht. Das fehlende Produkt ist der Vertrag zwischen beiden.
Enterprise-IT Zahlt Zweimal
Die VM gibt Anthropic eine harte Containment-Grenze. Sie versteckt aber auch Aktivität vor genau den Sicherheitstools, auf die Unternehmen angewiesen sind.
Anthropic sagt das direkt. In der Cowork-Architektur-FAQ wird die Frage „Can endpoint detection (EDR) tools inspect activity inside the VM?“ mit „No.“ beantwortet. Die VM ist absichtlich von hostbasierten Sicherheitstools isoliert (Claude Help Center). Der Engineering-Post ergänzt, dass die aktuelle Abhilfe pull-basierte OTLP-Exporte für Administratoren sind — und das ist nicht dasselbe wie Live-Monitoring (Anthropic).
Das bedeutet: IT zahlt doppelt.
Erstens zahlt sie die Ressourcenkosten: Festplatten-Bundles, VM-Start, RAM-Druck, Virtualisierungskonflikte, Netzwerkprobleme und Helpdesk-Skripte. Zweitens zahlt sie die Sichtbarkeitskosten: Genau das, was den Agenten gegenüber dem Host sicherer macht, macht ihn für hostbasiertes Monitoring undurchsichtiger.
Das ist kein Grund, VMs abzulehnen. Es ist ein Grund, nicht länger so zu tun, als sei „läuft in einer VM“ das Ende der Sicherheitsgeschichte. Für einen Enterprise-Rollout ist eine versiegelte VM ohne erstklassige Telemetrie eine Blackbox mit hübscher Außenmauer.
Die Audit-Lücke ist noch schärfer, weil das Help Center sagt, Cowork-Aktivität werde „derzeit nicht“ in Audit-Logs, der Compliance API oder Datenexporten erfasst, und Administratoren für Monitoring-Hinweise auf OpenTelemetry verweist (Claude Help Center). Wenn ein menschlicher Mitarbeiter eine Shell nutzt, Dateien kopiert oder eine API anspricht, erwarten Unternehmen Logs. Wenn ein Agent dasselbe in einer VM tut, wird „vertraut uns, es ist eingedämmt“ die Beschaffung nicht überleben.
Was Entwickler Fordern Sollten
Die Community-Debatte konzentriert sich zu sehr darauf, ob 1,8 GB „zu viel“ sind. Das hängt von Maschine und Aufgabe ab. Die eigentliche Forderung sollte Kontrolle sein.
Anbieter von Desktop-Agenten sollten Sandbox-Zustand als Produktoberfläche verfügbar machen, statt ihn in AppData und Task-Manager zu vergraben. Entwickler und Administratoren sollten fünf Dinge verlangen.
Erstens: Lazy Startup. Chat sollte keine VM booten. Cowork schon. Geplante Aufgaben können eine warme Runtime rechtfertigen, aber das sollte sichtbar und konfigurierbar sein.
Zweitens: ein Sandbox-Dashboard. Zeigt VM-Status, Speicher, Festplattennutzung, eingebundene Ordner, aktive Sitzungen, Egress-Richtlinie und die letzte Bereinigung. Wenn Docker Desktop Container anzeigen kann, kann Claude Desktop seine Agenten-Runtime anzeigen.
Drittens: explizite Installationsentscheidungen. Wenn Cowork auf manchen Systemen ein Bundle in der 10-GB-Klasse braucht, sagt das vor dem Download. Lasst Nutzer den Speicherort wählen. Lasst sie es entfernen, ohne Chat kaputtzumachen.
Viertens: Policy as code. Entwickler sollten die effektive Sandbox-Policy prüfen und versionieren können: Mounts, Netzwerkziele, lokale MCP-Berechtigungen, Token-Scopes und Löschregeln. Ein vages Panel für „Egress-Einstellungen“ reicht für Teams, die echte Arbeit ausliefern, nicht aus.
Fünftens: Live-Beobachtbarkeits-Hooks. OTLP-Export ist ein Anfang. Die Messlatte sollte bei Logs pro Tool-Aufruf, Dateizugriffsereignissen, abgelehnten Aktionen, Netzwerkentscheidungen, Sitzungsidentität und für Admins lesbaren Begründungscodes liegen. EDR-Blindheit lässt sich nicht als Preis der Isolation wegwinken.
Die Linux-Forderung gehört ebenfalls hierher. Eine Linux-Desktop-App ist nicht nur eine nette Geste für die Community. Sie ist die Chance, auf der Plattform aufzubauen, auf der viele Sandboxing-Primitiven, Entwickler-Workflows und Container-Denkmodelle bereits nativ sind. Wenn der schwierige Teil die Desktop-Integration ist, sagt das. Wenn der schwierige Teil Enterprise-Support über Distributionen hinweg ist, sagt das. Schweigen lässt Nutzer Vernachlässigung vermuten.
Die Richtige Lehre
Anthropic verdient Anerkennung dafür, unbequeme Details veröffentlicht zu haben. Der Post enthält echte Zahlen, echte übersehene Risiken und echte Trade-offs. Die meisten Anbieter hätten bei „sichere Sandbox“ aufgehört. Anthropic erklärte, wo die Sandbox versagte, wo Nutzerfreigaben versagten und wo VM-Isolation Enterprise-Monitoring verschlechterte.
Aber der Ärger auf HN ist ebenfalls berechtigt. Sicherheitskosten verschwinden nicht, nur weil das Architekturdiagramm solide ist. Sie landen auf dem Laptop des Nutzers, im Deployment-Plan des Admins und im täglichen Workflow des Entwicklers.
Claude Coworks VM ist die Zukunft, die zu früh ankommt: Lokale Agenten werden harte Runtime-Grenzen, eingeschränkte Identität, Netzwerkvermittlung und auditierbare Tool-Ausführung brauchen. Gewinnen werden nicht die Anbieter, die diese Maschinerie verstecken. Gewinnen werden die, die sie lesbar, einstellbar, beobachtbar und langweilig machen.
Ein Desktop-Agent, der mit deinen Dateien und Tools arbeiten kann, ist nicht mehr nur eine App. Er ist eine kleine Betriebsumgebung. Behandle ihn auch so.
Leser, die Claude Fable 5 selbst ausprobieren wollen, können es über Claude Fable 5 on OneHop nutzen, einen Drop-in-Endpunkt, der etwa 30% unter Listenpreis liegt. Neue Konten können mit $10 gratis starten, ganz ohne Karte.
Weiterlesen: Erste Schritte mit Claude Fable 5.
