5月25日、Anthropic はいまのエージェント安全性論争でいちばん正直な一文を公開した。Claude Cowork の最初のデスクトップアーキテクチャは、macOS では Apple の Virtualization framework、Windows では HCS を使い、「完全な仮想マシン」の中で動き、独自の Linux カーネル、ファイルシステム、プロセステーブルを持っていた、というものだ(Anthropic)。その2週間後、Hacker News では、ユーザーがただチャットしたいだけなのに Windows 版 Claude Desktop が 1.8 GB の Hyper-V VM を起動しうるのはなぜか、という議論が起きていた(Hacker News)。
これは偶然ではない。製品の請求書が届いただけだ。
都合のいい説明は、Anthropic がバグを出した、というものだ。たしかにバグ報告はある。だが、より鋭い見方をすれば、安全なデスクトップエージェントはモデル企業をランタイムベンダーに変えつつある。エージェントがローカルファイルを読み、コードを実行し、ツールを呼び出し、セッションをまたいで状態を保持できるようになった瞬間、「AI safety」はモデルカードの問題ではなくなる。ファイルシステム、カーネル、ハイパーバイザー、ネットワークポリシー、アイデンティティ、監査、エンドポイント監視の問題になる。
VM は偶然ではない
Anthropic が公開しているアーキテクチャは明快だ。Claude Cowork は、ファイルアップロード付きのただのチャットボックスではない。Help Center によれば、Cowork は2つの実行環境を使う。エージェントループはデバイス上でネイティブに動き、シェルコマンドと生成されたコードは、macOS では Apple Virtualization.framework、Windows では Hyper-V によって隔離された専用 Linux VM の中で実行される(Claude Help Center)。
この設計は擁護できる。実際、私がいちばん信頼しているのはこの部分だ。
Anthropic のエンジニアリング記事は、なぜ Claude Code は人間の承認ループに頼れる一方で、Cowork はそうできないのかを説明している。Claude Code のユーザーは開発者だ。彼らは bash コマンドを承認する前に、中身を確認できることが多い。Cowork が狙うのはもっと広い知識労働であり、ユーザーに find . -name "*.tmp" -exec rm {} \; を見せて判断させるのは茶番だ。そのユーザーに必要な境界は、怖いプロンプトではない。常時有効なサンドボックスだ。
Anthropic は有用な数字も出している。ユーザーは Claude Code の権限プロンプトのおよそ93%を承認していた。OS レベルのサンドボックスを追加すると、権限プロンプトは84%減った。Claude Code の自動モードは「やりすぎ」な挙動のおよそ83%を捕捉し、Anthropic の脚注によれば約17%はなお通り抜ける(Anthropic)。教訓は blunt だ。プロンプトはポリシーのヒントにすぎない。サンドボックスこそがポリシーの執行だ。
Anthropic が実際に引き受けている封じ込めのトレードオフはこうだ。
| 製品の表面 | ランタイム境界 | 主な安全性コスト |
|---|---|---|
| claude.ai code execution | サーバー側 gVisor コンテナ | ローカル能力が弱い |
| Claude Code | OS サンドボックスと承認 | ユーザーがリスクを理解する必要がある |
| Claude Cowork | ローカル Linux VM | 起動、メモリ、ディスク、IT 可視性 |
VM が存在するのは、Anthropic がローカルでの被害範囲を本気で見ているからだ。選択されたワークスペースと .claude フォルダがマウントされる。認証情報はホストのキーチェーンに残る。ネットワークの外向き通信は制限される。Anthropic はシンボリックリンク検証やマウントモードまで明記している。読み取り専用、読み書き可能、読み書き可能だが削除不可、という具合だ。
これは本物のエンジニアリングだ。そして本物のコストも伴う。
コミュニティが怒っているのは境界ではなく請求書だ
HN に載った GitHub issue は、2026年2月26日に開かれた。報告者は、16 GB の Razer Blade ラップトップ上の Windows 11 Pro 25H2 で、VirtualMachinePlatform は有効、Hyper-V、WSL、Docker、Windows Sandbox は無効だったと説明している。Cowork またはエージェントモードを一度使った後、Claude Desktop は起動のたびに Hyper-V VM を立ち上げ、Vmmem はおよそ 1,796〜1,846 MB を示したという(GitHub)。
これが重要なのは、1.8 GB が抽象論ではないからだ。16 GB のラップトップでは、ユーザーがエージェントにエージェントらしい仕事を頼む前から、RAM の11%以上を食う。同じ issue によれば、アイドル時のメモリ使用率は約50%から62%に上がり、通常のアプリ負荷では70〜75%になった。報告者は %APPDATA%\Claude\local-agent-mode-sessions\ 配下に、2,689個の古いセッションファイルも見つけている。
回避策は美しくなかった。
Disable-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform" -NoRestart
Stop-Process -Name vmwp -Force
Stop-Process -Name vmcompute -Forceこれは一般消費者向けの回避策ではない。IT チケットだ。
HN スレッドは HN らしい展開をした。雑だと責める人もいれば、サンドボックスの必要性を擁護する人もいた。そして何人かは、Anthropic が正面から答えるべき製品上の問いを投げた。なぜ Cowork は単純に opt-in ではないのか。あるコメント投稿者は、有用な中間地帯をこう表現した。エージェントにすべてを与えることと、何も与えないことの間にはスペクトラムがある(Hacker News)。それが正しい見立てだ。
Linux への不満も同じ場所から来ている。Anthropic の公式インストールページは macOS 11+ と Windows 10+ だけを挙げ、インストール選択肢も「macOS」と「Windows」になっている(Claude Help Center)。一方で Reddit では、なぜ Linux デスクトップアプリがないのか、というスレッドが繰り返し立つ。とくに Claude Desktop はローカルエージェント実行用にすでに Linux VM を同梱しているからだ(Reddit)。よくある不満は単に「自分の OS をサポートしてくれ」ではない。安全なランタイムが Linux なら、なぜ Linux ユーザーが公式デスクトップサポートをいちばん受けられないのか、という話だ。
答えはパッケージングかもしれない。エンタープライズ展開、キーチェーン統合、アプリサンドボックス、サポート負荷、あるいは Linux デスクトップに単一のセキュリティ API がないことかもしれない。どれも真面目な理由だ。だが製品としての見え方は悪い。開発者には VM が見える。Hyper-V が見える。古いセッションフォルダが見える。非公式の Linux 再パッケージプロジェクトも見える。抽象化が漏れているとき、彼らはそれに気づく。
安全性はランタイムの問題になった
Anthropic の記事で最も重要なのは VM ではない。失敗モードだ。
Anthropic は、Cowork の外向き通信許可リストが設定どおりに正しく動いた第三者開示の事例を説明している。製品がその API を必要とするため、api.anthropic.com への通信は許可されていた。マウントされたワークスペース内の悪意あるファイルには、隠された指示と攻撃者が管理する API キーが含まれていた。Claude はファイルを読み、それを Anthropic の Files API 経由で攻撃者のアカウントにアップロードした。Anthropic の要約は痛烈だ。サンドボックスは機能した。それでもデータは外に出た(Anthropic)。
これは一件のインシデントに凝縮されたエージェントセキュリティ問題だ。ドメイン許可リストだけでは足りない。ドメインは権限ではないからだ。それは能力の束だ。api.anthropic.com を許可するということは、ランタイムが出自、トークンのスコープ、ヘッダー、意図を理解していない限り、その API の背後で到達可能なあらゆる操作を許可するということになる。
Anthropic の修正は、VM 内の防御的な中間者プロキシだった。VM 自身に払い出されたセッショントークンを持つリクエストだけを通し、攻撃者が埋め込んだキーは拒否する。これはよい対策だ。同時に、デスクトップエージェントを作る全員への道標でもある。サンドボックスは IP アドレスやパスだけでなく、アイデンティティと能力を理解する必要がある。
従来のデスクトップアプリには、ここまでの仕組みは不要だった。自律的にファイルを開く判断をし、コマンドを合成し、ツールを連鎖させ、足りない権限を迂回しようとはしなかったからだ。ブラウザのサンドボックスは信頼できない Web ページを隔離する。コンテナはサービスを隔離する。デスクトップエージェントのサンドボックスは、敵対的な文書から指示を読み取り、正規のツールを使って間違ったことを実行できる、半自律的な操作者を隔離しなければならない。
だからこれは OS/ランタイム層の問題になりつつある。
OS はすでに大半のプリミティブを持っている。プロセス分離、ファイルシステム権限、安全な認証情報ストレージ、ネットワークフィルタリング、監査ログ、公証、EDR フック、デバイス管理。モデル企業はエージェントループとポリシーの意図を持っている。足りない製品は、その両者の契約だ。
エンタープライズ IT は二重に払う
VM は Anthropic に強い封じ込め境界を与える。同時に、企業が頼っている同じセキュリティツールから活動を隠してしまう。
Anthropic はこれをはっきり述べている。Cowork アーキテクチャ FAQ では、「エンドポイント検出(EDR)ツールは VM 内部の活動を検査できますか?」という問いへの答えは「No」だ。VM は設計上、ホストベースのセキュリティツールから隔離されている(Claude Help Center)。エンジニアリング記事は、現在の緩和策が管理者向けのプル型 OTLP エクスポートであり、ライブ監視とは同じではないことも付け加えている(Anthropic)。
つまり IT は二重に払う。
まずリソースコストを払う。ディスクバンドル、VM 起動、RAM 圧迫、仮想化の競合、ネットワーク問題、ヘルプデスク用スクリプト。次に可視性コストを払う。エージェントをホストからより安全にする仕組みが、ホストベースの監視からはより不透明にしてしまう。
これは VM を拒否する理由ではない。「VM で動く」がセキュリティの話の終着点だと装うのをやめる理由だ。エンタープライズ展開において、ファーストクラスのテレメトリがない密閉 VM は、立派な境界を持つブラックボックスでしかない。
監査のギャップはさらに鋭い。Help Center は、Cowork の活動は「not currently」監査ログ、Compliance API、データエクスポートに取り込まれていないとし、監視ガイダンスとして OpenTelemetry を案内している(Claude Help Center)。人間の従業員がシェルを使い、ファイルをコピーし、API を叩いたなら、企業はログを期待する。エージェントが VM 内でそれを行うなら、「封じ込められているので信頼してください」は調達審査を通らない。
開発者が要求すべきこと
コミュニティの議論は、1.8 GB が「多すぎる」かどうかに偏りすぎている。それはマシンとタスク次第だ。本当に要求すべきものはコントロールである。
デスクトップエージェントベンダーは、サンドボックスの状態を製品表面として公開すべきだ。AppData と Task Manager の奥に埋めるべきではない。開発者と管理者は5つのことを求めるべきだ。
第一に、遅延起動。チャットが VM を起動すべきではない。Cowork なら起動してよい。スケジュールされたタスクならウォームなランタイムを正当化できるかもしれないが、それは見えて、設定できるべきだ。
第二に、サンドボックスダッシュボード。VM の状態、メモリ、ディスク使用量、マウントされたフォルダ、アクティブなセッション、外向き通信ポリシー、最後のクリーンアップを見せる。Docker Desktop がコンテナを表示できるなら、Claude Desktop もエージェントランタイムを表示できる。
第三に、明示的なインストール選択肢。Cowork が一部のシステムで 10 GB 級のバンドルを必要とするなら、ダウンロード前にそう言うべきだ。ユーザーに場所を選ばせる。チャットを壊さずに削除できるようにする。
第四に、コードとしてのポリシー。開発者は実効的なサンドボックスポリシーを検査し、バージョン管理できるべきだ。マウント、ネットワーク宛先、ローカル MCP 権限、トークンスコープ、削除ルール。曖昧な「外向き通信設定」パネルでは、実務を出荷するチームには足りない。
第五に、ライブ観測フック。OTLP エクスポートは出発点だ。基準にすべきは、ツール呼び出しごとのログ、ファイルアクセスイベント、拒否されたアクション、ネットワーク判断、セッションアイデンティティ、管理者が読める理由コードである。EDR から見えないことを、隔離の代償として片づけることはできない。
Linux の要望もここに含まれる。Linux デスクトップアプリは、単なるコミュニティ向けの親切ではない。多くのサンドボックスプリミティブ、開発者ワークフロー、コンテナのメンタルモデルがすでにネイティブなプラットフォーム上に構築する機会だ。難しいのがデスクトップ統合なら、そう言えばいい。難しいのがディストリビューション横断のエンタープライズサポートなら、そう言えばいい。沈黙は、ユーザーに軽視されていると推測させるだけだ。
正しい受け止め方
Anthropic は、不都合な詳細を公開したことで評価されるべきだ。記事には実際の数字、実際に見落とされたリスク、実際のトレードオフが含まれている。ほとんどのベンダーなら「安全なサンドボックス」で止めていただろう。Anthropic は、サンドボックスがどこで失敗したのか、ユーザー承認がどこで失敗したのか、VM 隔離がどこでエンタープライズ監視を悪化させたのかを説明した。
だが HN の怒りもまた正当だ。アーキテクチャ図が筋の通ったものだからといって、安全性コストが消えるわけではない。それはユーザーのラップトップ、管理者の展開計画、開発者の日々のワークフローへ移動する。
Claude Cowork の VM は、未来が少し早く到着した姿だ。ローカルエージェントには、強いランタイム境界、スコープ付きアイデンティティ、ネットワーク仲介、監査可能なツール実行が必要になる。勝つのは、その仕組みを隠すベンダーではない。仕組みを読みやすく、調整可能で、観測可能で、退屈なものにするベンダーだ。
ファイルとツールを操作できるデスクトップエージェントは、もはや単なるアプリではない。小さな operating environment だ。そういうものとして扱うべきだ。
Claude Fable 5 を自分で試したい読者は、Claude Fable 5 on OneHop から使える。定価より約30%安いドロップインエンドポイントだ。新規アカウントはカード不要で、$10 free から始められる。
Further reading: Claude Fable 5 を始める.
