25 мая Anthropic опубликовала самую честную фразу во всей нынешней дискуссии о безопасности агентов: первая десктопная архитектура Claude Cowork работала внутри “полноценной виртуальной машины” на базе Apple Virtualization framework в macOS и HCS в Windows, со своим Linux-ядром, файловой системой и таблицей процессов (Anthropic). Через две недели на Hacker News спорили, почему Claude Desktop в Windows может запускать Hyper-V VM на 1,8 ГБ, даже когда пользователь хотел всего лишь чат (Hacker News).
Это не совпадение. Это пришёл счёт за продукт.
Удобная версия звучит так: Anthropic выпустила баг — и да, баг-репорт действительно есть. Более точная версия жёстче: безопасные десктопные агенты заставляют модельные компании становиться поставщиками runtime. Как только агент может читать локальные файлы, запускать код, вызывать инструменты и сохранять состояние между сессиями, “AI safety” перестаёт быть проблемой model card. Это становится проблемой файловой системы, ядра, гипервизора, сетевой политики, identity, аудита и endpoint-мониторинга.
VM здесь не случайна
Публичная архитектура Anthropic вполне ясна. Claude Cowork — это не просто чат с загрузкой файлов. В Help Center сказано, что Cowork использует две среды исполнения: agent loop работает нативно на устройстве, а shell-команды и сгенерированный код выполняются в выделенной Linux VM, изолированной через Apple Virtualization.framework в macOS и Hyper-V в Windows (Claude Help Center).
Такой дизайн можно защищать. Более того, это та часть, которой я доверяю больше всего.
Инженерный пост Anthropic объясняет, почему Claude Code может опираться на цикл человеческих подтверждений, а Cowork — нет. Пользователи Claude Code — разработчики. Они часто способны прочитать bash-команду перед тем, как её одобрить. Cowork рассчитан на более широкий круг knowledge work, где просьба к пользователю оценить find . -name "*.tmp" -exec rm {} \; — это театр. Правильная граница для такого пользователя — не пугающий prompt. Это постоянно включённый sandbox.
Anthropic также приводит полезные цифры. Пользователи одобряли примерно 93% запросов разрешений в Claude Code. Добавление sandbox на уровне ОС снизило число permission prompts на 84%. Auto mode в Claude Code ловит примерно 83% “чересчур ретивого” поведения, а в сноске Anthropic признаёт, что около 17% всё равно проходят (Anthropic). Вывод прямой: prompts — это подсказки политики. Sandboxes — это принудительное применение политики.
Вот какой компромисс по containment Anthropic на самом деле выбирает:
| Product surface | Runtime boundary | Main safety cost |
|---|---|---|
| claude.ai code execution | Server-side gVisor container | Меньше локальных возможностей |
| Claude Code | OS sandbox plus approvals | Пользователь должен понимать риск |
| Claude Cowork | Local Linux VM | Запуск, память, диск, видимость для IT |
VM существует потому, что Anthropic всерьёз относится к локальному радиусу поражения. Выбранный workspace и папка .claude монтируются. Credentials остаются в host keychain. Сетевой egress ограничивается. Anthropic отдельно упоминает проверку symlink и режимы mount: read-only, read-write и read-write-no-delete.
Это настоящая инженерия. И у неё настоящая цена.
Сообщество злится на счёт, а не на границу
GitHub issue, попавший на HN, был открыт 26 февраля 2026 года. Автор описывает Windows 11 Pro 25H2 на ноутбуке Razer Blade с 16 ГБ памяти, где VirtualMachinePlatform включён, а Hyper-V, WSL, Docker и Windows Sandbox отключены. После того как Cowork или agent mode были использованы один раз, Claude Desktop, по словам автора, запускал Hyper-V VM при каждом старте, показывая Vmmem примерно на уровне 1 796–1 846 МБ (GitHub).
Это важно, потому что 1,8 ГБ — не абстракция. На ноутбуке с 16 ГБ это больше 11% RAM ещё до того, как пользователь попросил агента делать агентскую работу. В том же issue сказано, что idle memory выросла примерно с 50% до 62%, а затем до 70–75% при обычной нагрузке приложениями. Автор также нашёл 2 689 старых session files в %APPDATA%\Claude\local-agent-mode-sessions\.
Обходной путь выглядел не слишком красиво:
Disable-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform" -NoRestart
Stop-Process -Name vmwp -Force
Stop-Process -Name vmcompute -ForceЭто не пользовательский workaround. Это тикет в IT.
HN-тред сделал то, что HN обычно делает: одни обвиняли в халатности, другие защищали необходимость sandbox, а несколько человек задали продуктовый вопрос, на который Anthropic стоит ответить прямо: почему Cowork не просто opt-in? Один комментатор сформулировал полезную середину: есть спектр между “дать агенту всё” и “не дать ничего” (Hacker News). Это правильная рамка.
Раздражение Linux-пользователей растёт из того же места. Официальная страница установки Anthropic перечисляет только macOS 11+ и Windows 10+, с вариантами установки “macOS” и “Windows” (Claude Help Center). Тем временем в Reddit-тредах снова и снова спрашивают, почему нет Linux desktop app, особенно учитывая, что Claude Desktop уже поставляется с Linux VM для локального исполнения агента (Reddit). Общая претензия не только в духе “поддержите мою ОС”. Она звучит так: если безопасный runtime — это Linux, почему у Linux-пользователей самая слабая официальная десктопная поддержка?
Ответом могут быть packaging, enterprise deployment, keychain integration, app sandboxing, нагрузка на поддержку или отсутствие единого Linux desktop security API. Это серьёзные причины. Но продуктово это выглядит плохо. Разработчики видят VM. Они видят Hyper-V. Они видят старые session folders. Они видят неофициальные проекты по repackaging для Linux. Они понимают, когда абстракция протекает.
Безопасность стала runtime-проблемой
Самая важная часть поста Anthropic — не VM. Это failure mode.
Anthropic описывает disclosure от третьей стороны, где egress allowlist в Cowork сделал ровно то, на что был настроен. Он разрешил трафик к api.anthropic.com, потому что продукту нужен этот API. Вредоносный файл в смонтированном workspace содержал скрытые инструкции и API key, контролируемый атакующим. Claude прочитал файлы и загрузил их через Anthropic Files API в аккаунт атакующего. Итог Anthropic звучит убийственно: sandbox сработал, и данные всё равно ушли (Anthropic).
Вся проблема agent security — в одном инциденте. Domain allowlists недостаточно, потому что домен — это не permission. Это набор capabilities. Разрешить api.anthropic.com значит разрешить все доступные операции за этим API, если runtime не понимает provenance, token scope, headers и intent.
Исправление Anthropic — defensive man-in-the-middle proxy внутри VM, который пропускает только запросы с собственным provisioned session token этой VM и отклоняет ключи, встроенные атакующим. Это хорошо. И это указатель для всех, кто строит десктопных агентов: sandbox должен понимать identity и capability, а не только IP-адреса и пути.
Традиционным desktop apps не требовалось столько механики, потому что они не принимали автономных решений открывать файлы, синтезировать команды, связывать инструменты в цепочки и обходить недостающие permissions. Browser sandbox изолирует недоверенные веб-страницы. Container изолирует сервис. Sandbox десктопного агента должен изолировать полуавтономного оператора, который может читать инструкции из враждебных документов, а затем использовать легитимные инструменты, чтобы сделать неправильную вещь.
Вот почему это становится слоем ОС/runtime.
ОС уже владеет большинством примитивов: process isolation, filesystem permissions, secure credential storage, network filtering, audit logs, notarization, EDR hooks, device management. Модельная компания владеет agent loop и policy intent. Недостающий продукт — это контракт между ними.
Enterprise IT платит дважды
VM даёт Anthropic жёсткую boundary для containment. Но она также скрывает активность от тех самых security tools, на которые полагаются компании.
Anthropic говорит об этом прямо. В FAQ по архитектуре Cowork на вопрос “Can endpoint detection (EDR) tools inspect activity inside the VM?” дан ответ “No.” VM специально изолирована от host-based security tools (Claude Help Center). Инженерный пост добавляет, что текущая mitigation — pull-based OTLP exports для администраторов, а это не то же самое, что live monitoring (Anthropic).
Значит, IT платит дважды.
Сначала — ресурсную цену: disk bundles, запуск VM, давление на RAM, конфликты виртуализации, сетевые проблемы и helpdesk scripts. Потом — цену видимости: то, что делает агента безопаснее относительно host, одновременно делает его более непрозрачным для host-based monitoring.
Это не повод отвергать VM. Это повод перестать притворяться, что “runs in a VM” — конец истории безопасности. Для enterprise rollout запечатанная VM без первоклассной телеметрии — это чёрный ящик с красивым периметром.
Пробел в аудите ещё острее, потому что Help Center говорит: активность Cowork “not currently” попадает в audit logs, Compliance API или data exports, и отправляет админов к OpenTelemetry за рекомендациями по мониторингу (Claude Help Center). Если бы живой сотрудник использовал shell, копировал файлы или обращался к API, компании ожидали бы логи. Если агент делает это внутри VM, “поверьте нам, оно contained” не переживёт procurement.
Чего разработчики должны требовать
Дискуссия в сообществе слишком зациклена на том, “много” ли 1,8 ГБ. Это зависит от машины и задачи. Настоящее требование — контроль.
Поставщики десктопных агентов должны сделать состояние sandbox частью продукта, а не прятать его в AppData и Task Manager. Разработчикам и администраторам стоит требовать пять вещей.
Первое: lazy startup. Чат не должен загружать VM. Cowork — должен. Scheduled tasks могут оправдать тёплый runtime, но это должно быть видно и настраиваемо.
Второе: sandbox dashboard. Покажите статус VM, память, использование диска, смонтированные папки, активные сессии, egress policy и последнюю cleanup. Если Docker Desktop может показывать containers, Claude Desktop может показывать свой agent runtime.
Третье: явный выбор при установке. Если Cowork на некоторых системах требует bundle класса 10 ГБ, скажите об этом до download. Дайте пользователям выбрать location. Дайте удалить это, не ломая чат.
Четвёртое: policy as code. Разработчики должны иметь возможность просматривать и версионировать effective sandbox policy: mounts, network destinations, local MCP permissions, token scopes и deletion rules. Смутной панели “egress settings” недостаточно для команд, которые делают настоящую работу.
Пятое: live observability hooks. OTLP export — начало. Планка должна быть такой: per-tool-call logs, file access events, denied actions, network decisions, session identity и admin-readable reason codes. EDR blindness нельзя отмахнуть как неизбежную цену изоляции.
Запрос на Linux тоже сюда относится. Linux desktop app — это не просто приятный жест для комьюнити. Это шанс строить на платформе, где многие sandboxing primitives, developer workflows и container mental models уже нативны. Если сложная часть — desktop integration, скажите это. Если сложная часть — enterprise support across distros, скажите это. Молчание заставляет пользователей делать вывод о пренебрежении.
Правильный вывод
Anthropic заслуживает признания за публикацию неудобных деталей. В посте есть реальные цифры, реальные пропущенные риски и реальные trade-offs. Большинство vendors остановились бы на “secure sandbox.” Anthropic объяснила, где sandbox не справился, где не справилось пользовательское подтверждение и где VM isolation ухудшила enterprise monitoring.
Но злость на HN тоже оправдана. Издержки безопасности не исчезают от того, что architecture diagram выглядит разумно. Они переезжают на ноутбук пользователя, в deployment plan администратора и в ежедневный workflow разработчика.
VM в Claude Cowork — это будущее, которое пришло раньше срока: локальным агентам понадобятся жёсткие runtime boundaries, scoped identity, network mediation и auditable tool execution. Победят не те vendors, которые спрячут эту механику. Победят те, кто сделает её понятной, настраиваемой, наблюдаемой и скучной.
Десктопный агент, который может работать с вашими файлами и инструментами, — это уже не просто app. Это маленькая operating environment. Относитесь к нему соответственно.
Читатели, которые хотят сами попробовать Claude Fable 5, могут использовать его через Claude Fable 5 on OneHop, drop-in endpoint примерно на 30% дешевле list price. Новые аккаунты могут начать с $10 бесплатно, карта не нужна.
Дальше почитать: Как начать работу с Claude Fable 5.
