25 Mayıs’ta Anthropic, bugünkü ajan güvenliği tartışmasının en dürüst cümlesini yayımladı: Claude Cowork’ün ilk masaüstü mimarisi, macOS’ta Apple’ın Virtualization framework’ü ve Windows’ta HCS kullanarak, kendi Linux çekirdeği, dosya sistemi ve süreç tablosu olan “tam bir sanal makine” içinde çalışıyordu (Anthropic). İki hafta sonra Hacker News, kullanıcı yalnızca sohbet etmek isterken Claude Desktop’ın Windows’ta neden 1,8 GB’lık bir Hyper-V VM başlatabildiğini tartışıyordu (Hacker News).
Bu tesadüf değil. Ürün faturasının gelmesi.
Rahatlatıcı hikâye şu: Anthropic bir bug yayınladı; evet, bir bug raporu da var. Daha keskin hikâye ise şu: güvenli masaüstü ajanları, model şirketlerini runtime sağlayıcılarına dönüşmeye zorluyor. Bir ajan yerel dosyaları okuyabildiğinde, kod çalıştırabildiğinde, araç çağırabildiğinde ve oturumlar arasında durum tutabildiğinde, “AI güvenliği” artık bir model kartı meselesi olmaktan çıkıyor. Dosya sistemi, çekirdek, hypervisor, ağ politikası, kimlik, denetim ve endpoint izleme meselesine dönüşüyor.
VM Tesadüfi Değil
Anthropic’in herkese açık mimarisi net. Claude Cowork, dosya yükleme özelliği eklenmiş bir sohbet kutusundan ibaret değil. Help Center’a göre Cowork iki yürütme ortamı kullanıyor: ajan döngüsü cihazda yerel olarak çalışıyor; shell komutları ve üretilen kod ise macOS’ta Apple Virtualization.framework, Windows’ta Hyper-V ile izole edilmiş özel bir Linux VM içinde yürütülüyor (Claude Help Center).
Bu tasarım savunulabilir. Hatta en çok güvendiğim kısmı da bu.
Anthropic’in mühendislik yazısı, Claude Code’un neden insan onay döngüsüne yaslanabildiğini, Cowork’ün ise neden bunu yapamayacağını açıklıyor. Claude Code kullanıcıları geliştirici. Çoğu zaman bir bash komutunu onaylamadan önce inceleyebilirler. Cowork ise daha geniş bilgi işçiliğini hedefliyor; böyle bir kullanıcıdan find . -name "*.tmp" -exec rm {} \; komutunu değerlendirmesini istemek tiyatrodan ibaret. O kullanıcı için doğru sınır korkutucu bir uyarı penceresi değil. Her zaman açık bir sandbox.
Anthropic işe yarar rakamlar da veriyor. Kullanıcılar Claude Code izin istemlerinin yaklaşık %93’ünü onaylamış. OS seviyesinde bir sandbox eklemek izin istemlerini %84 azaltmış. Claude Code otomatik modu, “fazla hevesli” davranışların yaklaşık %83’ünü yakalıyor; Anthropic’in dipnotuna göre yaklaşık %17’si hâlâ geçiyor (Anthropic). Ders gayet sert: istemler politika ipucudur. Sandbox’lar politika uygulamasıdır.
Anthropic’in gerçekten yaptığı containment takası şu:
| Ürün yüzeyi | Runtime sınırı | Ana güvenlik maliyeti |
|---|---|---|
| claude.ai kod yürütme | Sunucu tarafı gVisor container | Daha az yerel kabiliyet |
| Claude Code | OS sandbox artı onaylar | Kullanıcı riski anlamalı |
| Claude Cowork | Yerel Linux VM | Başlatma, bellek, disk, IT görünürlüğü |
VM var çünkü Anthropic yerel patlama yarıçapını ciddiye alıyor. Seçili çalışma alanı ve .claude klasörü mount ediliyor. Kimlik bilgileri host keychain’de kalıyor. Ağ çıkışı kısıtlanıyor. Anthropic symlink doğrulamasını ve mount modlarını bile özellikle belirtiyor: salt okunur, okuma-yazma ve okuma-yazma-silme-yok.
Bu gerçek mühendislik. Ve gerçek maliyetleri var.
Topluluk Sınıra Değil, Faturaya Kızgın
HN’ye düşen GitHub issue’su 26 Şubat 2026’da açıldı. Bildirimi yapan kişi, VirtualMachinePlatform etkin, Hyper-V, WSL, Docker ve Windows Sandbox devre dışı olan 16 GB’lık bir Razer Blade laptop üzerinde Windows 11 Pro 25H2 kullandığını söylüyor. Cowork veya agent mode bir kez kullanıldıktan sonra Claude Desktop’ın her açılışta bir Hyper-V VM başlattığı, Vmmemin yaklaşık 1.796 ila 1.846 MB gösterdiği iddia ediliyor (GitHub).
Bu önemli çünkü 1,8 GB soyut bir şey değil. 16 GB’lık bir laptopta, kullanıcı ajan işi istemeden önce RAM’in %11’inden fazlası demek. Aynı issue, boşta bellek kullanımının yaklaşık %50’den %62’ye, normal uygulama yükü altında da %70–75’e çıktığını söylüyor. Bildirimi yapan kişi ayrıca %APPDATA%\Claude\local-agent-mode-sessions\ altında 2.689 bayat oturum dosyası bulmuş.
Geçici çözüm pek hoş değildi:
Disable-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform" -NoRestart
Stop-Process -Name vmwp -Force
Stop-Process -Name vmcompute -ForceBu bir tüketici çözümü değil. Bu bir IT talebi.
HN başlığı HN’nin yaptığı şeyi yaptı: bazıları özensizliği suçladı, bazıları sandbox ihtiyacını savundu, birkaç kişi de Anthropic’in doğrudan cevaplaması gereken ürün sorusunu sordu: Cowork neden basitçe opt-in değil? Bir yorumcu faydalı orta noktayı şöyle çerçeveledi: bir ajana her şeyi vermekle hiçbir şey vermemek arasında bir spektrum var (Hacker News). Doğru çerçeve bu.
Linux tarafındaki hayal kırıklığı da aynı yerden geliyor. Anthropic’in resmi kurulum sayfası yalnızca macOS 11+ ve Windows 10+ listeliyor; kurulum seçenekleri de “macOS” ve “Windows” (Claude Help Center). Bu sırada Reddit başlıkları, özellikle Claude Desktop yerel ajan yürütme için zaten bir Linux VM gönderirken neden Linux masaüstü uygulaması olmadığını sorup duruyor (Reddit). Ortak şikâyet yalnızca “benim OS’imi destekleyin” değil. Şu: güvenli runtime Linux ise, Linux kullanıcıları neden en az resmi masaüstü desteğini alıyor?
Cevap paketleme, kurumsal dağıtım, keychain entegrasyonu, uygulama sandboxing’i, destek yükü veya tek bir Linux masaüstü güvenlik API’sinin olmaması olabilir. Bunlar ciddi gerekçeler. Ama ürünün dışarıdan görünüşü kötü. Geliştiriciler VM’i görebiliyor. Hyper-V’yi görebiliyor. Bayat oturum klasörlerini görebiliyor. Resmi olmayan Linux repackaging projelerini görebiliyor. Soyutlama sızdırdığında bunu anlıyorlar.
Güvenlik Bir Runtime Problemine Dönüştü
Anthropic’in yazısındaki en önemli kısım VM değil. Hata modu.
Anthropic, Cowork’ün egress allowlist’inin tam olarak yapılandırıldığı şeyi yaptığı bir üçüncü taraf bildirimi anlatıyor. Ürün o API’ye ihtiyaç duyduğu için api.anthropic.com trafiğine izin veriyordu. Mount edilmiş çalışma alanındaki kötü amaçlı bir dosya, gizli talimatlar ve saldırganın kontrolündeki bir API anahtarı içeriyordu. Claude dosyaları okudu ve Anthropic’in Files API’si üzerinden saldırganın hesabına yükledi. Anthropic’in özeti yıkıcı: sandbox çalıştı, veri yine de dışarı çıktı (Anthropic).
Ajan güvenliği problemi tek olayda bu. Domain allowlist’leri yetmez çünkü domain bir izin değildir. Bir kabiliyetler demetidir. api.anthropic.com’a izin vermek, runtime kaynak, token kapsamı, header’lar ve niyeti anlamıyorsa o API’nin arkasındaki erişilebilir her işleme izin vermek demektir.
Anthropic’in çözümü, VM içinde yalnızca VM’in kendi provision edilmiş oturum token’ını taşıyan istekleri geçiren ve saldırganın gömdüğü anahtarları reddeden savunmacı bir man-in-the-middle proxy oldu. Bu iyi. Aynı zamanda masaüstü ajanı geliştiren herkes için bir işaret tabelası: sandbox yalnızca IP adreslerini ve yolları değil, kimliği ve kabiliyeti de anlamalı.
Geleneksel masaüstü uygulamaları bu kadar mekanizmaya ihtiyaç duymuyordu çünkü kendi başlarına dosya açmaya karar vermiyor, komut sentezlemiyor, araçları zincirlemiyor ve eksik izinlerin etrafından dolaşmıyorlardı. Bir tarayıcı sandbox’ı güvenilmeyen web sayfalarını izole eder. Bir container bir servisi izole eder. Bir masaüstü ajanı sandbox’ı ise düşmanca dokümanlardan talimat okuyup sonra meşru araçları kullanarak yanlış şeyi yapabilen yarı otonom bir operatörü izole etmek zorunda.
Bu yüzden mesele bir OS/runtime katmanına dönüşüyor.
OS zaten ilkel yapı taşlarının çoğuna sahip: süreç izolasyonu, dosya sistemi izinleri, güvenli kimlik bilgisi saklama, ağ filtreleme, denetim günlükleri, notarization, EDR hook’ları, cihaz yönetimi. Model şirketi ajan döngüsüne ve politika niyetine sahip. Eksik ürün, bu ikisi arasındaki sözleşme.
Kurumsal IT İki Kez Ödüyor
VM, Anthropic’e sert bir containment sınırı veriyor. Aynı zamanda aktiviteyi, kurumların güvendiği güvenlik araçlarından saklıyor.
Anthropic bunu açıkça söylüyor. Cowork mimarisi FAQ’sunda “Endpoint detection (EDR) araçları VM içindeki aktiviteyi inceleyebilir mi?” sorusunun cevabı “Hayır.” VM, tasarım gereği host tabanlı güvenlik araçlarından izole (Claude Help Center). Mühendislik yazısı, mevcut hafifletmenin yöneticiler için pull tabanlı OTLP export’ları olduğunu ekliyor; bu canlı izleme ile aynı şey değil (Anthropic).
Bu, IT’nin iki kez ödediği anlamına geliyor.
Önce kaynak maliyetini ödüyor: disk bundle’ları, VM başlatma, RAM baskısı, sanallaştırma çakışmaları, ağ sorunları ve helpdesk script’leri. Sonra görünürlük maliyetini ödüyor: ajanı host’tan daha güvenli yapan şey, onu host tabanlı izleme için daha opak hale getiriyor.
Bu VM’leri reddetmek için bir sebep değil. “VM içinde çalışıyor” demenin güvenlik hikâyesinin sonuymuş gibi davranmayı bırakmak için bir sebep. Kurumsal dağıtımda, birinci sınıf telemetrisi olmayan mühürlü bir VM, güzel çevre duvarı olan bir kara kutudur.
Denetim açığı daha da keskin çünkü Help Center, Cowork aktivitesinin “şu anda” audit log’larda, Compliance API’de veya veri export’larında yakalanmadığını söylüyor ve yöneticileri izleme rehberliği için OpenTelemetry’ye yönlendiriyor (Claude Help Center). Bir insan çalışan shell kullansa, dosya kopyalasa veya bir API’ye istek atsa, şirketler log beklerdi. Bunu bir ajan VM içinde yaptığında “bize güvenin, contained” satın alma süreçlerinden sağ çıkmaz.
Geliştiriciler Ne Talep Etmeli
Topluluk tartışması 1,8 GB’ın “çok fazla” olup olmadığına fazla takılmış durumda. Bu makineye ve göreve bağlı. Asıl talep kontrol olmalı.
Masaüstü ajanı sağlayıcıları sandbox durumunu AppData ve Task Manager’a gömmek yerine bir ürün yüzeyi olarak sunmalı. Geliştiriciler ve yöneticiler beş şey istemeli.
Birincisi: tembel başlatma. Sohbet VM başlatmamalı. Cowork başlatmalı. Zamanlanmış görevler sıcak bir runtime’ı haklı çıkarabilir, ama bu görünür ve yapılandırılabilir olmalı.
İkincisi: sandbox panosu. VM durumunu, bellek ve disk kullanımını, mount edilmiş klasörleri, aktif oturumları, egress politikasını ve son temizliği gösterin. Docker Desktop container’ları gösterebiliyorsa, Claude Desktop da ajan runtime’ını gösterebilir.
Üçüncüsü: açık kurulum seçenekleri. Cowork bazı sistemlerde 10 GB sınıfı bir bundle gerektiriyorsa, bunu indirmeden önce söyleyin. Kullanıcıların konum seçmesine izin verin. Sohbeti bozmadan kaldırabilmelerini sağlayın.
Dördüncüsü: policy as code. Geliştiriciler etkili sandbox politikasını inceleyip version edebilmeli: mount’lar, ağ hedefleri, yerel MCP izinleri, token kapsamları ve silme kuralları. Gerçek iş çıkaran ekipler için muğlak bir “egress settings” paneli yetmez.
Beşincisi: canlı gözlemlenebilirlik hook’ları. OTLP export bir başlangıç. Çıta araç çağrısı başına log’lar, dosya erişim olayları, reddedilen eylemler, ağ kararları, oturum kimliği ve yöneticinin okuyabileceği gerekçe kodları olmalı. EDR körlüğü, izolasyonun bedeli diye geçiştirilemez.
Linux talebi de buraya ait. Bir Linux masaüstü uygulaması yalnızca topluluk nezaketi değil. Birçok sandboxing ilkel yapısının, geliştirici iş akışının ve container zihinsel modelinin zaten yerel olduğu platformun üzerine inşa etme fırsatı. Zor kısım masaüstü entegrasyonuysa bunu söyleyin. Zor kısım distro’lar arasında kurumsal destekse bunu söyleyin. Sessizlik, kullanıcıların ihmalkârlık sonucunu çıkarmasına yol açıyor.
Doğru Sonuç
Anthropic rahatsız edici ayrıntıları yayımladığı için takdiri hak ediyor. Yazıda gerçek rakamlar, gerçek gözden kaçan riskler ve gerçek takaslar var. Çoğu sağlayıcı “güvenli sandbox” deyip bırakırdı. Anthropic sandbox’ın nerede başarısız olduğunu, kullanıcı onayının nerede başarısız olduğunu ve VM izolasyonunun kurumsal izlemeyi nerede kötüleştirdiğini anlattı.
Ama HN öfkesi de haklı. Mimari diyagram sağlam diye güvenlik maliyetleri ortadan kaybolmuyor. Kullanıcının laptop’una, yöneticinin dağıtım planına ve geliştiricinin günlük iş akışına taşınıyor.
Claude Cowork’ün VM’i, erken gelmiş gelecek: yerel ajanların sert runtime sınırlarına, kapsamlı kimliğe, ağ aracılığına ve denetlenebilir araç yürütmeye ihtiyacı olacak. Kazananlar bu mekanizmayı saklayan sağlayıcılar olmayacak. Kazananlar mekanizmayı okunur, ayarlanabilir, gözlemlenebilir ve sıkıcı hale getirenler olacak.
Dosyalarınızı ve araçlarınızı işletebilen bir masaüstü ajanı artık sadece bir uygulama değildir. Küçük bir işletim ortamıdır. Ona öyle davranın.
Claude Fable 5’i kendileri denemek isteyen okurlar, liste fiyatının yaklaşık %30 altında fiyatlandırılan drop-in endpoint olarak OneHop’ta Claude Fable 5 üzerinden kullanabilir. Yeni hesaplar kart gerektirmeden $10 ücretsiz krediyle başlayabilir.
Ek okuma: Claude Fable 5’e başlarken.
