Claude Cowork 安全隐患与效率对比：一份来自核心层与用户的深度测评报告

Anthropic 旗下的 Claude Cowork 研究预览版上线不久，便因涉及删除用户本地文件、潜在的文件窃取等安全性问题陷入争议风波。

近期，知名博主 James McAulay 对 Cowork 的“文件夹整理”功能进行了实测，并将其与程序员常用的 Claude Code 进行对比。令人意想不到的是，在处理这一基础高频场景时，Claude Cowork 触发了严重错误：在整理过程中，未经二次确认便直接删除了大约 11GB 的本地文件。

更让用户感到绝望的是，Cowork 执行的是“rm -rf”这种绕过回收站的不可逆删除指令。James 通过调取操作日志确认了该行为，并尝试向 Claude Code 求助恢复方案，得到的回复却是该操作属于“致命操作，无法挽回”。

事故复盘显示，虽然 James 在授权时选择了“始终允许”，但他明确要求“保留文件”。然而，AI 智能体无视了该指令，直接执行了不可逆的清空操作。所幸被删数据多为历史上传记录而非核心机密，但这一严重的安全隐患无疑给所有潜在用户敲响了警钟。

除了安全性问题，James 还指出 Cowork 在产品力上逊色于 Claude Code 的两个维度：

首先是交互链路过于冗长。在执行整理任务前，Cowork 需要用户反复手动确认目标文件夹及分类逻辑，甚至在明确回复“保留用户数据”后，依然在任务清单中错误标记已完成删除操作。相比之下，Claude Code 能直接定位并分析文件夹，仅需一次授权即可高效推进。

其次是执行效率的迟滞。在整理音频文件夹时，搭载同样模型的 Claude Code 仅需数十秒便能完成分类与归档；而 Cowork 的表现则像是一场“持久战”，运行过程中频繁停顿，分类建议的智能程度也略显逊色，这种节奏拖沓的表现极大地影响了用户体验。

安全公司 PromptArmor 的研究进一步揭露，由于 Claude 执行环境存在未修复的隔离缺陷，Cowork 极易遭受“间接提示注入”攻击，导致本地文件被远程窃取。

该漏洞最早由安全研究员 Johann Rehberger 发现，尽管 Anthropic 官方已确认其存在，但尚未发布正式修复方案。官方仅建议普通大众用户警惕“可疑行为”，这一做法遭到了行业专家 Simon Willison 的尖锐批评，认为这对于非技术用户而言极不公平且缺乏责任感。

面对质疑，Anthropic Cowork 项目的核心成员 Felix Rieseberg 在一次直播中解释了产品的设计初衷。他透露，该产品仅用了一周半的时间进行突击开发，目前的定位是“研究预览版”，旨在通过快速上线来收集用户反馈并以此驱动迭代。有趣的是，该产品的全部底层代码竟然也是由 Claude Code 编写完成的。

Felix 强调，未来的 Agent 类应用将趋向于“泛化入口”，即通过一个统一且简约的界面覆盖绝大多数复杂场景，而非堆砌各种专用工具。他认为“Skills（技能）”是平衡模型灵活性与工作流稳定性的核心，能够让非程序员也能像开发者一样“自动化自己的人生”。

一周半的极限冲刺：在开放中进化

Felix： Cowork 是我们团队全力冲刺 10 天的产物，我们的愿景是为非程序员打造一个像 Claude Code 一样强大的自动化工具。

Dan：一周半就做出来了？

Felix： 是的。我们发现很多用户在用 Claude Code 自动化自己的生活，于是我们想提供一个更早期、更简单的形态，邀请用户进入我们的“厨房”，一起打磨产品。虽然它现在有很多毛糙的地方，但这正是实验性产品的价值所在。

Dan：如何让用户区分本地 Agent 和云端聊天？

Felix： 理想情况下，技术实现细节对用户应该是透明的。目前选择本地运行是为了更激进的 Agent 能力和更快的发布节奏。我们希望吸引那些有明确意图、愿意尝试前沿甚至“流血边缘”技术的用户。

“让用户定义产品的终极形态”

Kieran：你们对产品的未来愿景是什么？

Felix： 我更倾向于观察用户如何使用。历史上很多伟大的产品，其最终用法往往偏离了设计者的初衷。我希望通过不断尝试，发现用户真正的痛点，无论是通过 Skills 还是其他可hack的入口。

Kieran：Skills 会是像 Claude Code 那样可塑性极强的积木吗？

Felix： 没错。我现在的个人习惯是直接写 Skills 而不是 MCP 工具。比如通过 Markdown 描述规则，让 Claude 帮我制定马拉松训练计划。随着 Opus 4.5 等模型的进化，对 Skills 的遵循能力会达到新的高度，这将是用户定制 AI 最主要的入口。

产品逻辑的取舍：确定性 vs. 涌现性

Dan：你认为 AI 会终结复杂的 UI 界面吗？

Felix： 我坚信“搜索框”式的泛化入口会长期存在。就像 Chrome 的地址栏，你不需要区分购物模式或工作模式。未来后端会自动分流，而前端入口将实现高度统一。

Kieran：在开发 Agent 原生应用时，有哪些最佳实践？

Felix： 关键在于区分“非确定性”和“稳定可重复”的工作流。如果某个流程非常死板，那就写死成工具；如果需要灵活性，就交给模型智能。我们将工具下沉到通用形态，就是为了让应用能随模型能力的提升而自动“变强”。

测试总结： 测评团队对 Claude Cowork 给出了“理念绿牌，执行黄牌”的结论。虽然它在异步协作、场景适配和 Skills 扩展上展现了极高的探索价值，但在 UI 交互、权限安全管理以及复杂应用适配上仍有巨大的提升空间。用户在使用过程中，应始终保持对其安全风险的关注。