Este artículo explica dónde se ejecuta Claude Cowork, cómo se aísla cada modo de ejecución y qué controles de administrador están disponibles para restringir su alcance.
Este artículo es para administradores empresariales. La arquitectura descrita aquí es la misma en todos los planes. Los controles de administrador a nivel de dispositivo al final se aplican a los planes Team y Enterprise.
Claude Cowork está en versión beta en web y dispositivos móviles, y se está implementando gradualmente durante las próximas semanas comenzando con el plan Max, seguido de más planes.
Dónde se ejecuta Claude Cowork
Las sesiones de Cowork se ejecutan de forma remota de manera predeterminada: el bucle del agente y la ejecución de código se ejecutan en los servidores de Anthropic, y las sesiones y archivos se guardan en la cuenta de Claude del miembro. La ejecución remota está en versión beta y se está implementando gradualmente en todos los planes.
La ejecución local sigue disponible para implementaciones de escritorio existentes: el bucle del agente y la ejecución de código se ejecutan en el dispositivo del miembro, como se describe a continuación.
Arquitectura de sesión remota
En una sesión remota, el bucle del agente y la ejecución de código se ejecutan en un sandbox aislado y temporal en la infraestructura administrada por Anthropic. Cada sesión obtiene su propio sandbox, que se crea cuando comienza la sesión y se destruye cuando termina, y los sandboxes no comparten estado entre sí ni entre organizaciones. Esta infraestructura se mantiene separada de los entornos corporativos, de investigación y de entrenamiento de modelos de Anthropic.
Propiedades clave de una sesión remota:
Sin acceso a tu red de forma predeterminada. El sandbox no puede alcanzar direcciones privadas, internas, link-local o de metadatos en la nube, y no puede alcanzar sistemas internos de Anthropic, por lo que no se puede usar para pivotar hacia tu red.
El acceso a la red sigue tu política existente. Una sesión en la nube utiliza la misma configuración de acceso a la red que rige Cowork local y chat. Sin acceso a la red es el valor predeterminado para organizaciones empresariales.
El egreso se aplica fuera del sandbox. Todo el tráfico que sale del sandbox pasa a través de un proxy obligatorio que el sandbox no puede reconfigurar ni eludir, y solo se pueden alcanzar destinos en la lista de permitidos.
Solo credenciales de corta duración. El sandbox contiene solo tokens con alcance de sesión que expiran en horas. Los tokens de autorización del conector nunca entran en el sandbox; las llamadas del conector se realizan en el lado del servidor.
Aislamiento de inquilino en la capa de datos. Cada registro almacenado está limitado a tu organización y cuenta.
Cuando una sesión remota necesita algo en el dispositivo del usuario, como un archivo local o el navegador, la solicitud va a través de la aplicación Claude Desktop en ese dispositivo a través de una conexión intermediada por Anthropic. El acceso a archivos locales se limita a las carpetas que el miembro ha conectado en el escritorio, y cada llamada de herramienta local se verifica contra los permisos del miembro antes de ejecutarse. Si la aplicación de escritorio está sin conexión, una sesión remota no puede alcanzar el dispositivo.
Debido a que una sesión remota se ejecuta en los servidores de Anthropic, el trabajo del agente, incluidos los archivos locales que abre a través de la aplicación de escritorio, se procesa en los servidores de Anthropic en lugar de permanecer en el dispositivo. Los datos de conversación se manejan bajo los mismos compromisos comerciales que otros datos de Team y Enterprise y no se utilizan para entrenar Claude.
Arquitectura de sesión local
Las sesiones locales se aplican a implementaciones de escritorio existentes y utilizan dos entornos de ejecución en el dispositivo del miembro:
El bucle del agente se ejecuta de forma nativa en el dispositivo. Esto incluye el manejo de conversaciones de Claude, lectura y escritura de archivos en carpetas conectadas, búsquedas web y servidores MCP de plugins locales. El acceso está controlado por un sistema de permisos a nivel de aplicación que aplica las reglas de carpetas conectadas del miembro y la configuración de egreso de red de tu organización.
La ejecución de código se ejecuta en una máquina virtual (VM) aislada. Los comandos de shell y cualquier código que escriba Claude se ejecutan dentro de una VM Linux dedicada, aislada del sistema operativo host por el hipervisor de la plataforma (Apple Virtualization.framework en macOS, Hyper-V en Windows). La VM aplica su propio filtrado de egreso de red, restricciones de llamadas del sistema y aislamiento de usuarios por sesión.
Para una descripción técnica detallada, consulta la descripción general de la arquitectura de seguridad de escritorio de Claude Cowork en nuestro Centro de confianza.
Controles de administrador para dispositivos administrados
Dos claves MDM te permiten restringir el alcance de Cowork en dispositivos administrados. Ambas son configuraciones a nivel de dispositivo aplicadas a través de tu solución MDM, no desde la configuración de la organización.
Deshabilitar servidores MCP locales: Establece
isLocalDevMcpEnableden false para deshabilitar servidores MCP incluidos en plugins y configurados localmente.Deshabilitar extensiones de escritorio: Establece
isDesktopExtensionEnableden false para bloquear la ejecución de servidores de extensión MCPB y DXT.
Ambos controles se describen en Configuración empresarial para Claude Desktop.
Estas claves MDM rigen la aplicación Claude Desktop, por lo que se aplican a sesiones locales y a cualquier cosa que una sesión remota alcance a través de la aplicación de escritorio. Los servidores MCP locales no se ejecutan en sesiones remotas.
El conmutador Cowork en toda la organización en Configuración de la organización > Cowork (Habilitar para tu organización) controla si Cowork está disponible en absoluto. Los controles a nivel de dispositivo anteriores solo se aplican cuando Cowork está habilitado.
Controles de la organización para sesiones remotas
Más allá del conmutador Cowork en toda la organización, las sesiones remotas tienen sus propios controles en la configuración de la organización:
Activa o desactiva sesiones remotas para la organización, mientras mantienes disponible Cowork de escritorio local.
Establece la política de acceso a la red que determina a qué destinos puede acceder una sesión remota.
Requiere aprobación nueva para cada llamada de herramienta controlada por permisos desactivando "siempre permitir" persistente, y controla si los miembros pueden ejecutar sesiones sin avisos de aprobación por llamada.
Requiere inscripción de dispositivo de confianza e inicio de sesión reciente para sesiones remotas. Cuando está habilitado, esto se aplica a cada sesión remota en la organización.
Las claves MDM a nivel de dispositivo anteriores rigen la aplicación Claude Desktop, por lo que también se aplican a lo que una sesión remota puede alcanzar a través de la aplicación. Con servidores MCP locales deshabilitados en un dispositivo administrado, solo las herramientas de archivo de escritorio limitadas por carpeta permanecen disponibles para sesiones remotas.
Preguntas frecuentes
¿Qué sucede si el dispositivo de un miembro no puede iniciar la VM?
Esto se aplica a sesiones locales. Cowork continúa ejecutando herramientas de archivo y web mientras la VM no está disponible. Los comandos de shell y la ejecución de código reportan "espacio de trabajo no disponible" hasta que la VM se recupere.
¿Una sesión remota tiene acceso a los dispositivos de los usuarios o a nuestra red?
No de forma predeterminada. Las sesiones remotas se ejecutan en entornos aislados en los servidores de Anthropic, fuera de tu red, y no pueden alcanzar direcciones privadas o internas. Una sesión remota accede a archivos locales o navegador de un miembro solo a través de la aplicación Claude Desktop en ese dispositivo, solo para carpetas que el miembro ha conectado, y solo mientras la aplicación está en línea.
¿La actividad de Cowork aparece en los registros de auditoría?
Actualmente no. La actividad de Cowork no se captura en registros de auditoría, la API de cumplimiento o exportaciones de datos. Para obtener orientación sobre cómo monitorear la actividad de Cowork, consulta Monitorear la actividad de Claude Cowork con OpenTelemetry.
¿Pueden las herramientas de detección de puntos finales (EDR) inspeccionar la actividad dentro de la VM?
No. La VM está aislada de las herramientas de seguridad basadas en host por diseño, y las sesiones remotas se ejecutan completamente fuera de tus puntos finales, por lo que las herramientas EDR tampoco pueden observarlas. Si tu postura de cumplimiento depende de la visibilidad del punto final, ten esto en cuenta antes de implementar Cowork.
