Este artigo explica onde o Claude Cowork é executado, como cada modo de execução é isolado e quais controles de administrador estão disponíveis para restringir seu escopo.
Este artigo é para administradores Enterprise. A arquitetura descrita aqui é a mesma em todos os planos. Os controles de administrador no nível do dispositivo no final se aplicam aos planos Team e Enterprise.
Claude Cowork está em beta na web e em dispositivos móveis, e será lançado gradualmente nas próximas semanas começando com o plano Max, com mais planos a seguir.
Onde o Claude Cowork é executado
As sessões do Cowork são executadas remotamente por padrão: o loop do agente e a execução de código são executados nos servidores da Anthropic, e as sessões e arquivos são salvos na conta Claude do membro. A execução remota está em beta e sendo lançada gradualmente em todos os planos.
A execução local permanece disponível para implantações de desktop existentes: o loop do agente e a execução de código são executados no dispositivo do membro, conforme descrito abaixo.
Arquitetura de sessão remota
Em uma sessão remota, o loop do agente e a execução de código são executados em uma sandbox isolada e temporária na infraestrutura gerenciada pela Anthropic. Cada sessão obtém sua própria sandbox, criada quando a sessão inicia e destruída quando termina, e as sandboxes não compartilham estado entre si ou entre organizações. Essa infraestrutura é mantida separada dos ambientes corporativos, de pesquisa e de treinamento de modelos da Anthropic.
Propriedades principais de uma sessão remota:
Sem acesso à sua rede por padrão. A sandbox não consegue acessar endereços privados, internos, link-local ou de metadados em nuvem, e não consegue acessar sistemas internos da Anthropic, portanto não pode ser usada para se infiltrar em sua rede.
O acesso à rede segue sua política existente. Uma sessão em nuvem usa a mesma configuração de acesso à rede que governa o Cowork local e o chat. Sem acesso à rede é o padrão para organizações Enterprise.
A saída é aplicada fora da sandbox. Todo o tráfego que sai da sandbox passa por um proxy obrigatório que a sandbox não consegue reconfigurar ou contornar, e apenas destinos na lista de permissões são acessíveis.
Apenas credenciais de curta duração. A sandbox contém apenas tokens com escopo de sessão que expiram em poucas horas. Os tokens de autorização do conector nunca entram na sandbox; as chamadas do conector são feitas no lado do servidor.
Isolamento de locatário na camada de dados. Cada registro armazenado é limitado à sua organização e conta.
Quando uma sessão remota precisa de algo no dispositivo do usuário, como um arquivo local ou o navegador, a solicitação passa pelo aplicativo Claude Desktop nesse dispositivo por uma conexão intermediada pela Anthropic. O acesso a arquivos locais é limitado às pastas que o membro conectou no desktop, e cada chamada de ferramenta local é verificada contra as permissões do membro antes de ser executada. Se o aplicativo desktop estiver offline, uma sessão remota não consegue acessar o dispositivo.
Como uma sessão remota é executada nos servidores da Anthropic, o trabalho do agente, incluindo quaisquer arquivos locais que ele abre através do aplicativo desktop, é processado nos servidores da Anthropic em vez de permanecer no dispositivo. Os dados de conversa são tratados sob os mesmos compromissos comerciais que outros dados de Team e Enterprise e não são usados para treinar Claude.
Arquitetura de sessão local
As sessões locais se aplicam a implantações de desktop existentes e usam dois ambientes de execução no dispositivo do membro:
O loop do agente é executado nativamente no dispositivo. Isso inclui o tratamento de conversa do Claude, leitura e escrita de arquivos em pastas conectadas, buscas na web e servidores MCP de plugin local. O acesso é controlado por um sistema de permissões no nível da aplicação que aplica as regras de pasta conectada do membro e as configurações de saída de rede da sua organização.
A execução de código é executada em uma máquina virtual (VM) isolada. Comandos de shell e qualquer código que Claude escreve são executados dentro de uma VM Linux dedicada, isolada do sistema operacional host pelo hipervisor da plataforma (Apple Virtualization.framework no macOS, Hyper-V no Windows). A VM aplica sua própria filtragem de saída de rede, restrições de chamada do sistema e isolamento de usuário por sessão.
Para uma visão geral técnica detalhada, consulte a visão geral da arquitetura de segurança do desktop Claude Cowork em nosso Trust Center.
Controles de administrador para dispositivos gerenciados
Duas chaves MDM permitem restringir o escopo do Cowork em dispositivos gerenciados. Ambas são configurações no nível do dispositivo aplicadas através de sua solução MDM, não das configurações da organização.
Desabilitar servidores MCP locais: Defina
isLocalDevMcpEnabledcomo false para desabilitar servidores MCP agrupados em plugins e configurados localmente.Desabilitar extensões de desktop: Defina
isDesktopExtensionEnabledcomo false para bloquear servidores de extensão MCPB e DXT de serem executados.
Ambos os controles são descritos em Configuração Enterprise para Claude Desktop.
Essas chaves MDM governam o aplicativo Claude Desktop, portanto se aplicam a sessões locais e a qualquer coisa que uma sessão remota alcance através do aplicativo desktop. Servidores MCP locais não são executados em sessões remotas.
O alternador Cowork em toda a organização em Configurações da organização > Cowork (Ativar para sua organização) controla se o Cowork está disponível. Os controles no nível do dispositivo acima se aplicam apenas quando o Cowork está ativado.
Controles da organização para sessões remotas
Além do alternador Cowork em toda a organização, as sessões remotas têm seus próprios controles nas configurações da organização:
Ativar ou desativar sessões remotas para a organização, deixando o Cowork desktop local disponível.
Defina a política de acesso à rede que determina quais destinos uma sessão remota pode alcançar.
Exigir aprovação recente para cada chamada de ferramenta controlada por permissão desativando "sempre permitir" persistente, e controlar se os membros podem executar sessões sem prompts de aprovação por chamada.
Exigir inscrição em dispositivo confiável e um login recente para sessões remotas. Quando ativado, isso se aplica a todas as sessões remotas na organização.
As chaves MDM no nível do dispositivo acima governam o aplicativo Claude Desktop, portanto também se aplicam ao que uma sessão remota pode alcançar através do aplicativo. Com servidores MCP locais desabilitados em um dispositivo gerenciado, apenas as ferramentas de arquivo de desktop limitadas por pasta permanecem disponíveis para sessões remotas.
Perguntas frequentes
O que acontece se o dispositivo de um membro não conseguir iniciar a VM?
Isso se aplica a sessões locais. O Cowork continua executando ferramentas de arquivo e web enquanto a VM está indisponível. Comandos de shell e execução de código relatam "workspace indisponível" até que a VM se recupere.
Uma sessão remota tem acesso aos dispositivos dos usuários ou à nossa rede?
Não por padrão. As sessões remotas são executadas em ambientes isolados nos servidores da Anthropic, fora de sua rede, e não conseguem acessar endereços privados ou internos. Uma sessão remota acessa arquivos locais ou navegador de um membro apenas através do aplicativo Claude Desktop nesse dispositivo, apenas para pastas que o membro conectou, e apenas enquanto o aplicativo está online.
A atividade do Cowork aparece nos logs de auditoria?
Não atualmente. A atividade do Cowork não é capturada em logs de auditoria, na API de Conformidade ou em exportações de dados. Para orientação sobre monitoramento de atividade do Cowork, consulte Monitorar atividade do Claude Cowork com OpenTelemetry.
As ferramentas de detecção de endpoint (EDR) conseguem inspecionar atividade dentro da VM?
Não. A VM é isolada de ferramentas de segurança baseadas em host por design, e as sessões remotas são executadas completamente fora de seus endpoints, portanto as ferramentas EDR também não conseguem observá-las. Se sua postura de conformidade depender de visibilidade de endpoint, leve isso em consideração antes de implementar o Cowork.
