转自:InfoQ
近日,Anthropic 推出了 Claude Cowork 的研究预览版。然而,这款旨在为非技术用户提供强大AI协作能力的新产品,在上线后不久便被曝出存在严重的安全隐患。它不仅发生了误删用户11GB文件的“惨剧”,还被安全研究人员指出存在文件窃取风险。
事情的起因是博主 James McAulay 的一次常规测试。在对比 Claude Cowork 与 Claude Code 的文件夹整理功能时,意外发生了。正当 James 观察两者的整理进度时,Claude Cowork 突然报错:它在操作过程中,擅自删除了约 11GB 的文件。
更令人不安的是,这些被删除的文件并未进入系统的回收站,而是被直接执行了类似 rm -rf 这样的不可逆删除命令。James 立即让 Claude Cowork 导出操作日志以确认情况,随后咨询 Claude Code 是否有恢复可能,得到的回复是“无法恢复,属于致命操作”。
复盘整个过程发现,当 Claude Cowork 请求文件操作权限时,James 点击了“全部允许”或“始终允许”。他并未预料到,即便在后续的交互中明确给出了“保留文件”的指令,这个 AI 代理仍会无视指令,并最终执行不可逆的删除操作。幸运的是,此次被删除的均为过往上传的非核心文件,未造成实质性重大损失,但这次事件无疑暴露了当前 AI Agent 在权限控制和指令遵循上存在的巨大安全隐患。
除了严重的安全事故,James 在对比测试中还指出了 Claude Cowork 与 Claude Code 的两点显著差距:
-
交互繁琐:当发出“整理文件夹”指令后,Claude Cowork 并未直接行动,而是要求用户先启动新任务并手动选择目标文件夹。相比之下,Claude Code 会直接定位到文件夹并开始分析,用户只需授予一次权限即可。在整个整理过程中,Claude Cowork 会反复交互确认细节,例如询问“文件按什么维度分类”、“用户数据文件夹如何处理”。即便 James 明确回复“用户数据文件夹暂不删除、保留”,它仍在待办清单中标记“删除用户数据文件夹:已完成”。尽管后续并未真正执行删除,但这暴露了其指令响应机制存在漏洞。
-
效率滞后:在整理过程中,Claude Cowork 运行命令时多次出现停顿,节奏拖沓。而同期使用 Claude Code 整理“音乐文件夹”时,AI 能迅速给出“专辑和迷你专辑、单曲、Demo、翻唱”等分类建议,用户确认后即刻执行,全程仅需数十秒。即使两者均基于 Opus 4.5 模型,Claude Cowork 的响应速度和执行效率也明显落后,使得简单的文件夹整理任务变成了“持久战”。
安全隐患:已知漏洞与文件窃取风险
文件误删并非唯一风险。AI 安全公司 PromptArmor 的研究进一步指出,由于 Claude 代码执行环境中存在一个已知但未解决的隔离缺陷,Claude Cowork 容易遭受通过间接提示注入实施的文件窃取攻击。
据悉,该漏洞最早由研究员 Johann Rehberger 在 Claude.ai 的聊天环境中发现,并已扩展到 Cowork 功能中。Anthropic 确认了该漏洞的存在,但尚未进行修复。公司方面提醒用户:“Cowork 是一个研究预览版,由于其 agentic 的特性以及可访问互联网,存在独特风险”,并建议用户警惕“可能表明存在提示注入的可疑行为”。
然而,PromptArmor 对此回应表示,由于该功能面向的是普通大众而非仅限技术用户,要求他们去识别专业的提示注入行为“是不公平的”,并引用了 Simon Willison 的观点来支持这一说法。
产品背后的故事:一周半的极速开发与未来愿景
在安全风波之前,Every 团队曾提前体验并直播测试了 Claude Cowork。Anthropic Claude Cowork 项目的核心成员 Felix Rieseberg 在直播中分享了产品的设计思路。他透露,Cowork 是一个快速上线、旨在观察用户如何使用并进行迭代的产品,整个开发周期仅用了 1.5 周。Felix 强调,未来将围绕用户反馈进行快速迭代。工程师 Boris Cherny 还在 X 上透露,该产品的全部代码都是由 Claude Code 编写的。
Felix 在访谈中阐述了产品的工作流设计理念,即可分为“非确定性(依赖模型智能)”和“稳定可重复(编写工具)”两类,需要在两者间做出取舍。他认为 Skills 是平衡“模型灵活性”与“工作流稳定性”的关键,能够沉淀可复用的知识,甚至催生出涌现能力。
对于未来,Felix 预测 Agent 类应用的界面将趋于简化,会使用统一的“泛化入口”覆盖更多场景,而非堆砌大量专用化的输入框。他坦诚,关于 AI 交互的最终形态,即便在团队内部也存在不同看法,但他个人相信类似搜索框的“我想要某样东西”的输入形态会长期存在,且入口会趋向统一而非割裂。
当被问及产品设计中的取舍时,Felix 给出了一个核心建议:将工作流拆分为非确定性的和稳定可重复的两部分。对于那些非常可重复、确信永远不会改变,且模型能力提升也带不来额外收益的部分,正是编写具体工具的好时机。他同样强调了 Skills 的重要性,认为这是目前最主要的、也是最“可 hack”的定制化入口,它允许用户用 Markdown 描述规则和原则,让 Claude 遵循执行,这比直接提供极其底层的通用工具(如“直接调用GCC”)更为高效和可控。
测试总结:理念超前,但执行仍需打磨
根据 Every 团队的测评,Claude Cowork 的核心定位是为非技术用户提供 Claude Code 级别的 AI 异步协作能力。其最显著的突破在于将 AI 使用逻辑从传统的“一问一答”升级为“异步托付”。产品具备持续运行任务直至完成的能力,适合审计日历、分析数据、整理文件夹、校对文档等耗时较长的任务。
在产品设计上,右侧的待办任务列表和“询问用户”的可视化交互界面,旨在降低非技术用户的操作门槛。其支持加载用户已安装的 Claude Skills,也被认为是产品最具“可定制性”的亮点。
然而,测评也指出了产品当前的诸多不足:
- UI/UX 粗糙:任务列表仅按时间排序,缺乏视觉区分。
- 权限管理不直观:用户难以判断 AI 是在本地还是云端运行,文件夹访问权限需手动配置,容易造成困惑。
- 功能逻辑缺陷:“询问用户”功能可能在用户未响应时自动跳过问题,且存在选项和字符数限制。
- 复杂应用适配不佳:对 Google Docs 等应用的操作容易失败。
最终,测评团队给出的结论是:“理念绿牌,当前执行黄牌”。Claude Cowork 在推动 AI 协作范式转变上理念超前,具备高探索价值;但受限于粗糙的 UI、不完善的功能逻辑以及潜在的安全风险,当前体验仍有巨大的优化空间。对于所有用户,尤其是非技术背景的用户而言,在拥抱这类强大 AI 代理工具时,审慎管理其权限,并保持对潜在风险的认识,或许是当前阶段更为稳妥的做法。这正是每一位开发者在探索 AI 与 自动化运维 边界时需要时刻警惕的核心议题。
参考链接:
发表于 3 天前
|
查看: 8|
回复: 0
