Genial automatisiert: Claude Cowork im Test
Anthropic hat Mitte Januar mit Claude Cowork einen Desktop-Agenten, der die Lücke zwischen KI-Chatbots und echter Systemautomatisierung schließen soll. Anders als bisherige KI-Tools erhält Cowork direkten Dateisystem-Zugriff und kann eigenständig Software bedienen. Nun steht das Tool auch Abonnenten von Claude Pro zur Verfügung.
Technische Architektur: Clever gelöst, aber MacOS-exklusiv
Cowork basiert auf dem Claude Agent SDK und läuft in einer isolierten Linux-VM via Apples VZVirtualmachine-Framework. Diese Architekturentscheidung verdient Anerkennung: Statt nativem Systemzugriff gewährt Anthropic dem Agenten eine kontrollierte Sandbox-Umgebung.
Die Implementierung erlaubt Cowork, über eine dedizierte Ordnerfreigabe auf Dateien zuzugreifen, während sensible Systembereiche geschützt bleiben. Der Agent kann Python-Scripts ausführen, Browser-Automatisierung via Playwright durchführen und Office-Dateien manipulieren – alles innerhalb der VM-Grenzen.
Problematisch: Die Abhängigkeit von Apples Virtualisierungs-Framework macht Cowork zur MacOS-exklusiven Lösung. Windows-Support ist laut Anthropic "in Planung", ein konkreter Zeitplan fehlt jedoch.
Bemerkenswert ist die Entwicklungsgeschwindigkeit: Laut Anthropic entstand das Tool in zehn Tagen durch vier Ingenieure – überwiegend mithilfe von Claude Code. Das wirft Fragen zur Codequalität und Test-Coverage auf, die sich in der Praxis teilweise bestätigen.
Funktionsumfang: Vom CSV-Parsing zur Präsentationserstellung
Wir haben mit dem Tool CSV-Dateien ausgewertet, die in einem Ordner lagen, fanden Einträge, die den Import in Excel verhinderten, weil mehrere Kommata fehlten. Die reparierte Datei konnte dann problemlos eingelesen werden.
Wir ließen auch Ordner anlegen, die mit Textdateien gefüllt wurden, die Shakespeare-Sonette enthielten. Die Dateinamen sollte Claude Cowork dem Inhalt nach umbenennen. In einem anderen Test sollten Bilddateinamen auf Basis des Bildinhaltes erzeugt werden. Als nächstes war die Aufgabe, unstrukturierte Sammlungen aus Textnotizen und Word-Dokumenten zu einer Powerpoint-Präsentation zusammenzubauen, wobei das Design vereinheitlicht wurde.
Performance-Charakteristika und Limitierungen
Der Agent konsumiert Tokens sehr aggressiv, was bedeutet, dass Pro-Nutzer schnell ihre Limits erreichen. Für datenintensive Aufgaben empfiehlt sich der Max-Plan, der aber deutlich teurer ist.
Die Browser-Steuerung mit Chrome erfordert ein Plug-in. Dann kann Claude Cowork Chrome steuern und Informationen von Websites gewinnen. Das geht allerdings sehr langsam und erfordert oftmals die Zustimmung der Anwender. Web-Scraping-Aufgaben überlässt man besser anderen Tools wie Selenium oder Puppeteer.
Was nicht funktioniert, ist die Fernsteuerung beliebiger MacOS-Apps. So konnten wir mit Apple Karten nichts anfangen, uns wurde aber Google Maps im Browser von Cowork empfohlen, als wir um unseren Standort herum Restaurants recherchieren ließen, die um 0 Uhr noch geöffnet hatten. Das klappte hervorragend, wir erhielten eine Liste mit validen Daten, dauerte allerdings rund fünf Minuten.
Leider verliert Claude Cowork derzeit noch den Kontext, wenn seine MacOS-App geschlossen wird oder der Mac in den Ruhezustand geht. Das lässt sich natürlich durch entsprechende Einstellungen im Betriebssystem verhindern, doch das Tool warnt nicht davor.
Bisher gibt es noch keine Integration mit Claude Projects, keine Session-Synchronisation zwischen verschiedenen Geräten des Anwenders oder gar einen Zugriff auf frühere Chats. Bislang ist Cowork vom restlichen Claude-Ökosystem abgeschnitten.
Das Prompt-Injection-Problem: Fundamentales Sicherheitsrisiko
Zwei Tage nach Launch dokumentierten Forscher von Promptarmor kritische Schwachstellen durch eine indirekte Prompt-Injection(öffnet im neuen Fenster). Das Angriffsszenario: Ein Angreifer platziert versteckte Befehle in einem Dokument (PDF, DOCX, TXT), Cowork liest das Dokument im Rahmen einer legitimen Aufgabe, die versteckten Befehle manipulieren Claudes Verhalten und vertrauliche Dateien werden exfiltriert – ohne explizite Nutzerfreigabe.
Unsere Tests zeigen leider, dass dieses Verhalten bisher nicht abgestellt wurde. Sobald der Agent die Befehle liest, verarbeitet er sie auch. Das reicht vom Versenden von Dateien über das Löschen von Daten bis hin zum unnötigen übermäßigen Verbraucht von Token.
Anthropic selbst warnt in der Dokumentation vor "potenziell destruktiven Aktionen" – ohne jedoch robuste Schutzmechanismen zu implementieren. Die aktuelle Lösung basiert auf Bestätigungsdialogen, die bei häufiger Nutzung zur dazu führen, dass Nutzer nach häufigen Nachfragen irgendwann die Aktion auf Dauer bewilligen.
Anwendungsfälle: Wo Cowork heute schon sinnvoll ist
Bei der Datenanalyse und beim Reporting ist Claude Cowork eine große Hilfe: Bei strukturierten Daten wie CSV, JSON oder einfachen Excel-Dateien liefert Cowork schnelle, brauchbare Analysen. Auch bei der Powerpoint-Erstellung, PDF-Zusammenstellung und formatierten Reports schlägt das Tool alles, was wir bisher gesehen haben.
Auch im Bereich Batch-Operationen auf Dateisystem-Ebene wie Umbenennungen, Formatkonvertierung oder Struktur-Reorganisation erzielten wir sehr gute Ergebnisse.
Das uns ebenfalls gefiel, war die erfolgreiche Content-Aggregation aus multiplen Quellen (E-Mails, PDFs, Webseiten) mit anschließender Synthese der Fundstücke.
Fazit: Technologisch beeindruckend, praktisch unreif
Claude Cowork zeigt, worauf die Zukunft von KI-Agenten auf dem Desktop hinauslaufen kann. Die technische Implementierung via VM-Sandbox ist durchdacht, die Fähigkeiten übertreffen vergleichbare Tools in mehreren Bereichen.
Gleichzeitig offenbart der Test fundamentale Probleme: Das Prompt-Injection-Risiko disqualifiziert Cowork für sicherheitskritische Einsätze. Die MacOS-Exklusivität schränkt die Zielgruppe massiv ein und die fehlende Persistenz und der hohe Token-Verbrauch beeinträchtigen die Praktikabilität.
Bisher ist die Bezeichnung Research Preview(öffnet im neuen Fenster), die Anthropic für Cowork verwendet, also richtig. Für Early Adopter mit MacOS, Toleranz für Experimente und unkritischen Daten hat das Tool durchaus einen Mehrwert. Professionelle Anwender sollten auf künftige Versionen warten, die die Sicherheitsprobleme adressieren.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.