引言
Claude Cowork 进入网页端和移动端,并不只是多了一个可以点击按钮的新入口。这表明 AI 代理正在从桌面端的短时对话,转向能够跨设备持续工作的长周期任务系统。
对于产品、工程和运营团队来说,关键问题已不再只是代理能否完成任务。更难的问题在于,代理在执行过程中能否保持恰当的边界:它可以读取哪些文件、可以使用哪些工具、哪些操作需要审批、必须返回哪些证据,以及人类如何审查结果。
本文解释了这一转变的实际意义。文章重点讨论 agent harness 设计:即模型外围用于管理上下文、工具、权限、状态、日志、验证和人工控制的那一层。
来源与图片说明
原始来源页面:Claude Cowork 登上移动端与网页端:团队该重新设计 Agent Harness
解析后的源页面展示了默认博客卡片 SVG 以及站点/页脚图片,但没有明显属于正文所需的截图、工作流图、代码截图或结果图片。为避免插入装饰性或无关图片,正文中未添加任何图片。如果未来版本的来源包含产品截图或图表,可将其插入到对应章节附近。
关键要点
- Claude Cowork 扩展到桌面端、网页端和移动端,改变了团队思考代理工作的方式。
- 跨设备代理不只是一个聊天界面,它还是一条能够在后台持续推进的任务线程。
- 团队需要清晰的 agent harness:上下文边界、工具权限、状态追踪、日志、验证以及审批规则。
- 移动端访问适合用于检查进度和进行轻量确认,但不应成为绕过代码审查、生产审批或敏感数据控制的捷径。
- 更广泛的市场也在朝同一方向发展:代理产品正变成系统工程问题,而不只是模型选型问题。
发生了什么变化
Claude Cowork 现在指向这样一种工作流:同一个任务可以在一台设备上开始,并在另一台设备上继续。用户可以在桌面端分派工作,在手机上查看进度,离开工位时响应提示,之后再回来审查最终输出。
这听起来很方便,但它也改变了控制模型。在传统聊天窗口中,用户通常始终紧贴交互过程。而在后台代理场景中,即使用户不再主动盯着每一步,代理也可能继续使用上下文和工具。
这就是为什么跨设备代理访问不应仅被视为一个产品功能。它是一个工作流设计问题。无论用户是在桌面端、网页端还是移动端,任务本身都需要携带自己的边界、证据要求和审批规则。
为什么这是一个 Agent Harness 问题
Agent harness 是模型外围的运行层。模型决定下一步做什么,但 harness 决定了什么可以被
模型能看到什么、它可以调用哪些工具、状态如何存储、操作如何记录、故障如何处理,以及何时必须由人工批准下一步。
强大的模型即使被置于薄弱的运行框架中,仍然可能造成严重问题。它可能读取错误的文件、在预期范围之外使用工具、产出难以审查的工作,或在团队验证输出之前就采取行动。
当智能体跨设备工作时,运行框架就更加重要。任务可能从桌面端开始,在远程会话中继续,在移动设备上请求确认,然后生成文档、代码更改或消息。权限模型应当随着任务移动,而不是随着设备移动。
一个良好的运行框架会在任务开始前回答一些实际问题:
- 任务的确切目标是什么?
- 允许使用哪些上下文?
- 哪些工具可用?
- 哪些操作被禁止?
- 期望的输出是什么?
- 必须运行哪些验证?
- 必须包含哪些证据?
- 哪些内容需要人工批准?
- 智能体应当在何时停止?
始终在线智能体的风险
后台工作很有用。产品经理可以让智能体整理客户反馈。工程师可以让智能体检查日志并提出修复建议。创始人可以在出行途中让智能体起草一版投资者更新。
风险在于,用户不再密切关注后,智能体仍然可以继续行动。这并不自动意味着不安全,但确实需要更好的边界控制。
团队应当将智能体权限划分为明确的类别:
| 权限类别 | 典型用途 | 推荐控制方式 |
|---|---|---|
| 读取本地文件 | 检查代码仓库、文件夹或文档集 | 按文件夹或工作区范围限制 |
| 读取已连接的应用 | 从电子邮件、文档、CRM、问题跟踪器或日志中提取上下文 | 授予最小范围访问,默认避免敏感数据 |
| 写入本地产物 | 创建文件、编辑文档或准备代码更改 | 要求可审查的差异或版本历史 |
| 发送外部消息 | 发送电子邮件、发布内容、创建工单或通知用户 | 要求明确的人工确认 |
| 执行生产环境或破坏性操作 | 部署、删除、修改计费、更改权限或运行不可逆命令 | 保持必须由人工执行 |
移动端确认可以加快工作流程,但不应取代真正的审批设计。手机上的一次点击应当确认一个范围明确的操作,而不是为一个不清晰的任务授予广泛访问权限。
编码团队应该做出的改变
- 在执行前定义任务边界
每个智能体任务都应当以一份简短的任务说明开始。说明应包括目标、允许的上下文、允许的工具、禁止的操作、期望的输出、验证方法以及停止条件。
这对编码任务尤其重要。像“修复这个问题”这样模糊的请求,对于一个无人看管的智能体来说范围太大。更安全的版本应当指明具体问题、识别相关文件或模块、指定测试命令,并要求提供差异以及风险说明。
- 要求提供证据,而不只是答案
智能体的输出应当包含证明。对于代码任务,这意味着差异、测试结果、构建日志,以及对风险的简短说明。对于研究任务,这意味着来源链接、置信度以及尚未解决的问题。
问题。对于操作性任务,这意味着行动计划、受影响的系统、回滚说明和审批要点。
目标不是让智能体撰写更长的报告。目标是降低审查成本。
- 按风险和成本路由任务
并非每项任务都需要最强的模型或最长的推理预算。低风险的格式整理、摘要和分类任务,通常可以使用更便宜或更快的模型。架构变更、迁移、生产环境调试以及安全敏感任务,则应使用更强的模型和更严格的审查。
模型路由应成为执行框架的一部分,而不是事后补充。能够按风险进行路由的团队,可以在不降低安全性的前提下控制成本。
- 有意识地限制记忆
智能体可能会受益于稳定的项目记忆:代码仓库规则、常用命令、命名约定、架构说明和风格偏好。
它们不应随意存储机密、凭据、客户数据、临时假设或未经验证的结论。记忆只有在经过整理和管理时才有用。否则,它会成为另一种隐藏的上下文漂移来源。
一个实用的执行框架模板
团队一开始并不需要复杂的平台。他们可以从一个简单的任务模板开始,并持续一致地应用它。
task_goal: "描述智能体应产出的确切结果。"
allowed_context:
- "列出智能体可以读取的文件夹、文件、工单、日志或文档。"
allowed_tools:
- "列出终端、浏览器、问题跟踪器、文档或测试运行器等工具。"
forbidden_actions:
- "禁止部署到生产环境。"
- "禁止发送外部消息。"
- "禁止删除文件或数据。"
validation:
- "运行相关测试或检查。"
- "包含命令输出,或说明为什么无法运行验证。"
expected_output:
- "提供 diff、摘要、风险和后续步骤。"
human_approval_required_for:
- "发送消息"
- "部署"
- "删除数据"
- "更改权限"
stop_condition: "当输出已准备好供人工审查,或缺少所需上下文时停止。"
对于小型代码修复,应要求提供本地分支、diff、测试输出和风险说明。对于研究简报,应要求提供来源和置信度。对于发布检查,应要求提供构建日志、失败的检查项和回滚提示。对于客户数据相关任务,应要求提供数据范围说明和脱敏计划。对于生产环境操作,智能体应准备方案,但应由人工执行或批准该操作。
如何评估不同的智能体
几分钟搭建展示站并增长获客
输入一句想法,We0 AI 即可生成展示站、页面与 CMS。发布上线后并帮你获取客户和流量。
团队应避免仅凭演示或第一印象来比较智能体。像 Claude Cowork、Claude Code、OpenAI Codex、GitHub Copilot、Cursor 以及内部智能体这样的工具,都应在相同时间预算和验收标准下,针对真实任务进行测试。
有用的评估问题包括:
- 智能体能否识别正确的上下文,而不过度读取无关文件?
- 它能否安全地使用工具,并保持在请求的范围内?
- 它是否产出小而便于审查的改动,而不是大而不清晰的重写?
- 它是否提供测试结果、引用、日志或其他证据?
- 它是否知道何时停止并请求人工输入?
- 一次运行在 token、时间和审查工作量方面的成本有多高?
- 它有多难
回滚失败的结果?
对每项任务都运行不止一次。智能体是概率性系统。一次令人印象深刻的运行并不能证明其可靠性,一次糟糕的运行也不能证明该工具不可用。要关注完成率、失败类型、审查成本、每个有用输出的成本以及恢复工作量。
市场信号
Claude Cowork 是更大趋势的一部分。AI 工具正在演变为智能体系统,将模型、工具、权限、记忆、日志和评估结合在一起。
Amazon Bedrock AgentCore 展示了云平台正如何迈向托管式智能体基础设施。围绕 harness engineering 的研究讨论也指向同一个观点:模型能力固然重要,但决定其能否被可靠使用的是模型周边的系统。OpenAI 的 Codex 相关材料同样将智能体循环定义为一个编排问题,涉及提示词、工具、执行和上下文管理。
实际的结论很简单:AI 产品的下一阶段竞争,不会只靠选择最强的模型来取胜。团队还需要更好的上下文策略、更安全的工具权限、持久化日志、可重复的评估,以及清晰的人类控制。
建议行动计划
第 1 周:审计当前的智能体使用情况
列出团队使用的每一个 AI 智能体或编程助手。包括桌面应用、Web 智能体、IDE 工具、浏览器智能体、内部机器人,以及连接到模型 API 的脚本。对于每个工具,记录它可以读取什么、可以写入什么,以及它是否能触发外部操作。
第 2 周:按风险对任务分类
将任务分为低风险、中风险和高风险三组。
低风险任务可能包括格式整理、摘要总结和草稿生成。中风险任务可能包括代码修改、数据转换或问题分流。高风险任务包括生产环境变更、客户数据处理、安全相关工作、计费变更以及对外沟通。
第 3 周:建立一个小型内部基准
从上个月中挑选 20 个真实任务,把它们作为一组基准。包括成功的任务、失败的任务、存在歧义的任务,以及需要人工纠正的任务。
衡量完成率、审查时间、证据质量、Token 成本以及回滚复杂度。这样团队就能以一种务实的方式比较不同智能体,而不是依赖营销宣传。
第 4 周:标准化指令和验证
添加仓库说明、任务模板、验证命令、日志要求和停止条件。让审查流程可见。如果一个智能体无法展示它修改了什么,以及它如何验证结果,那么该任务就不应被视为已完成。
常见问题
什么是 Claude Cowork?
Claude Cowork 是 Anthropic 提供的一种智能体式工作流,用于在桌面端、网页端和移动端等受支持的平台上把任务交给 Claude 处理。它旨在支持以结果为导向的工作场景,在这些场景中,Claude 可以使用文件、工具和已连接的工作流,而用户负责审查并批准重要结果。
为什么移动端和网页端的 Claude Cowork 很重要?
移动端和网页端访问让智能体任务更容易在桌面环境之外被监控和继续执行。更大的变化在于,智能体工作变得更加异步,这意味着团队需要更严格的权限、审查、日志和规则。
验证。
什么是代理编排框架?
代理编排框架是围绕模型构建的系统,用于管理上下文、工具、状态、记忆、日志、验证以及人工审批。它将模型从一个文本生成器转变为一个可控的工作流系统。
仅靠移动端确认就足以保障代理安全吗?
不够。移动端确认很有用,但它只能用于批准范围清晰的操作。发送外部消息、修改生产系统、删除数据或更改权限等敏感操作,仍然应要求明确审查和定义清晰的审批规则。
编码团队应如何安全地使用 AI 代理?
应从范围较窄的任务开始,设置清晰的上下文限制、可审查的差异、更改输出测试以及停止条件。除非具备严格的审批工作流,否则应避免让代理广泛访问代码仓库、凭证、客户数据或生产系统。
代理在完成编码任务后应返回什么?
有用的编码代理输出应包括已更改的文件、差异摘要、测试或构建结果、已知风险以及任何后续工作。这能让审查更快,并降低隐藏错误发生的可能性。
团队如何比较 Claude Cowork、Codex、Cursor、Copilot 和其他代理?
应使用你们自身工作流中的真实任务,并让每个工具在相同的验收标准下运行。应比较完成率、审查成本、失败类型、输出证据、令牌成本以及回滚工作量,而不是只根据单次演示来判断。
相关工具
- Claude Cowork:Anthropic 的代理工作流,用于在受支持的设备和工作界面上将任务分配给 Claude。
- Claude Code:Anthropic 的编码代理,适用于基于终端和 IDE 的开发工作流。
- OpenAI Codex:OpenAI 的编码代理,用于在 AI 支持下构建、编辑、审查和发布软件。
- GitHub Copilot:GitHub 的 AI 编码助手,用于代码建议、聊天、审查和开发者工作流。
- Cursor:一个 AI 编码环境,专注于理解代码库的编辑、聊天和代理式软件开发。
- Amazon Bedrock AgentCore:AWS 用于大规模构建、部署和运营 AI 代理的基础设施。
相关链接
- NxCode 原始文章:启发本英文发布版本的源文章。
- Claude Cowork 产品页面:关于 Claude Cowork 功能、支持界面和套餐可用性的官方页面。
- 安全使用 Claude Cowork:Anthropic 关于权限、远程会话、提示注入和人工监督的安全指南。
- Amazon Bedrock AgentCore Harness 正式可用:AWS 关于托管式代理编排框架基础设施的公告。
- [用于自我改进的编排框架工程](https://lilianweng.github.
io/posts/2026-07-04-harness/):Lilian Weng 关于 harness 工程和 AI 系统改进的讨论。
- OpenAI Codex Developers:Codex 作为编码代理的官方开发者页面。
- Unrolling the Codex Agent Loop:OpenAI 对 Codex 如何编排模型调用、工具、提示词和上下文的技术说明。
总结
Claude Cowork 在桌面端、网页端和移动端之间打通,是一次有用的产品更新,但它真正的意义更深远。AI 代理正在成为持久化的任务系统,能够在单一聊天窗口之外持续工作。
对于团队而言,正确的应对方式不是给予代理无限制的自由。更安全的路径是受控委派:缩小任务范围、设置明确权限、确保输出可审查、保留持久日志、提供验证命令,并对敏感操作要求人工批准。
一个强健的代理 harness 会让代理更值得信任,因为它让工作过程可见且可审计。从小任务开始,在真实工作流中衡量表现,只有当审查流程足够健全时,才逐步扩大权限。
代理工作的未来,不仅仅是更聪明的模型,而是围绕模型进行更好的 harness 设计。



