Claude コンピュータ使用: API サンドボックス vs. Cowork デスクトップ—ブラウザ自動化の実行環境を選択する
これは「AI の自律性」についてではありません。適切な実行境界を選択することです。
Anthropic のサンドボックスは許可プロンプトを 84% 削減します—これは勝利のように聞こえます。しかし許可プロンプトが少ないということは、Claude が実際に何をしているかの可視性も低いということです。問題はサンドボックスがより安全かどうかではなく、どちらのトレードオフがあなたのユースケースに合理的であるかということです。
Claude によるブラウザ自動化は、現在、2 つの根本的に異なる実行モデルに分かれています。Anthropic の API 対応サンドボックスランタイム(Claude Code または広範な SDK の一部)経由で実行することも、Chrome 拡張機能搭載の Cowork デスクトップエージェントを使用することもできます。同じ問題を解決しています—Claude にウェブをナビゲートし、アプリケーションと相互作用する能力を与えることです—ただし、その解決方法はまったく異なります。
アーキテクチャを理解することが重要です。アーキテクチャは、物事が失敗するときに実際に何が起こるかを決定するからです。
API サンドボックス: より軽く、より速く、より予測可能
Claude のサンドボックスランタイムは、Linux bubblewrap と macOS seatbelt プリミティブを使用して OS レベルの隔離を実装しています。これは単なる許可プロンプトではありません。ファイルシステムの境界を定義すると、オペレーティングシステムはアクセスをブロックします—Claude がエスカレーションを試みてもです。ネットワーク隔離も同様です。Claude は明示的に許可されたドメインにのみ到達できます。
理論と実践の違いはここにあります。サンドボックスを有効にすると、許可プロンプトが大幅に減り、安全性が向上します。問題は承認疲労です。Claude がセッションごとに 50 回許可を求めると、何を承認しているかを読まなくなります。
API サンドボックスアプローチは以下に適しています。
- テストと CI/CD パイプライン。Claude Code を使用して Cloudflare Sandbox 内のタスクを実装できます。Sandbox SDK を使用すれば、自動化が完全に一時的で隔離された環境で実行されます。残存状態がありません。副作用がありません。
- 信頼できないコード実行。エンジニアリングチームが Claude Code を SSH キーと AWS 認証情報に完全にアクセスしてデベロッパーラップトップで実行する場合、AI エージェントはそのすべてのアクセス権を継承します。API サンドボックスは設計上これを防ぎます。
- 透明なロギングと監査可能性。API 呼び出しはログに記録されます。ローカルで実行されるデスクトップエージェント?デフォルトでは不透明です。
トレードオフ:API サンドボックスはデフォルトではステートレスです。Claude は実行して出力を生成し、環境は破棄されます。セッション間で永続的な状態が必要な場合—前回の実行のメモリ、蓄積されたコンテキスト、長期的なタスク—それを自分で管理する必要があります。
Cowork デスクトップ: 永続的で、ユーザー中心、制御が難しい
隔離されているように聞こえます。そうではありません。隔離はコード実行のみに適用されます。ファイルとネットワークアクセスは付与されたもので仲介され、API サンドボックスとは異なり、Claude に接続する MCP と許可を求める頻度を制御します。摩擦は明示的です。Claude は求める必要があり、あなたは承認する必要があります。
Cowork は、macOS と Windows(x64 のみ)のすべての有料プラン—Pro、Max、Team、Enterprise—の研究プレビューとして利用可能です。
Cowork でのブラウザ自動化は、Claude in Chrome 拡張機能経由で行われ、Haiku 4.5、Sonnet 4.5、または Opus 4.5 モデルと連携します。重要なアーキテクチャの違いはここです。同じ Claude アカウントで 2 つのマシンに Claude Chrome 拡張機能をインストールしてログインしている場合、待機している 2 つの競争するエンドポイントがあります。ジョブはディスパッチされ、最初にそれを取得するコンシューマーが勝ちます。これは作業を分散したい場合は機能としての仮面を被っていますが、複数のマシンを持っている場合は落とし穴です。
Cowork は以下に優れています。
- ファイルとウェブにまたがる知識作業。調査タスク、ドキュメント処理、メールトリアージ。Claude はローカルファイルを読み取り、ブラウザからデータを取得し、1 つの継続的なセッションでファイルシステムに構造化された出力を書き戻すことができます。
- スケジュール済み、繰り返しタスク。任意の Cowork タスクで /schedule と入力して、Claude が自動的またはオンデマンドで実行するタスクを設定できます。選択したペースで実行されます。重要な注意:スケジュール済みタスクはコンピュータがアクティブで Claude Desktop アプリが開いている間のみ実行されます。
- 永続的なコンテキストとメモリが必要なタスク。Cowork は設計上、セッション間で状態を維持します。Claude は昨日何をしたかを覚えており、中断したところから再開できます。
トレードオフ:Cowork はマシン上で実行されます。Claude はアクセスを許可したローカルファイルにアクセスでき、あなたに代わって実際のアクションを実行できます。隔離は弱く、リスク表面は大きく、すべてがローカルで発生するため、障害のデバッグはより困難です。
ブラウザ自動化が失敗したときの動作
両方のアプローチは異なる障害モードを持っています。API サンドボックスでは、障害はクリーンです。Claude は許可境界またはタイムアウトに達し、セッションが終了します。ログが得られます。それを再現できます。
Cowork では、障害がより複雑です。Claude Desktop が複数のバージョンを自動更新した後、すべてのブラウザ自動化ツールが Cowork セッションから消える可能性があります。Claude in Chrome MCP サーバーが正常に接続されますが、完全なブラウザ自動化ツールセットではなく、3 つの基本的なツールのみが公開されます。拡張機能は実行中です。Claude は実行中です。しかし、それらの間のツール層は破損しました。デバッグするには、MCP サーバー登録、Desktop アプリバージョン互換性、Chrome 拡張機能の状態を理解する必要があります。
コストとトークン使用量
これは誰もが認める以上に重要です。Cowork でタスクを実行すると、Claude とチャットするより使用量配分が多く消費されます。複雑で多段階のタスクは計算量が多く、実行により多くのトークンが必要です。Claude が撮影する各スクリーンショット、各 DOM インタラクション、各推論ステップはトークンを消費します。API サンドボックスはこのコストを隠しません—トークン請求で見ることができます—ただし Cowork は月額使用量配分に隠します。
Cowork タスクを頻繁に実行している場合、使用量制限に達することを予想してください。Pro プラン(月額 3,300 円程度)は軽量のタスク数個で機能します。より重い作業フローには Max またはそれ以上のティアが必要です。
実践的な比較
| 要因 | API サンドボックス | Cowork デスクトップ |
|---|---|---|
| 隔離強度 | OS レベル、実装される | コードの VM レベル、ファイル/ネットワークは許可によって仲介される |
| 永続性 | デフォルトでは一時的 | セッション間で永続的 |
| ローカルファイルアクセス | マウントされたディレクトリに制限される | 許可されたフォルダへの完全アクセス |
| スケジュール済みタスク | 外部オーケストレーション経由 | 組み込み /schedule コマンド |
| ブラウザ自動化レイテンシ | より速い(クラウド隣接) | より遅い(ローカルレンダリング + スクリーンショット) |
| 障害デバッグ | クリーンログ、再現が簡単 | ローカル MCP の問題、バージョン不一致 |
| コスト可視性 | トークンごとの請求 | プール化された使用量配分 |
| 複数マシンサポート | 該当なし(ステートレス) | 競争するコンシューマーパターン、予測不可能なルーティング |
どちらを使用するか:フレームワーク
以下の場合は API サンドボックス を選択してください:
- 本番自動化(CI/CD、API ワークフロー、バッチ処理)を構築している。
- 再現可能で監査可能な実行が必要である。
- 永続的なローカル状態の管理を避けたい。
- Claude がマシン上で任意のブラウザタスクを実行することに不快感を持っている。
以下の場合は Cowork を選択してください:
- 作業がファイル集約的で同時にブラウザ集約的(調査、ドキュメント処理、メールワークフロー)。
- 外部インフラストラクチャなしにマシン上で実行されるスケジュール済み、繰り返しタスクが必要である。
- 許可モデルを信頼し、ローカルファイルアクセスを付与するのが快適である。
- 一時的なセッション管理より「説明して忘れる」タスク委任を優先する。
実践的なポイント: API サンドボックスはインフラストラクチャです。Cowork はツールです。インフラストラクチャは、多くの小さく予測可能なジョブをオーケストレーションする場合に最適に機能します。ツールは、コンテキストとメモリが必要な知識作業を委任する場合に最適に機能します。各々のセキュリティ姿勢は異なります—より優れているか悪いか、異なります—そしてあなたの脅威モデルは、どのトレードオフが許容可能であるかを決定します。
任意の規模でブラウザ自動化を展開する場合は、API サンドボックスから始めてください。特定の知識作業タスクの上に Cowork を重ねることは常に可能です。ただし、許可しているものを理解することなく、デスクトップで信頼できない自動化を実行しないでください。