Cowork 与 OpenWork:90 分钟速成课
15 个概念,覆盖真实使用中的 80%
这是一门实践速成课,讲两种住在你电脑上的 agentic co-workers:Claude Cowork(Anthropic)和 OpenWork(open-source、MIT、OpenCode-powered)。它们不是 chatbot,而是能自主规划并执行多步骤知识工作的 co-worker:读取本地文件、调用服务、跨 apps 和 browser 工作,最后交回完成的 deliverables。读完后,你会知道主要组件做什么、什么时候用哪一个,以及两种工具的 failure modes 藏在哪里。
适合谁。 任何一天中不断在 documents、spreadsheets、email 和 meeting notes 之间移动信息的人:律师、会计、市场、HR、医疗管理者(涉及 PHI 时见 Part 5 的 caveats),以及 consultants、analysts、founders。真正的技能是 delegation;你不需要会写代码,也不需要知道 API 是什么。
做好这件事,本质上是 delegation problem。 本章每个决定(如何描述 task、agent 能看哪些 folders、是否打开「act without asking」)都回到一个问题:这个任务到底需要多少 oversight? 无论使用哪个工具,都要用这个 lens 阅读。
前置要求:2026 年 AI Prompting。 那里的 13 个概念,是本章的 substrate:像 briefing 同事一样 briefing AI、context 是整个游戏、thinking mode、neutral framing、iterate loop、AI desktop apps and permissions、models checking models。本页讲的是,当 AI 能打开 folders、调用 connectors、代你行动时,这些纪律长什么样。
- 像 briefing 一位聪明但不了解上下文的新同事那样 briefing agent。 vague prompts 得到 vague answers;specific briefs 要包含 constraints、examples、deliverable audience 和任务背后的 why。
- 给 context,不要 dump context。 agent 会读你放到它面前的一切,包括无关内容。只附真正需要的文件,说明重要 constraint,写清 output format。
- 迭代 plan,而不是事后修 output。 出错时,在 work run 之前 redirect。plan stage 的一句 correction 几乎没有成本;错误执行后的清理会吃掉一下午。
- Delegate,不要 query。 两个工具都是可被分配任务的 co-workers,不是可被问问题的 chatbots。
- 三个 trust levers:folders、connectors、approvals。 建专用工作 folder,只授权它;每个 connector 单独决定 scope;先保守使用 ask-before-acting。
- plan 才是 leverage,不是 output。 让 agent 在碰文件前先写 plan,并认真读。
- autonomy ladder 要慢慢爬。 closely watch → ambient supervision → walk away → high-autonomy → scheduled。
- untrusted content 永远用 cautious mode。 对方律师邮件、inbound resume、vendor PDF、unknown webpage 都可能带 prompt injection。
图 1:承载本章大部分价值的五条操作纪律。
Install
两个工具,不是一个。是有意的。 本章教的 discipline 要能超越单一工具:pricing、model availability、data-residency requirements 都不应该让你学到的经验失效。task loop 和核心 primitives(skills、connectors、sub-agents)在两边一致;ecosystem 不同,scheduling 是差异较大的一项(Cowork 内置,OpenWork 没有,见 §15)。如果一个技巧只适用于 Cowork,那是 Cowork trick;如果两边都适用,那才是 AI desktop work 的真实行为。
刚接触时,先从 Cowork 开始。 它的 surface 更 polished,第一次成功任务摩擦最低。OpenWork 更年轻、发布频繁,在你需要选择 model provider、控制 work 在哪里运行、组合 plugins 时更有回报。这里学到的内容可迁移;之后可以在两者之间移动。
Cowork 是 paid-tier feature,需要 Anthropic Pro、Max、Team 或 Enterprise plan。Claude Desktop app 可免费下载;付费账号登录后会出现 Cowork tab。
- 从 claude.com/download 下载 Claude Desktop。
- 使用 Anthropic account 登录。
- 点击窗口顶部 Cowork tab。
Connectors、skills、plugins 和 projects 都在 Cowork tab 内访问。Cowork docs:support.claude.com。
Where these tools live
两个工具都是 desktop apps,但组织方式不同。
Cowork 位于 Claude Desktop 顶部的 Cowork tab。窗口有三块:左侧 navigation sidebar,中间 conversation area(agent 会 inline narrate 每一步),右侧 files 和 context panel。prompt 旁边的 + 是添加 files、Skills、Connectors、Plugins 的主入口。
Claude Desktop 中的 Cowork 空主视图。
prompt 旁的 + 菜单,是扩展 Cowork session 的统一入口。
Try it now(五分钟,适用于你安装的任一工具)
-
打开 Claude Desktop 顶部 Cowork tab。先建一个工作 folder,例如
~/Claude-Workspace/。 -
输入 read-only prompt:
List the files in this folder. Don't open or read any files yet. -
第一次需要 file access 时,Cowork 会在 conversation 中展示 inline permission card。点击 Choose folder,选择工作 folder。
Cowork 的 folder-permission card。 -
等文件列表出现在 conversation 中。
Part 1:Foundations
1. What these tools actually are
Cowork 和 OpenWork 是 desktop agents,不是 chat windows。它们会读取 files、规划 multi-step work、调用 connectors 或 plugins,并把 finished deliverable 交给你。正确使用方式是 assignment:写清 outcome、constraints、audience、source materials 和 why。
2. The architecture in three pieces
两者都由三部分组成:desktop app(UI 和 local files)、agent runtime(planning、tool calls、session state)、model provider(实际 reasoning 和 generation)。OpenWork 更 local-first,但 prompts 仍会发往你配置的 model provider;「local」描述的是 app/run loop 所在位置,不等于 prompts 永远不离开机器。
3. Folders, connectors, approvals:trust model
三个 trust levers 决定 agent 能做什么:
- Folders: agent 能读写什么。用专用 working folder,不要直接授权整个
Documents。 - Connectors: agent 能访问哪些外部服务。每个 connector 都是单独 security decision。
- Approvals: agent 何时暂停等待你的 OK。默认保持 cautious;任务类型有 track record 后,再提高 autonomy。
Cowork 的 folder gate 是 mid-session 出现;OpenWork 的 folder gate 在 workspace creation 时 front-loaded。
Your first real task:multi-source follow-up brief
第一个真实任务应低风险但有实际价值:把 call notes、chat thread 和客户资料合成一份 follow-up brief。brief 要写成 assignment:
Read the three files in this workspace: acme-call-notes.md,
acme-chat-thread.md, and acme-questions.md.
Before writing anything, propose a plan. After I approve the plan,
draft acme-followup.md with:
- open questions
- next-step email
- risks and owner list
Do not send anything.
这个 task 教会你四件事:如何限制 context、如何让 agent 先 plan、如何让它写 file 而不发送、如何 review deliverable。
Part 2:Context, sessions, and projects
4. The plan is the leverage
agent 执行前的 plan review,是最高杠杆环节。两分钟读 plan,可以避免两小时 cleanup。要求 agent 在接触 files 或 connectors 前先写 plan;你检查 scope、order、tools、assumptions,再 approve 或 redirect。
5. Context still costs money
context 仍然是稀缺资源。把整个 matter folder 丢进去,会让 irrelevant text 稀释 signal,也增加 token cost。好的 delegation 是 small bundle:相关 files、关键 constraints、输出格式、读者是谁、不能做什么。
6. Persistent workspaces for recurring work
重复任务应放进稳定 workspace:固定 folder、固定 instructions、固定 connectors、固定 output path。这样每次运行的 context 可预测,review 也更容易。
Part 3:Rules and instructions
7. Global, folder, and session instructions
instructions 分三层:global(你长期偏好)、folder/project(某个 workspace 的规则)、session(本次 task 的规则)。越靠近 session,越具体;越靠近 global,越稳定。
8. "ask me questions before you execute" pattern
高风险或模糊任务,用这个 pattern:先让 agent 提问题,直到 ambiguity 消失;再让它写 plan;你 approve 后才执行。这比事后修错便宜。
Part 4:Extending the tool
9. Skills
Skills 是可加载的操作流程。Cowork 通过 Skills tab 管理;OpenWork 通过 workspace settings 管理 skill folders。
好的 Skill 写 process,不写答案:何时使用、要问什么、怎样验证、什么不能做。
10. Connectors
Connectors 把 agent 接到外部 services:mail、drive、calendar、CRM、Slack、Notion 等。每个 connector 都要单独授权、单独评估最小 scope。read permission 不等于 send permission;能读 CRM 不等于能改 deal stage。
11. Plugins
Plugins 扩展工具本身。Cowork 有 plugin directory;OpenWork 通过 opencode.json 和 OpenCode plugin ecosystem 配置。plugin 是 power tool,也扩大 attack surface。只装你读得懂、信得过、需要的 plugin。
12. Sub-agents
Sub-agents 用于 parallel inspection 或 multi-perspective review。适合三种模式:fan-out(N 个 items 各做 X)、dimension(同一对象按 N 个 dimensions 分析)、compare(A 与 B 对比)。
Part 5:Safety and the autonomy ladder
安全不是单独一节,而是 delegation 的核心。你不是在「让 AI 更聪明」,而是在决定一个外部系统能代表你做多少事。
13. The autonomy ladder
一类 task 每次只爬一格。新客户、新 connector、新 edge case,都要退回一格。scheduled 只能用于你已经信任到可以 walk away 的任务。
14. Prompt injection is a real attack class
untrusted text 可能包含 agent 会读成命令的内容:对方律师邮件、vendor PDF、webpage、inbound resume。所有接触 untrusted text 的任务都用 cautious mode,避免 high-autonomy,限制 connectors,先 review plan。
15. Scheduled tasks need extra care
scheduled task 是最高 autonomy 的常见形态。Cowork 有内置 scheduling;OpenWork 需要外部 scheduler 或 routine pattern。只有满足三条才 schedule:任务类型已有 clean track record;inputs 范围稳定;outputs 不会自动发送或改动关键系统。
Part 6:A complete worked example, twice
Recurring weekly brief:same task, two surfaces
任务:每周一早上,从 articles folder、Slack #industry-news、Notion "Ongoing Themes" 生成 one-page industry brief。输出包括 top 3 stories with links、一段本周变化、最多 3 个 new themes,保存为 weekly-brief-YYYY-MM-DD.md。不要自动发送。
Cowork 版本:创建 scheduled task,连接必要 connectors,先让它 plan,再 schedule。OpenWork 版本:用 workspace + saved instruction + external scheduler 或手动 routine 运行同一 prompt。
What to notice:same lessons, two surfaces
两边表面不同,但 discipline 相同:限定 sources、先 plan、只写 file 不发送、输出固定 path、每周 review、当 source set 改变时降低 autonomy。
Part 7:Where to grow
Connector combinations are where the real value lives
价值来自组合:mail + calendar + CRM,drive + docs + Slack,spreadsheet + finance system + memo output。组合越强,permission review 越重要。
Audits, in either tool
定期让 agent 审计某个 folder、project 或 workflow:哪些 files stale,哪些 instructions 冲突,哪些 connector scope 过宽,哪些 scheduled tasks 需要 review。
When your team uses the same tool
团队使用同一工具时,最重要的是 shared instructions、shared working folders、review norms 和 naming conventions。否则每个人都在训练自己的小系统,组织层面没有 leverage。
Cross-model review for high-stakes outputs
高风险输出可用另一模型 review:让 Cowork 写,让 OpenWork 或另一个 model 做 critique。不要把 model disagreement 当 truth;把它当作需要人判断的 signal。
How to actually get good at this
从低风险、高重复任务开始。每次任务后记录两件事:brief 哪里写得好,plan 哪里差点出错。把可复用内容升级成 project instructions 或 Skill。真正的能力来自可重复 delegation,而不是一次漂亮 demo。
First week path(任一工具)
- Day 1:创建专用 workspace,跑 read-only file listing。
- Day 2:做 multi-source follow-up brief,不允许发送。
- Day 3:把一条重复规则写进 project instructions。
- Day 4:连接一个低风险 connector,只读使用。
- Day 5:做一次 sub-agent fan-out review。
- Day 6:审计你的 instructions 和 folder scope。
- Day 7:选择一个任务类型,决定是否从 watching closely 升到 ambient supervision。
Quick reference
The 15 concepts in one line each
- Co-worker,不是 chatbot。
- Architecture = app + runtime + provider。
- Trust = folders + connectors + approvals。
- Plan review 是 leverage。
- Context 仍然花钱。
- Workspace 让重复任务稳定。
- Instructions 分 global / project / session。
- 模糊任务先问问题再执行。
- Skills 编码流程。
- Connectors 扩展外部服务。
- Plugins 扩展工具本身。
- Sub-agents 用于 parallel perspectives。
- Autonomy ladder 慢慢爬。
- Prompt injection 真实存在。
- Scheduled tasks 是高 autonomy,需要 track record。
Action quick-ref
| Need | Cowork | OpenWork |
|---|---|---|
| Add files | prompt 旁 + | workspace folder / attach |
| Add Skill | + → Skills 或 Skills tab | Settings → Skills |
| Add connector | + → Connectors | Settings → Extensions / MCP |
| Add plugin | + → Plugins | opencode.json / Settings |
| Schedule | built-in Scheduled tab | external scheduler / routine |
Trust-level decision tree(both tools)
- Does task touch untrusted text? → cautious mode.
- Could wrong output send money, email, legal position, PHI, or customer-visible change? → require approval.
- Has this exact task type run cleanly several times? → consider ambient supervision.
- Would you trust it while away from keyboard? → only then consider scheduled.
Audit checklist(monthly, both tools)
- working folders 是否仍然最小?
- connectors 是否 scope 过宽?
- scheduled tasks 是否仍然需要?
- instructions 是否冲突或过期?
- outputs 是否被 review?
Cowork vs. OpenWork:honest comparison
Cowork 更 polished、更适合第一天 productive、scheduling 内置、Anthropic ecosystem 更紧。OpenWork 更 open、provider choice 更强、local/workspace control 更强、适合 power users 和 teams 自定义。学 discipline,不要迷信 surface。
Appendix A:OpenWork power-user reference
A.1:OpenWork configuration files at a glance
OpenWork / OpenCode 通常通过 workspace settings、opencode.json、skills folders 和 environment variables 管理配置。具体路径以 live app 为准。
A.2:Skills folder layout
常见形状:
project/
.agents/
skills/
my-skill/
SKILL.md
A.3:Plugins via opencode.json
插件通过 project 或 global config 声明。只添加你需要且愿意审计的 package。
A.4:Team distribution via shared repo
团队可以把 shared skills、instructions templates、workspace conventions 放在 shared repo 中分发;个人 secrets 不要进入 repo。
A.5:Where to look when something doesn't match
OpenWork 发版快。若 UI 路径与本课不同,优先看 in-product docs、release notes 和 current Settings。
Appendix B:Plain-English glossary
- Connector: 让 agent 访问外部服务的授权连接。
- Plugin: 扩展 app 或 harness 能力的包。
- Skill: agent 按需读取的流程说明。
- Workspace: agent 可见的工作范围和文件上下文。
- Approval mode: agent 何时必须停下来等你批准。
- Sub-agent: 为一个子任务或视角启动的并行 agent。
- Scheduled task: 按时间重复运行的 agent task。
- Prompt injection: untrusted text 中的恶意或误导 instructions,试图控制 agent 行为。