$285 Milliarden weg. Was genau ist Cowork eigentlich?
Zwischen dem 3. und 5. Februar 2026 hat der Software-Sektor $285 Milliarden an Marktwert verloren. Thomson Reuters fiel um 16%. LegalZoom fast 20%. Der Auslöser war keine Rezession. Es war ein Desktop-App-Feature namens Claude Cowork — und 11 Plugins aus Markdown-Dateien.
Ich habe die letzten drei Wochen damit verbracht, Cowork technisch zu zerlegen. Nicht den Marketing-Pitch. Nicht die Panik-Narrative. Die Architektur.
Hier ist, was ich gefunden habe.
Was Claude Cowork tatsächlich ist
Cowork ist kein neues KI-Modell. Kein Durchbruch beim Reasoning. Es ist Claude Code — das terminalbasierte Agenten-Coding-Tool — neu verpackt für Nicht-Entwickler.
Anthropics offizielle Beschreibung: "Claude Code for the rest of your work."
Launch war am 12. Januar 2026, als Research Preview für Max-Abonnenten ($100-200/Monat). Am 16. Januar bekamen Pro-User ($20/Monat) Zugang. Team und Enterprise folgten am 23. Januar. Das Ganze wurde in ungefähr 10 Tagen gebaut — und hier wird's interessant: Der gesamte Code wurde von Claude Code selbst geschrieben. Boris Cherny, Head of Claude Code bei Anthropic, bestätigte: "All of the product's code was written by Claude Code."
Ein Tool, gebaut vom Tool, das es erweitert. Das ist die eigentliche Story, nicht die Börsenpanik.
Die Architektur: Eine VM, keine Magie
Simon Willison hat Cowork innerhalb weniger Tage nach dem Launch reverse-engineered und gefunden, was tatsächlich läuft: eine sandboxed Ubuntu-VM über Apples VZVirtualMachine — das Apple Virtualization Framework.
Keine Browser-Sandbox. Kein Docker-Container. Eine vollständige virtuelle Maschine.
Wenn du Cowork auf einen Ordner auf deinem Mac zeigst, wird dieser Ordner in die VM gemountet. Claude kann Dateien lesen, schreiben, erstellen, bearbeiten und löschen — aber nur innerhalb dieses gemounteten Verzeichnisses. Code läuft in der VM, isoliert von deinem Betriebssystem.
Das ist die Engineering-Entscheidung, die Cowork gleichzeitig tragfähig und gefährlich macht. VM-Isolation bedeutet, dass Claude echte Befehle ausführen kann (rm -rf inklusive), ohne dein System zu berühren — es sei denn, du hast den falschen Ordner gemountet.
Sub-Agents: Parallele Ausführung
Cowork verarbeitet Aufgaben nicht sequenziell. Es nutzt dasselbe Sub-Agent-Koordinationssystem, das auch in Claude Codes Agenten-Teams-Architektur steckt.
Komplexe Anfragen werden in Subtasks aufgeteilt. Mehrere Agenten arbeiten parallel, jeder verantwortet einen Workstream. Ein Agent organisiert deine Dateien, während ein zweiter eine Tabelle generiert und ein dritter Notizen zusammenfasst. Die Koordination läuft über dasselbe TeammateTool-System, das Claude Codes Multi-Agent-Workflows antreibt.
Deshalb können Tasks 10-30+ Minuten autonom laufen. Es ist nicht ein Modell, das härter nachdenkt — es sind mehrere Agenten, die Arbeit aufteilen.
Die Plugins, die die Märkte gecrasht haben
Am 30. Januar hat Anthropic 11 Open-Source-Plugins veröffentlicht. Fünf Tage später verdampften $285 Milliarden am Software-Markt.
Hier die vollständige Liste:
- Productivity — Slack, Notion, Asana, Linear, Jira, Monday, ClickUp, Microsoft 365
- Enterprise Search — Tool-übergreifende Dokumentensuche
- Plugin Create — Neue Plugins von Grund auf bauen
- Sales — Prospect-Research, Deal-Vorbereitung
- Finance — Finanzmodelle, Metrik-Tracking
- Legal — Vertrags-Review, NDA-Triage, Compliance
- Marketing — Content-Erstellung, Kampagnenplanung
- Customer Support — Ticket-Triage, Severity-Zuweisung
- Data Analyst — Snowflake-, BigQuery-Abfragen und Visualisierung
- Product — Produktdokumentation
- Research — Research-Workflows
Der Markt-Trigger war spezifisch das Legal Plugin. Berichte kamen auf, dass es "90% der Standard-NDA- und Compliance-Triage" automatisieren könne. Thomson Reuters — deren Legal-Software-Sparte Milliarden wert ist — fiel in zwei Tagen um 16%. Die vollständige Marktanalyse habe ich in meinem SaaSpocalypse-Artikel aufgeschlüsselt.
Aber hier ist, was die Finanzpresse nicht berichtet hat: Diese Plugins sind Markdown-Dateien. Kein kompilierter Code. Keine komplexe Infrastruktur. Keine Build-Steps.
Ein Plugin ist ein Ordner mit einer Manifest-Datei, einer MCP-Connection-Config, Slash-Commands (explizit aufgerufen) und Skills (Domain-Wissen, das automatisch aktiviert wird). Die "Skills" sind buchstäblich .md-Dateien, die beschreiben, wie ein Experte in diesem Bereich arbeitet.
Die Enterprise-Plugins, die einen $285-Milliarden-Selloff ausgelöst haben, sind Textdateien in einem Git-Repository.
Die Sicherheitslage
Ich beschönige das nicht. Cowork hat echte Sicherheitsprobleme, die Anthropic anerkannt aber nicht vollständig gelöst hat.
Die 11-GB-Löschung. User James McAulay testete Dateiorganisation. Cowork fragte um Erlaubnis, er gab sie, und es führte rm -rf aus — löschte permanent etwa 11 GB an Dateien. Nicht in den Papierkorb. Weg. Claude Code selbst bestätigte, dass eine Wiederherstellung unmöglich war. Die Dateien waren unkritisch, aber der Vorfall ging aus gutem Grund viral: Cowork fragte, der User sagte ja, und das Ergebnis war irreversibel.
Wöchentliche Insights zu AI-Architektur. Kein Spam.
Prompt Injection. Sicherheitsfirma PromptArmor fand, dass eine Schwachstelle, die ursprünglich in Claude Code entdeckt wurde (Oktober 2025), auch in Cowork vorhanden ist. Versteckte Anweisungen in Webseiten, Bildern oder Dokumenten können Claudes Verhalten kapern. Simon Willison nennt das die "Lethal Trifecta": Zugriff auf private Daten, Kontakt mit nicht vertrauenswürdigem Content und die Fähigkeit zur externen Kommunikation.
Datei-Diebstahl. PromptArmor demonstrierte, dass sie Claude dazu bringen konnten, sensible Dateien auf das Anthropic-Konto eines Angreifers hochzuladen. Die Offenlegung wurde öffentlich, nachdem Anthropic die Schwachstelle anerkannte, aber nicht behob.
Anthropics eigene Sicherheitsdokumentation: "The chances of an attack are still non-zero" und der Ratschlag, "Claude auf verdächtige Aktionen zu überwachen, die auf Prompt Injection hindeuten könnten." Sicherheitsforscher nennen diese Empfehlung unrealistisch für nicht-technische Nutzer — also genau die Zielgruppe von Cowork.
Was fehlt
Cowork ist eine Research Preview, und die Einschränkungen sind sichtbar:
- Nur macOS. Kein Windows, kein Web, kein Mobile. Windows ist "in Arbeit" — ohne Zeitplan.
- Keine Projects-Integration. Cowork funktioniert nicht innerhalb von Claude Projects.
- Kein Gedächtnis über Sessions hinweg. Jede Sitzung startet bei Null.
- Kein Session-Sharing. Ergebnisse lassen sich nicht teilen.
- Keine Audit-Logs. Nicht in Compliance API oder Data Exports erfasst.
- Desktop-App muss offen bleiben. Deckel zu, Task verloren.
Anthropics eigene Warnung: "Do not use for regulated workloads."
Die Token-Steuer
Cowork-Tasks verbrauchen deutlich mehr Tokens als normaler Claude-Chat. Eine einzelne Session zum Organisieren eines 500-Dateien-Ordners verbrauchte das Äquivalent von über 40 regulären Chat-Nachrichten.
| Plan | Monatliche Kosten | Cowork-Zugang |
|---|---|---|
| Free | $0 | Nein |
| Pro | $20 | Ja (limitiert) |
| Max 5x | $100 | ~225 Messages/5h |
| Max 20x | $200 | ~900 Messages/5h |
| Team | $125/Seat | 5x Standard |
Usage resettet alle 5 Stunden, nicht täglich. Pro-User stoßen schnell an Limits. Die echten Kosten von Cowork liegen nicht im Abo — sondern im Token-Verbrauch.
Der Engineering-Take
Die meiste Berichterstattung über Cowork ist entweder "das ersetzt alle Wissensarbeiter" oder "total overhyped." Beides verfehlt die eigentliche Engineering-Story.
Bottom-up-Entwicklung. Anthropic hat zuerst Claude Code gebaut — ein Developer-Tool. In Produktion bewiesen. Dann für Nicht-Entwickler abstrahiert. Das ist das Gegenteil jedes gescheiterten "KI-Assistenten", der mit einer schicken UI startete und kein agentic Backbone hatte. Ich habe darüber geschrieben, warum dieser Bottom-up-Ansatz für agentische Systeme entscheidend ist.
Rekursive Konstruktion. Claude Code hat Cowork gebaut. Das Tool hat das Tool gebaut. In 10 Tagen. Die Implikation für Entwicklungsgeschwindigkeit sollte Enterprise-Software-Unternehmen besorgen — nicht die aktuellen Fähigkeiten, sondern die Iterationsgeschwindigkeit.
Plugins sind das eigentliche Produkt. Die VM, die Sub-Agents, die Sandbox — das ist Infrastruktur. Die Erkenntnis ist, dass Enterprise-Workflows als Markdown-Dateien abgebildet werden können. Skills + MCP-Connectors + Slash-Commands. Keine komplexe Software nötig. Das hat den Markt gecrasht: nicht die Technologie selbst, sondern die Erkenntnis, dass Enterprise-Wissen als Textdateien absurd replizierbar wird.
Prompt Injection ist ungelöst. Anthropic ist ehrlicher darüber als die Konkurrenz. Die 11-GB-Löschung und der PromptArmor-File-Theft-Demo sind real. Wer Cowork für sensible Arbeit einsetzt, sollte verstehen, dass das Sicherheitsmodell auf Nutzer-Wachsamkeit basiert — die schwächste mögliche Verteidigung.
"Vibe Working"
Scott White, Anthropics Head of Product für Enterprise, prägte den Begriff auf CNBC: "I think that we are now transitioning almost into vibe working."
Das Konzept: Vibe Coding ließ Entwickler Intent beschreiben und KI den Code schreiben. Vibe Working erweitert das auf alle — beschreibe das Ergebnis, lass Agenten ausführen. Finance, Legal, Research, Analyse.
Microsoft übernahm den Begriff sofort für ihren eigenen Copilot Agent Mode. Ob der Begriff bleibt, ist egal. Das Muster — intent-basierte Delegation an KI-Agenten — ist da.
Das Fazit
Cowork ist echtes Engineering, eingewickelt in Research-Preview-Limitierungen. Die VM-Architektur ist solide. Das Sub-Agent-System funktioniert. Das Plugin-Framework ist elegant in seiner Einfachheit.
Aber es ist nur macOS, hat kein Gedächtnis, keinen Audit-Trail, bekannte Sicherheitslücken und verbrennt Tokens schneller als erwartet.
Für Entwickler, die bereits Claude Code nutzen, ist Cowork interessant aber nicht essenziell — ihr habt bereits die mächtigere Version. Für nicht-technische Wissensarbeiter ist es ein ehrlicher Vorgeschmack auf das, was kommt, mit echten Risiken.
Die $285-Milliarden-Marktreaktion galt nicht dem, was Cowork heute kann. Sondern dem, was die Architektur für morgen impliziert.