我们如何在各产品中管控 Claude
TL;DR · AI 摘要
Anthropic 公开其在 Claude.ai、Claude Code 和 Claude Cowork 中部署的多层沙箱策略:包括 gVisor、Seatbelt/Bubblewrap 及全虚拟机方案,核心目标是通过进程隔离、文件系统边界与出站流量控制构建硬性安全边界,防止凭证泄露——例如即使模型找到‘创意路径’,只要凭证不进入沙箱,就无法被窃取。
核心要点
- Claude.ai 使用 gVisor 实现容器级沙箱;Claude Code(本地运行)采用 Seatbelt(macOS)/Bubblewrap(Linux
- 沙箱设计核心原则是‘凭证永不进入沙箱’,从而无论用户、模型或攻击者触发何种路径,都无法实现数据外泄。
- Anthropic 曾遗漏 `api.anthropic.com/v1/files` 文件外泄风险,该漏洞已在2026年1月被披露,凸显持续审计与红队测试的重
结构提纲
按章节快速跳转。
作者指出当前多数沙箱产品缺乏详尽文档,导致难以评估其可信度;Anthropic 此次发布详细技术概览填补空白。
Claude.ai 使用 gVisor;Claude Code(本地)采用 Seatbelt(macOS)/Bubblewrap(Linux);Claude Cowork 部署完整 VM(macOS: Virtualization framework;Windows: HCS)。
通过进程沙箱、VM、文件系统边界与出站控制设置不可逾越的安全边界,确保凭证不进入即无法外泄,无论来源是用户、模型还是攻击者。
提及曾漏掉 `api.anthropic.com/v1/files` 外泄路径,推动作者重新评估 Anthropic 开源的 srt(Sandbox Runtime)工具成熟度并计划实际测试。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- Anthropic Claude 多产品沙箱策略
- 产品分类与沙箱选型
- Claude.ai → gVisor 容器沙箱
- Claude Code → Seatbelt (macOS) / Bubblewrap (Linux)
- Claude Cowork → 全虚拟机 (macOS: Virtualization; Windows: HCS)
- 核心安全原则
- 凭证不入沙箱 = 无外泄可能
- 硬边界:进程/VM/FS/出口控制四层防护
- 经验教训与改进
- 曾漏掉 api.anthropic.com/v1/files 外泄路径
- 推动开源 srt 工具落地验证
金句 / Highlights
值得收藏与分享的关键句。
我们通过进程沙箱、虚拟机、文件系统边界和出站控制来约束代理的行为范围。目标是设定一个不可逾越的边界,以限制代理所能触及的范围。
如果凭证从未进入沙箱,它们就无法被窃取,无论原因来自用户、模型发现的‘创意路径’,还是攻击者。
这里包含大量内容,包括一些他们曾错过的风险案例,例如 `api.anthropic.com/v1/files` 文件外泄路径,此前已在此处讨论过。
2026年5月30日 - 链接博客
[我们如何在各产品中对 Claude 进行管控](https://www.anthropic.com/engineering/how-we-contain-claude)。我常有的一个抱怨是,许多沙箱产品的文档往往不够详尽;而在缺乏详细说明的情况下,很难判断其可信度究竟有多高。
Anthropic 最近发布了一篇精彩概述,介绍了其在 Claude.ai、Claude Code 和 Cowork 等产品中所采用的各类沙箱技术原理。
我们通过进程沙箱、虚拟机(VM)、文件系统边界以及出站控制等手段,限制代理的行动范围与方式,目标是为代理设定一道硬性边界。例如,若凭据从未进入沙箱环境,则无论诱因是用户、模型找到“创意”路径,还是攻击者所为,都无法实现凭据外泄。
- Claude.ai 使用 gVisor;
- Claude Code 在本地运行时,macOS 上使用 Seatbelt,Linux 上则使用 Bubblewrap;
- Claude Cowork 则运行完整虚拟机(macOS 上基于 Apple 的虚拟化框架,Windows 上则使用 HCS)。
文章内容丰富,还包含一些他们曾错过的风险案例,例如 api.anthropic.com/v1/files 文件外泄路径——此前我在 这篇博文 中已对此进行过讨论。
这让我意识到,是时候再次审视 Anthropic 开源的 srt(Anthropic 沙箱运行时) 工具了——它已足够成熟,我也已准备好认真尝试一番。