Anthropic 解释 Claude 的产品沙箱隔离

关键信息

Anthropic 表示，其目标是在代理可访问范围上建立硬边界，因此如果凭据从未进入沙箱，就无法被窃取。Claude.ai 使用 gVisor，Claude Code 在 macOS 上使用 Seatbelt、在 Linux 上使用 Bubblewrap，而 Claude Cowork 则运行在完整虚拟机中，macOS 上使用 Apple 的 Virtualization framework，Windows 上使用 HCS。

资讯摘要

Simon Willison 之所以关注这篇 Anthropic 的工程文章，是因为沙箱隔离通常缺乏详细文档，而没有这些细节，就很难判断一个系统到底有多值得信任。Anthropic 的文章说明了它并不是对所有产品使用同一种隔离方式，而是针对不同产品采用不同的 containment 策略。公司表示，它通过进程沙箱、虚拟机、文件系统边界和出站网络控制，来为代理可访问的范围设定硬边界。它举的例子很直接：如果凭据从未进入沙箱，那么无论风险来自用户、模型走出意外路径，还是攻击者，都不可能把这些凭据导出。

文章进一步对应了具体产品的实现方式：Claude.ai 使用 gVisor，Claude Code 在 macOS 上使用 Seatbelt、在 Linux 上使用 Bubblewrap，而 Claude Cowork 在 macOS 和 Windows 上都运行在完整虚拟机里。Willison 还提到，文章里讨论了 Anthropic 曾经遗漏的一些风险，包括他此前报道过的 api.anthropic.com/v1/files 外泄路径。最后，他表示这篇文章让他想重新评估 Anthropic 开源的 sandbox-runtime（srt）项目，因为它现在看起来已经成熟到可以认真试用了。

资讯正文

我经常对沙箱化产品有一个抱怨：它们很少被彻底地文档化；而在缺乏详细文档的情况下，我很难知道自己能在多大程度上信任它们。

Anthropic 刚刚发布了一篇非常出色的概述，介绍他们在 Claude.ai、Claude Code 和 Cowork 上分别如何运用各种沙箱技术。

“我们通过进程沙箱、虚拟机、文件系统边界和外联控制，限制代理能够在何处以及如何行动。目标是为代理可触及的范围设定一道硬边界。例如，如果凭证从未进入沙箱，那么无论原因是用户、模型找到了一条‘创意’路径，还是攻击者，都无法将其外传。”

Claude.ai 使用 gVisor。Claude Code 在本地运行时，在 macOS 上使用 Seatbelt，在 Linux 上使用 Bubblewrap。Claude Cowork 则运行完整的虚拟机（macOS 上使用 Apple 的 Virtualization framework，Windows 上使用 HCS）。

其中有很多内容，包括一些他们遗漏的有趣风险案例，比如此前已在这里提到过的 <code>api.anthropic.com/v1/files</code> 数据外传向量。

这也让我想起，是时候再看看 Anthropic 的开源 <a href="https://github.com/anthropic-experimental/sandbox-runtime">srt（Anthropic Sandbox Runtime）</a> 工具了——它已经足够成熟，我准备认真试一试。

来源与参考

1. 原始链接
2. How we contain Claude across products