我们如何在各产品中约束Claude
How we contain Claude across products
Anthropic 发布了一份关于其沙箱技术如何约束 Claude 的概述,涵盖 Claude.ai、Claude Code 和 Cowork 产品。Claude.ai 使用 gVisor,本地 Claude Code 在 macOS 上使用 Seatbelt、Linux 上使用 Bubblewrap,Claude Cowork 运行完整虚拟机(macOS 用 Apple Virtualization framework,Windows 用 HCS)。通过进程沙箱、虚拟机、文件系统边界和出口控制为 agent 设定硬边界,防止凭证外泄。文中还提及了 api.anthropic.com/v1/files 数据外泄途径等风险案例。
我们如何在各产品中约束 Claude
我常对沙箱产品的一个抱怨是,它们很少被彻底文档化,而在缺乏详细文档的情况下,很难判断我能在多大程度上信任它们。Anthropic 刚刚发布了一篇出色的概述,介绍了其多种沙箱技术如何在 Claude.ai、Claude Code 和 Cowork 中运作。我们通过进程沙箱、虚拟机、文件系统边界和出口控制来约束 agent 的行动地点和方式。目标是为 agent 能触及的范围设定一个硬边界。例如,如果凭证从未进入沙箱,那么无论原因是用户、模型找到了一条"创造性"路径,还是攻击者,它们都无法被窃取。
Claude.ai 使用 gVisor。本地运行的 Claude Code 在 macOS 上使用 Seatbelt,在 Linux 上使用 Bubblewrap。Claude Cowork 则运行一个完整的虚拟机(macOS 上使用 Apple 的 Virtualization framework,Windows 上使用 HCS)。这里面内容很多,包括一些他们曾遗漏的风险的有趣案例,例如之前报道过的 api.anthropic.com/v1/files 数据外泄途径。这提醒我,是时候重新审视 Anthropic 的开源工具 srt(Anthropic Sandbox Runtime)了——它现在已经足够成熟,我准备认真尝试一下。
标签:沙箱、安全、AI、生成式AI、大语言模型、Anthropic、Claude、Claude Code