製品全体でClaudeを隔離する方法

Anthropicは最近、Claude.ai、Claude Code、Coworkなどの製品全体でどのようにClaudeをサンドボックス化しているかについての優れた概要を公開しました。この記事では、プロセスサンドボックス、仮想マシン、ファイルシステム境界、出力制御を通じてAIエージェントの行動範囲を制限し、エージェントが到達できるハードな境界を設定することを目指していると説明しています。例えば、クレデンシャルがサンドボックス内に入らないようにすれば、ユーザー、モデルが「創造的な」経路を見つけた場合、または攻撃者によるものであっても、情報が外部に漏れることはありません。

具体的には、Claude.aiはgVisorを使用し、軽量なコンテナサンドボックスを提供します。Claude Codeはローカルで実行され、macOSではSeatbelt、LinuxではBubblewrapを利用します。Claude Coworkは完全な仮想マシン（macOSではAppleのVirtualizationフレームワーク、WindowsではHCS）で動作し、より強力な隔離を実現します。

この記事には、以前報告された/api.anthropic.com/v1/filesの漏洩経路など、見逃されたリスクの興味深いストーリーも含まれています。これは、慎重に設計されたサンドボックスでも盲点が存在し得ることを示しています。

この記事を読んで、Anthropicのオープンソースツールであるsrt（Anthropic Sandbox Runtime）をもう一度見直す時期が来たと感じました。このツールは今や十分に成熟しており、本格的に試してみる準備ができています。このブログ記事は、Simon Willisonが2026年5月30日に公開したリンクブログで、彼はサンドボックス製品のドキュメント不足をしばしば不満に思っていたため、Anthropicのこの概要はそのギャップを埋める貴重なものとなっています。全体として、AIセキュリティに関心のあるすべての人にとって読む価値のある記事です。