我们如何在各个产品中隔离Claude

Anthropic最近发布了一篇出色的文章，详细介绍了他们如何在Claude.ai、Claude Code和Cowork等产品中实施沙箱技术。文章指出，他们通过进程沙箱、虚拟机、文件系统边界和出口控制来限制AI代理的行动范围，目的是设定一个硬性边界，防止代理越界。例如，如果凭据从未进入沙箱，那么无论原因是用户、模型找到“创意”路径还是攻击者，它们都无法被泄露。

具体而言，Claude.ai使用了gVisor，这是一种轻量级的容器沙箱，能够有效地隔离进程。Claude Code在本地运行，macOS上使用Seatbelt，Linux上使用Bubblewrap，这些工具提供了操作系统级别的沙箱保护。而Claude Cowork则运行完整的虚拟机，macOS上使用Apple的Virtualization框架，Windows上使用HCS，提供了更强的隔离性。

文章还分享了一些有趣的风险案例，例如之前报道过的/api.anthropic.com/v1/files泄露向量，展示了即使精心设计的沙箱也可能存在盲点。这个例子表明，沙箱设计需要持续关注和更新。

作为读者，这篇文章提醒了我去关注Anthropic开源的srt（Anthropic Sandbox Runtime）工具。它现在已经足够成熟，我准备正式尝试使用。这篇文章是Simon Willison于2026年5月30日发布的链接博客，他常常抱怨沙箱产品缺乏详细文档，而Anthropic的这篇概述恰好填补了这一空白。总的来说，这是一篇值得每个关注AI安全的人阅读的文章。