我們如何在各個產品中隔離Claude

Anthropic最近發佈了一篇出色的文章，詳細介紹了他們如何在Claude.ai、Claude Code和Cowork等產品中實施沙箱技術。文章指出，他們通過進程沙箱、虛擬機、文件系統邊界和出口控制來限制AI代理的行動範圍，目的是設定一個硬性邊界，防止代理越界。例如，如果憑據從未進入沙箱，那麼無論原因是用户、模型找到“創意”路徑還是攻擊者，它們都無法被泄露。

具體而言，Claude.ai使用了gVisor，這是一種輕量級的容器沙箱，能夠有效地隔離進程。Claude Code在本地運行，macOS上使用Seatbelt，Linux上使用Bubblewrap，這些工具提供了操作系統級別的沙箱保護。而Claude Cowork則運行完整的虛擬機，macOS上使用Apple的Virtualization框架，Windows上使用HCS，提供了更強的隔離性。

文章還分享了一些有趣的風險案例，例如之前報道過的/api.anthropic.com/v1/files泄露向量，展示了即使精心設計的沙箱也可能存在盲點。這個例子表明，沙箱設計需要持續關注和更新。

作為讀者，這篇文章提醒了我去關注Anthropic開源的srt（Anthropic Sandbox Runtime）工具。它現在已經足夠成熟，我準備正式嘗試使用。這篇文章是Simon Willison於2026年5月30日發佈的鏈接博客，他常常抱怨沙箱產品缺乏詳細文檔，而Anthropic的這篇概述恰好填補了這一空白。總的來説，這是一篇值得每個關注AI安全的人閲讀的文章。