我們如何在各個產品中隔離Claude

Anthropic最近釋出了一篇出色的文章，詳細介紹了他們如何在Claude.ai、Claude Code和Cowork等產品中實施沙箱技術。文章指出，他們透過程序沙箱、虛擬機器、檔案系統邊界和出口控制來限制AI代理的行動範圍，目的是設定一個硬性邊界，防止代理越界。例如，如果憑據從未進入沙箱，那麼無論原因是使用者、模型找到“創意”路徑還是攻擊者，它們都無法被洩露。

具體而言，Claude.ai使用了gVisor，這是一種輕量級的容器沙箱，能夠有效地隔離程序。Claude Code在本地執行，macOS上使用Seatbelt，Linux上使用Bubblewrap，這些工具提供了作業系統級別的沙箱保護。而Claude Cowork則執行完整的虛擬機器，macOS上使用Apple的Virtualization框架，Windows上使用HCS，提供了更強的隔離性。

文章還分享了一些有趣的風險案例，例如之前報道過的/api.anthropic.com/v1/files洩露向量，展示了即使精心設計的沙箱也可能存在盲點。這個例子表明，沙箱設計需要持續關注和更新。

作為讀者，這篇文章提醒了我去關注Anthropic開源的srt（Anthropic Sandbox Runtime）工具。它現在已經足夠成熟，我準備正式嘗試使用。這篇文章是Simon Willison於2026年5月30日釋出的連結部落格，他常常抱怨沙箱產品缺乏詳細文件，而Anthropic的這篇概述恰好填補了這一空白。總的來說，這是一篇值得每個關注AI安全的人閱讀的文章。