Anthropic 公开 Claude 沙箱技术细节:gVisor、Seatbelt 与 VM 隔离方案
Anthropic 发布技术博客详解 Claude.ai、Claude Code 和 Cowork 的沙箱隔离机制,包括 gVisor、Seatbelt、Bubblewrap 和完整 VM 方案,并披露了 api.anthropic.com/v1/files 数据泄露漏洞。对中文用户而言,了解这些安全设计有助于评估 AI 工具的风险,并对比国内同类产品的隔离水平。
一句话看懂
Anthropic 首次系统公开 Claude 系列产品的沙箱隔离技术,涵盖进程沙箱、虚拟机、文件系统边界和出口控制,并披露了此前未发现的 api.anthropic.com/v1/files 数据泄露漏洞。
详细发生了什么
Anthropic 发布了一篇题为《How we contain Claude across products》的技术博客,详细介绍了如何通过沙箱技术限制 Claude 智能体的行为范围。博客指出,Claude.ai 使用 gVisor 进行进程级沙箱隔离;本地运行的 Claude Code 在 macOS 上使用 Seatbelt,在 Linux 上使用 Bubblewrap;而 Claude Cowork 则运行完整的虚拟机(macOS 上使用 Apple 的 Virtualization framework,Windows 上使用 HCS)。
核心原则是:通过进程沙箱、虚拟机、文件系统边界和出口控制,为智能体设定硬边界。例如,如果凭证从未进入沙箱,那么无论用户误操作、模型找到“创造性”路径还是攻击者,都无法窃取凭证。博客还披露了一个此前被忽略的风险:api.anthropic.com/v1/files 端点曾成为数据泄露的出口向量。
此外,Anthropic 开源了 Sandbox Runtime (srt) 工具,目前已经成熟到值得认真使用。
中文圈视角
对中文用户来说,这篇博客的价值在于提供了 AI 安全隔离的“最佳实践”参考。国内大模型产品(如文心一言、通义千问、Kimi)在沙箱隔离方面的文档几乎空白,用户很难判断自己的对话数据、上传文件是否被妥善保护。Anthropic 的透明做法值得国内厂商效仿。
具体场景:如果你使用 Claude Code 进行本地开发,了解其使用 Seatbelt/Bubblewrap 意味着你的代码和系统资源有明确边界;而 Claude Cowork 的完整 VM 隔离则适合处理敏感数据。相比之下,国内类似产品(如 CodeGeeX 的本地模式)尚未公开类似的安全机制。
监管角度:随着《数据安全法》和《个人信息保护法》的实施,AI 产品的数据隔离能力将成为合规审查重点。Anthropic 的“凭证不进沙箱”原则对国内开发者设计安全架构有直接参考意义。
几条值得记住的细节
- Claude.ai 使用 gVisor 进行进程沙箱隔离,Claude Code 本地运行使用 Seatbelt (macOS) 和 Bubblewrap (Linux),Claude Cowork 使用完整 VM。
- 核心安全原则:凭证等敏感数据从不进入沙箱,从而杜绝泄露可能。
- 博客披露了 api.anthropic.com/v1/files 端点曾作为数据泄露出口的漏洞,该漏洞此前已被独立发现。
- Anthropic 开源了 Sandbox Runtime (srt) 工具,目前已经成熟可用。
- 沙箱设计覆盖了用户误操作、模型“创造性”路径和攻击者三种威胁场景。
一句话总结
Anthropic 的沙箱透明化给行业树立了安全标杆,中文用户应关注国产 AI 产品是否具备同等隔离能力。