Agent 安全:从权限提示到沙箱隔离

原文:Beyond permission prompts: Claude Code sandboxing | Anthropic Engineering Blog | 2025.10.20

导语

Claude Code 需要访问你的代码库和文件来辅助编码,但这带来了安全风险------尤其是提示词注入

传统方案是"权限提示":每个操作都弹窗让用户批准。但 Anthropic 发现,频繁的批准请求导致了审批疲劳,用户不再仔细检查,安全性反而降低了。

Anthropic 的解决方案是沙箱 ------通过定义明确的边界,让 Agent 在边界内自由工作。沙箱技术安全地减少了 84% 的权限提示。


一、为什么权限提示不够

审批疲劳

用户每天要点击数百次"批准"按钮,逐渐变成机械性的点击,不再审查具体操作内容。

安全假象

表面上"每个操作都经过批准",实际上用户根本没有仔细检查。


二、沙箱的两个关键边界

文件系统隔离

确保 Agent 只能访问或修改特定目录,防止提示词注入导致修改敏感系统文件。

网络隔离

确保 Agent 只能连接到批准的服务器,防止泄露敏感信息或下载恶意软件。

重要: 单独使用任一隔离都不足以保证安全。必须两者结合------如果只有文件系统隔离,Agent 可以通过网络泄露数据;如果只有网络隔离,Agent 可以修改系统文件。


三、沙箱化 Bash 工具

技术实现

基于操作系统原语构建: - Linuxbubblewrap - macOSseatbelt

工作机制

  • 文件隔离:允许对当前工作目录读写,阻止修改外部文件
  • 网络隔离:仅允许通过 Unix 域套接字连接到外部代理服务器,代理强制执行域限制

使用方式

在 Claude Code 中运行 /sandbox 命令。


四、Claude Code 网页版

在云端隔离的沙箱中运行 Claude Code,确保敏感凭据(如 git 凭据或签名密钥)永远不会与 Agent 一起存放在沙箱内。

Git 集成安全

使用自定义代理服务处理所有 git 交互: 1. 沙箱内的 git 客户端通过受限凭据向代理服务认证 2. 代理验证凭据和交互内容(如确保仅推送到配置的分支) 3. 代理在向 GitHub 发送请求之前附加正确的身份验证令牌


五、安全设计思考

安全 vs 自主性

沙箱解决了一个根本性矛盾:我们希望 Agent 更自主(减少人工批准),但又需要确保安全

答案是:不限制 Agent 的能力,而是限制 Agent 的作用范围。在边界内,Agent 完全自由;超出边界,系统自动阻止。

开源

沙箱功能已开源,帮助其他团队构建更安全的 Agent。


读后感

这篇文章传递的理念很重要:安全不应该是通过"更多审批"来实现的,而是通过"更好的隔离"

在人类世界中,我们也不是靠审批流程来保证安全的------我们靠的是物理隔离(门禁)、网络隔离(防火墙)和最小权限原则。Agent 的安全设计也应如此。

相关推荐
donecoding1 小时前
Claude Code 远程连接的坑之「以为是 1M 上下文,它却偷偷给我用了 200k」
ai编程
SelectDB1 小时前
Apache Doris Python UDF:让 SQL 直接调用 Python 生态,支撑 Agent 时代复杂业务逻辑
大数据·数据库·python
妙妙屋(zy)2 小时前
Claude Code+CC-Switch+CC-Connect+飞书使用教程
ai
ytAnck2 小时前
傻傻分不清OpenAI 与 Anthropic 接口协议差异
openai·ai编程
妙码生花2 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十五):优化细节、网络请求封装
前端·后端·ai编程
小白鼠幻想家2 小时前
Devin:从"取代你的AI程序员"到"AI不会取代人类"——这家CEO的嘴,比AI还快
ai编程
AlbertZein3 小时前
从“看图说话”到“动手干活”:看看国产多模态模型在生产场景下的真实表现
aigc·openai·ai编程
JavaGuide3 小时前
推荐 3 个 Vibe Coding 中文开源教程,从入门到实战
ai编程·vibecoding
plainGeekDev3 小时前
别再说 Claude Code 上下文不够用了,是你没管好
aigc·ai编程
牛奶3 小时前
AI 能赚钱了——但赚的不是你
人工智能·ai编程·nvidia