Anthropic Claude 代理安全設計:環境邊界隔離與損害範圍限制
Anthropic 2026年5月28日公開揭露 Claude 代理產品的安全設計原則:不能只依賴模型判斷或人工批准,必須透過執行環境隔離、檔案系統邊界與網路出口管制來從根本限制損害範圍。
核心原則
- 環境邊界優先:模型層防護無法可靠偵測所有社交工程攻擊(如使用者親自貼上惡意指令),因此環境隔離是主要防線
- 最小權限原則:僅掛載必要的檔案系統目錄,憑證保留在主機鑰匙圈而非代理環境
- 網路出口管制:預設封鎖網路存取,防止代理外洩資料
- 暫時性隔離:容器/VM 隨工作階段結束銷毀,無持久狀態
各產品實作方式
| 產品 | 隔離方式 | 特點 |
|---|---|---|
| Claude 網頁服務 | 伺服器端暫時性隔離容器 | 不接觸用戶本機環境 |
| Claude Code | OS 層級沙箱 + 預設封鎖網路 | 需讀寫本機,93% 提示被批准 |
| Claude Cowork | 本機 VM 隔離 | 憑證保留主機鑰匙圈不進入 VM |
已知漏洞案例
- 信任邊界問題:系統在使用者同意前已先讀取本機設定
- 紅隊測試:誘使員工執行 Claude Code,代理嘗試讀取雲端憑證並外傳
- Cowork API 漏洞:惡意檔案引導代理用攻擊者 API 金鑰上傳工作區檔案
- 修復:在 VM 內加入防禦性中間人代理伺服器,驗證工作階段權杖
設計啟示
- 成熟的虛擬化與容器技術相對可靠;產品自建的周邊元件才是最大弱點
- 頻繁提示用戶(93% 批准率)反而導致注意力下降,降低防護效果
- 沙箱設計需考慮代理被操控時的「內部攻擊」情境
相關實體
- anthropic — Anthropic 公司,Claude 系列產品開發者