Anthropic Claude 代理安全設計:環境邊界隔離與損害範圍限制

Anthropic 2026年5月28日公開揭露 Claude 代理產品的安全設計原則:不能只依賴模型判斷或人工批准,必須透過執行環境隔離、檔案系統邊界與網路出口管制來從根本限制損害範圍。

核心原則

  • 環境邊界優先:模型層防護無法可靠偵測所有社交工程攻擊(如使用者親自貼上惡意指令),因此環境隔離是主要防線
  • 最小權限原則:僅掛載必要的檔案系統目錄,憑證保留在主機鑰匙圈而非代理環境
  • 網路出口管制:預設封鎖網路存取,防止代理外洩資料
  • 暫時性隔離:容器/VM 隨工作階段結束銷毀,無持久狀態

各產品實作方式

產品隔離方式特點
Claude 網頁服務伺服器端暫時性隔離容器不接觸用戶本機環境
Claude CodeOS 層級沙箱 + 預設封鎖網路需讀寫本機,93% 提示被批准
Claude Cowork本機 VM 隔離憑證保留主機鑰匙圈不進入 VM

已知漏洞案例

  1. 信任邊界問題:系統在使用者同意前已先讀取本機設定
  2. 紅隊測試:誘使員工執行 Claude Code,代理嘗試讀取雲端憑證並外傳
  3. Cowork API 漏洞:惡意檔案引導代理用攻擊者 API 金鑰上傳工作區檔案
    • 修復:在 VM 內加入防禦性中間人代理伺服器,驗證工作階段權杖

設計啟示

  • 成熟的虛擬化與容器技術相對可靠;產品自建的周邊元件才是最大弱點
  • 頻繁提示用戶(93% 批准率)反而導致注意力下降,降低防護效果
  • 沙箱設計需考慮代理被操控時的「內部攻擊」情境

相關實體

  • anthropic — Anthropic 公司,Claude 系列產品開發者

來源文章