Anthropic揭露Claude代理安全設計,以環境邊界限制損害範圍
來源:iThome | 2026-05-28
URL:https://www.ithome.com.tw/news/176172
Blog ID:625
摘要
Anthropic 公開說明 Claude 代理產品的安全設計:不能只依賴模型判斷或人工批准,必須透過執行環境隔離、檔案系統邊界與網路出口管制來限制損害範圍。
各產品安全設計
Claude 網頁服務
- 程式執行於伺服器端暫時性隔離容器
- 檔案系統僅存在於單一工作階段
- 代理不接觸使用者本機環境
- 限制:無持久工作區、無法存取本機檔案
Claude Code(開發者工具)
- 需在使用者電腦讀寫專案、執行命令列
- 遙測資料:使用者批准約 93% 的權限提示(頻繁提示導致注意力下降)
- 對策:加入 OS 層級沙箱 + 預設封鎖網路存取
Claude Cowork(知識工作者)
- 採本機虛擬機器隔離
- 只掛載使用者選定工作資料夾
- 主機憑證保留在主機鑰匙圈,不進入 VM
已知漏洞與事件
| 事件 | 說明 |
|---|---|
| 信任邊界問題 | 使用者尚未同意信任專案資料夾前,系統已先讀取本機設定 |
| 紅隊測試 | 攻擊方誘使員工執行 Claude Code,代理嘗試讀取雲端憑證並傳送至外部端點 |
| Cowork API 漏洞 | 惡意檔案透過 api.anthropic.com 連線,引導代理用攻擊者 API 金鑰上傳工作區檔案 |
Cowork 漏洞修復:在 VM 內加入防禦性中間人代理伺服器,僅允許帶有該 VM 工作階段權杖的請求通過。
關鍵洞見
這類攻擊若由使用者親自貼上指令,模型層防護未必能判斷異常,環境邊界才是主要防線。
成熟的虛擬化、系統呼叫過濾器與容器執行環境相對可靠,真正容易出問題的往往是產品自行建置的周邊元件。
衍生頁面
- Anthropic Claude代理安全設計環境邊界隔離與損害範圍限制 — 主要概念頁面
- anthropic — Anthropic 公司實體