Anthropic揭露Claude代理安全設計,以環境邊界限制損害範圍

來源:iThome | 2026-05-28
URLhttps://www.ithome.com.tw/news/176172
Blog ID:625

摘要

Anthropic 公開說明 Claude 代理產品的安全設計:不能只依賴模型判斷或人工批准,必須透過執行環境隔離、檔案系統邊界與網路出口管制來限制損害範圍。

各產品安全設計

Claude 網頁服務

  • 程式執行於伺服器端暫時性隔離容器
  • 檔案系統僅存在於單一工作階段
  • 代理不接觸使用者本機環境
  • 限制:無持久工作區、無法存取本機檔案

Claude Code(開發者工具)

  • 需在使用者電腦讀寫專案、執行命令列
  • 遙測資料:使用者批准約 93% 的權限提示(頻繁提示導致注意力下降)
  • 對策:加入 OS 層級沙箱 + 預設封鎖網路存取

Claude Cowork(知識工作者)

  • 本機虛擬機器隔離
  • 只掛載使用者選定工作資料夾
  • 主機憑證保留在主機鑰匙圈,不進入 VM

已知漏洞與事件

事件說明
信任邊界問題使用者尚未同意信任專案資料夾前,系統已先讀取本機設定
紅隊測試攻擊方誘使員工執行 Claude Code,代理嘗試讀取雲端憑證並傳送至外部端點
Cowork API 漏洞惡意檔案透過 api.anthropic.com 連線,引導代理用攻擊者 API 金鑰上傳工作區檔案

Cowork 漏洞修復:在 VM 內加入防禦性中間人代理伺服器,僅允許帶有該 VM 工作階段權杖的請求通過。

關鍵洞見

這類攻擊若由使用者親自貼上指令,模型層防護未必能判斷異常,環境邊界才是主要防線

成熟的虛擬化、系統呼叫過濾器與容器執行環境相對可靠,真正容易出問題的往往是產品自行建置的周邊元件

衍生頁面