我们如何在产品中包含克劳德
一句话看懂:Anthropic 首次系统公开了其在 Claude.ai、Claude Code 和 Claude Cowork 三款产品中使用的沙箱安全技术细节,包括 gVisor、Seatbelt、Bubblewrap 和全虚拟机方案,并坦诚回顾了被忽略的 exfiltration 风险。这份文档是目前市面上最详实的 AI 沙箱公开记录之一,直接影响开发者对 Agent 安全性的信任判断。
事件核心:发生了什么
2026 年 5 月 30 日,Anthropic 发布了一篇深度技术文章,详细说明了如何在其三款主要产品中隔离 Claude 模型的行为边界。具体方案包括:Claude.ai 使用 gVisor(基于 Linux 内核的系统调用拦截);Claude Code(本地运行版)在 macOS 上用 Seatbelt、在 Linux 上用 Bubblewrap 限制文件系统和网络访问;Claude Cowork 则在 macOS 上调用 Apple 的 Virtualization framework,在 Windows 上使用 HCS 运行完整虚拟机。文章还首次披露了先前未被发现的攻击向量——api.anthropic.com/v1/files 接口曾被用作数据外泄渠道,该问题已在其他渠道被记录。此外,Anthropic 同步更新了其开源工具 srt(Anthropic Sandbox Runtime),Simon Willison 评价该工具已成熟到“值得认真尝试”。
为什么重要
AI 产品的“沙箱”长期处于黑箱状态:产品方宣称安全,但很少给出可验证的技术细节。Anthropic 这篇文章填补了这一空白,将沙箱从营销话术变成可审查的技术主张。它对行业的直接影响在于:第一,明确了当前最实用的 Agent 隔离手段——文件系统边界、网络出口控制和凭证隔离的组合;第二,通过公开历史漏洞(如 files 接口被利用),教育了开发者“沙箱不是一次性的工程决策,而需要持续审计”;第三,对竞品形成压力——如果 OpenAI 或 Google 无法给出同等粒度的技术文档,企业客户在选择 Agent 平台时将更倾向 Anthropic。对于开源社区,srt 的成熟也为第三方开发者提供了可复用的沙箱组件。
对用户/开发者/创作者的影响
对于普通用户,这意味着 Claude 在处理敏感数据(如本地代码库、企业文件)时的安全性有了一份可查证的技术背书。对于开发者,尤其是需要使用 Claude Code 或 Cowork 进行本地自动化任务的团队,现在可以根据文档评估 credential 是否真的从未进入沙箱——例如,如果 API key 被正确配置在沙箱外部,则模型无法将其外传。对于安全合规团队,这篇文章提供了审计 AI Agent 行为边界的检视清单:是否启用了 egress controls、文件系统是否只读映射、沙箱是否支持动态升级策略。对于创作者和使用 Cowork 进行多步骤协作的用户,全虚拟机方案意味着即使模型尝试进行恶意操作,也会被限制在独立 VM 内,不会影响宿主系统。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
第一,Anthropic 是否会将此文档维护为持续更新的“沙箱状态书”,长期跟踪风险修复记录;第二,srt 工具能否吸引第三方开发者生态,出现独立的安全审计报告;第三,OpenAI 和 Google 是否跟进发布各自的沙箱技术细节,形成行业透明标准——目前公开信息显示,这两家均未给出同等粒度的公开文档。如果企业客户开始将“是否提供沙箱技术文档”列为采购硬性标准,AI 平台的安全竞争将从功能比拼进入“可信工程”阶段。
![[分享创造] Liber(永存图书馆):一个去中心化、AI Agent 友好的公共领域开放书库(Cloudflare + Sui + Walrus)](https://www.chat-gpts.plus/wp-content/uploads/2026/05/ai_cover_3-866-768x403.jpg)