newsmode
search
Меню
arrow_back Назад

How we contain Claude across products

auto_awesomeКраткое саммари

Саймон Уиллисон разбирает новый обзор Anthropic о том, как компания изолирует Claude в своих продуктах. Он отмечает, что обычно технологии песочниц плохо документированы, поэтому им трудно доверять, и этот материал — приятное исключение. Anthropic объясняет, что в Claude.ai используется gVisor, в локально запускаемом Claude Code — Seatbelt на macOS и Bubblewrap на Linux, а Claude Cowork работает в полноценной виртуальной машине (Apple Virtualization на macOS, HCS на Windows). Подход опирается на ограничение того, куда и как может действовать агент: если учётные данные вообще не попадают в песочницу, их нельзя извлечь. В статье также упоминаются пропущенные риски, например вектор эксфильтрации через api.anthropic.com/v1/files. Уиллисон добавляет, что пора снова взглянуть на open-source-инструмент Anthropic srt (Sandbox Runtime), который стал достаточно зрелым.

30th May 2026 - Link Blog

30 мая 2026 — Блог ссылок

How we contain Claude across products. A complaint I often have about sandboxing products is that they are rarely thoroughly documented, and in the absence of detailed documentation it's hard to know how much I can trust them.

Как мы изолируем Claude в наших продуктах. У меня часто есть претензия к продуктам для песочниц: они редко по-настоящему задокументированы, а в отсутствие подробной документации трудно понять, насколько им можно доверять.

Anthropic just published a fantastic overview of how their various sandbox techniques work across Claude.ai, Claude Code, and Cowork.

Anthropic только что опубликовала отличный обзор того, как работают их различные техники песочницы в Claude.ai, Claude Code и Cowork.

We constrain where and how an agent can act with process sandboxes, VMs, filesystem boundaries, and egress controls. The goal is to set a hard boundary on what an agent can reach. For example, if credentials never enter the sandbox, they can't be exfiltrated, regardless of whether the cause is a user, a model finding a “creative” path, or an attacker.

Мы ограничиваем, где и как агент может действовать, с помощью песочниц процессов, виртуальных машин, границ файловой системы и контроля исходящего трафика. Цель — задать жёсткую границу того, до чего агент может дотянуться. Например, если учётные данные никогда не попадают в песочницу, их невозможно извлечь — независимо от того, вызвано ли это пользователем, моделью, нашедшей «творческий» путь, или злоумышленником.

Claude.ai uses gVisor. Claude Code, run locally, uses Seatbelt on macOS and Bubblewrap on Linux. Claude Cowork runs a full VM (Apple's Virtualization framework on macOS, HCS on Windows).

Claude.ai использует gVisor. Claude Code при локальном запуске использует Seatbelt на macOS и Bubblewrap на Linux. Claude Cowork работает в полноценной виртуальной машине (Apple Virtualization framework на macOS, HCS на Windows).

There's a lot in here, including some interesting stories of risks they missed such as the api.anthropic.com/v1/files exfiltration vector covered here previously.

Здесь много всего, включая интересные истории о рисках, которые они упустили, — например, вектор эксфильтрации через api.anthropic.com/v1/files, о котором я писал ранее.

This reminded me it's time I took another look at Anthropic's open source srt (Anthropic Sandbox Runtime) tool - it's mature enough know that I'm ready to give it a proper go.

Это напомнило мне, что пора снова взглянуть на open-source-инструмент Anthropic srt (Anthropic Sandbox Runtime) — он уже достаточно зрелый, и я готов как следует его опробовать.

Recent articles

Недавние статьи

This is a link post by Simon Willison, posted on 30th May 2026.

Это пост-ссылка Саймона Уиллисона, опубликованный 30 мая 2026.

Monthly briefing

Ежемесячная сводка

Sponsor me for $10/month and get a curated email digest of the month's most important LLM developments.

Поддержите меня на $10/месяц и получайте кураторский email-дайджест важнейших событий в области LLM за месяц.

Pay me to send you less!

Платите мне, чтобы я присылал вам меньше!