newsmode
search
Меню
arrow_back Назад

How we contain Claude across products

auto_awesomeКраткое саммари

Саймон Уиллисон разбирает новый обзор Anthropic о том, как компания изолирует Claude в своих продуктах. Он отмечает, что обычно технологии песочниц плохо документированы, поэтому им трудно доверять, и этот материал — приятное исключение. Anthropic объясняет, что в Claude.ai используется gVisor, в локально запускаемом Claude Code — Seatbelt на macOS и Bubblewrap на Linux, а Claude Cowork работает в полноценной виртуальной машине (Apple Virtualization на macOS, HCS на Windows). Подход опирается на ограничение того, куда и как может действовать агент: если учётные данные вообще не попадают в песочницу, их нельзя извлечь. В статье также упоминаются пропущенные риски, например вектор эксфильтрации через api.anthropic.com/v1/files. Уиллисон добавляет, что пора снова взглянуть на open-source-инструмент Anthropic srt (Sandbox Runtime), который стал достаточно зрелым.

30 мая 2026 — Блог ссылок

Как мы изолируем Claude в наших продуктах. У меня часто есть претензия к продуктам для песочниц: они редко по-настоящему задокументированы, а в отсутствие подробной документации трудно понять, насколько им можно доверять.

Anthropic только что опубликовала отличный обзор того, как работают их различные техники песочницы в Claude.ai, Claude Code и Cowork.

Мы ограничиваем, где и как агент может действовать, с помощью песочниц процессов, виртуальных машин, границ файловой системы и контроля исходящего трафика. Цель — задать жёсткую границу того, до чего агент может дотянуться. Например, если учётные данные никогда не попадают в песочницу, их невозможно извлечь — независимо от того, вызвано ли это пользователем, моделью, нашедшей «творческий» путь, или злоумышленником.

Claude.ai использует gVisor. Claude Code при локальном запуске использует Seatbelt на macOS и Bubblewrap на Linux. Claude Cowork работает в полноценной виртуальной машине (Apple Virtualization framework на macOS, HCS на Windows).

Здесь много всего, включая интересные истории о рисках, которые они упустили, — например, вектор эксфильтрации через api.anthropic.com/v1/files, о котором я писал ранее.

Это напомнило мне, что пора снова взглянуть на open-source-инструмент Anthropic srt (Anthropic Sandbox Runtime) — он уже достаточно зрелый, и я готов как следует его опробовать.

Недавние статьи

Это пост-ссылка Саймона Уиллисона, опубликованный 30 мая 2026.

Ежемесячная сводка

Поддержите меня на $10/месяц и получайте кураторский email-дайджест важнейших событий в области LLM за месяц.

Платите мне, чтобы я присылал вам меньше!