我们如何在各产品中隔离Claude

# 我们如何在各个产品中约束 Claude 来源：https://simonwillison.net/2026/May/30/how-we-contain-claude/ 2026年5月30日 \- 链接博客 **我们如何在各个产品中约束 Claude (https://www.anthropic.com/engineering/how-we-contain-claude)**。对于沙箱产品，我常有的一个抱怨是它们很少被*详细记录*，而缺乏详细文档时，很难判断我能信任它们到什么程度。 Anthropic 刚刚发布了一篇精彩的概述，介绍了他们的各种沙箱技术如何在 Claude.ai (https://claude.ai/)、Claude Code 和 Cowork 中发挥作用。 > 我们通过进程沙箱、虚拟机、文件系统边界和出口控制来约束代理（agent）的行动范围和方式。目标是设定一个硬边界，限制代理能够触及的范围。例如，如果凭证从未进入沙箱，那么它们就不可能被泄露，无论原因是用户、模型找到了一条“创意”路径，还是攻击者。 Claude.ai 使用 gVisor。本地运行的 Claude Code 在 macOS 上使用 Seatbelt，在 Linux 上使用 Bubblewrap。Claude Cowork 运行完整的虚拟机（macOS 上使用 Apple 的 Virtualization 框架，Windows 上使用 HCS）。 这里面内容很多，包括一些他们曾遗漏的风险的有趣故事，例如之前在此处报道的 `api.anthropic.com/v1/files` 泄漏向量 (https://simonwillison.net/2026/Jan/14/claude-cowork-exfiltrates-files/)。 这提醒我，是时候再看看 Anthropic 的开源工具 srt（Anthropic 沙箱运行时）(https://github.com/anthropic-experimental/sandbox-runtime) 了——它现在已经足够成熟，我准备好认真试一试了。