Як влаштована система безпеки та ізоляції агентів Claude від Anthropic
Anthropic оприлюднила архітектурні деталі ізоляції Claude Code та інших агентних систем. Поєднуючи контейнеризацію на базі gVisor із жорсткими мережевими політиками, вони обмежують деструктивні дії терміналу.
Чому це важливо
Ви можете захистити локальну систему від неконтрольованих команд агентів, загорнувши кроки виконання у легкий контейнер gVisor або Docker.
З широким розповсюдженням інструментів розробки на базі агентів, таких як Claude Code та Cursor, програмісти все частіше надають моделям доступ на запис та виконання команд у терміналі на своїх робочих машинах. Це несе серйозні ризики, включаючи виконання шкідливого коду або випадкове пошкодження файлової системи. Для запобігання цьому Anthropic поділилася архітектурними схемами своєї інфраструктури ізоляції, яка убезпечує виконання коду Claude.
Стек ізоляції покладається на технології пісочниці, а не на базові права доступу операційної системи. Замість запуску команд безпосередньо на хост-машині, Anthropic абстрагує виконання в тимчасові віртуальні машини або захищені контейнери. Такий підхід гарантує, що навіть якщо Claude згенерує деструктивну команду, її вплив буде локалізовано в тимчасовому середовищі, яке видаляється після завершення роботи.
Ядром цього інженерного патерну є gVisor — ядро додатків, написане на мові Go, яке реалізує значну частину системних викликів Linux. Перехоплюючи виклики до того, як вони досягнуть хост-ядра, gVisor запобігає виходу за межі контейнера. Крім того, Anthropic застосовує жорсткі політики вихідного мережевого трафіку. Агентам заборонено доступ до внутрішніх корпоративних сервісів та ненадійних зовнішніх доменів, що запобігає витоку даних.
Для розробників, які будують власних агентів або інтегрують сервери протоколу Model Context Protocol (MCP) локально, ця архітектура є важливим шаблоном. Якщо ви розробляєте агента, який запускає код користувача, ніколи не виконуйте команди прямо на вашій основній системі. Спрямовуйте виклики інструментів вашого агента через Docker-контейнер із gVisor або використовуйте легкі віртуальні машини.
Важливим обмеженням такої глибокої ізоляції є накладні витрати на запуск. Затримки старту нових пісочниць та віртуальних мереж можуть сповільнити швидкість реагування агента. Розробникам доводиться балансувати між високим рівнем безпеки та швидкістю зворотного зв'язку, необхідною для комфортної інтерактивної роботи.
Створення захищених меж виконання є обов'язковим для розробників агентів, і впровадження багаторівневої моделі ізоляції від Anthropic є найкращим рішенням.
Ключові висновки
- 01Використовуйте пісочниці gVisor або Docker для ізоляції виконання коду у власних агентах
- 02Налаштуйте жорсткі фаєрволи для вихідного трафіку в контейнерах ваших агентів
- 03Обмежуйте права на запис для змонтованих томів хост-машини при роботі з Claude Code чи Cursor