Bagaimana Anthropic mengurung Claude di seluruh produknya
Anthropic menerbitkan tulisan panjang tentang cara mereka melakukan sandboxing di tiga tempat Claude menjalankan kode, dan Simon Willison menyebutnya sebagai salah satu pengungkapan keamanan sisi produk yang paling rinci dari lab frontier. Claude.ai memakai gVisor. Claude Code lokal memakai Seatbelt di macOS dan Bubblewrap di Linux. Claude Cowork berjalan di dalam virtual machine penuh, lewat Virtualization framework milik Apple di macOS dan Hyper-V Compute Service di Windows. Tujuannya satu: batas keras tentang apa saja yang bisa dijangkau agent, ditambah aturan kedua bahwa credentials tidak boleh masuk ke dalam sandbox sejak awal.
Yang membuat dokumen ini layak dibaca adalah bagian saat Anthropic menjelaskan apa yang dulu mereka lewatkan. Mereka membahas jalur eksfiltrasi yang sempat luput lewat api.anthropic.com/v1/files, dan menjelaskan batas dari desain network mereka. Karena proxy hanya memvalidasi hostname tanpa terminasi TLS, aturan luas seperti mengizinkan semua github.com bisa berubah menjadi jalur eksfiltrasi data lewat domain fronting. Primitif sandbox itu juga dirilis sebagai paket open source @anthropic-ai/sandbox-runtime, jadi pola yang sama bisa dipakai untuk membungkus agent lain.
Untuk tim yang menjalankan agent di production, polanya bisa langsung dipakai. Isolasi filesystem dan network harus dipakai berpasangan, credentials sebaiknya tidak pernah masuk ke sandbox alih-alih bergantung pada aturan network, dan allowlist sempit jauh lebih aman daripada wildcard domain.
Kenapa ini penting
Kalau kamu membangun di atas Claude Code atau agent lain yang menjalankan command di mesin developer, dokumen ini adalah referensi paling konkret tentang seperti apa "aman secara default" itu. Keterbukaan Anthropic soal kesalahan masa lalu juga menetapkan standar pertanyaan yang wajar diajukan ke vendor agent lain sebelum mereka diberi akses ke filesystem.