核验日期:2026-07-08
内容来源:Anthropic Engineering 官方技术博客。本文先作为 Claude Code 专区后台草稿入库,发布前应由内容人员复核标题、摘要、图片、来源链接与是否需要补充本站实践说明。
超越权限提示:让 Claude Code 更安全、更自主
Claude Code 新增的两项沙箱功能:沙箱化 bash 工具和网页版 Claude Code,通过启用文件系统与网络隔离这两道边界,减少权限提示并提升用户安全性。
来源:https://www.anthropic.com/engineering/claude-code-sandboxing
发布日期:2025-10-20
在 Claude Code 中,Claude 会与你一起编写、测试和调试代码,浏览你的代码库,编辑多个文件,并运行命令来验证自己的工作。给予 Claude 如此多访问代码库和文件的权限会引入风险,尤其是在提示注入的情况下。
为了帮助应对这一问题,我们在 Claude Code 中引入了两个基于沙箱的新功能。二者都旨在为开发者提供一个更安全的工作空间,同时也让 Claude 能够更自主地运行,并减少权限提示。在我们的内部使用中,我们发现沙箱可以安全地将权限提示减少 84%。通过定义 Claude 可以自由工作的固定边界,沙箱提升了安全性和行动能力。
在 Claude Code 中保障用户安全
Claude Code 运行在基于权限的模型上:默认情况下,它是只读的,也就是说,在做出修改或运行任何命令之前,它会请求许可。这里也有一些例外:我们会自动允许 echo 或 cat 这类安全命令,但大多数操作仍然需要明确批准。
不断点击“批准”会拖慢开发周期,并可能导致“批准疲劳”:用户可能不再仔细关注自己正在批准什么,进而让开发变得不那么安全。
为了解决这一问题,我们为 Claude Code 推出了沙箱功能。
沙箱:一种更安全、更自主的方法
沙箱会创建预先定义的边界,让 Claude 可以在其中更自由地工作,而不是为每个动作都请求许可。启用沙箱后,你会看到权限提示大幅减少,同时安全性提升。
我们的沙箱方法建立在操作系统级功能之上,用于启用两道边界:
- 文件系统隔离,确保 Claude 只能访问或修改特定目录。这对于防止被提示注入攻陷的 Claude 修改敏感系统文件尤其重要。
- 网络隔离,确保 Claude 只能连接到已批准的服务器。这可以防止被提示注入攻陷的 Claude 泄露敏感信息或下载恶意软件。
值得注意的是,有效的沙箱需要同时具备文件系统隔离和网络隔离。没有网络隔离,受损的智能体可能会外泄 SSH 密钥等敏感文件;没有文件系统隔离,受损的智能体很容易逃离沙箱并获得网络访问能力。正是通过同时使用这两种技术,我们才能为 Claude Code 用户提供更安全、更快速的智能体体验。
Claude Code 中的两个新沙箱功能
沙箱化 bash 工具:无需权限提示的安全 bash 执行
我们推出了一个新的沙箱运行时,目前以研究预览版形式提供 beta 版本。它让你可以精确定义智能体能够访问哪些目录和网络主机,而无需承担启动和管理容器的开销。它可用于沙箱化任意进程、智能体和 MCP 服务器。它也以开源研究预览版形式提供。
在 Claude Code 中,我们使用这个运行时对 bash 工具进行沙箱化,让 Claude 可以在你设置的既定限制内运行命令。在安全沙箱内部,Claude 可以更自主地运行,并在无需权限提示的情况下安全执行命令。如果 Claude 尝试访问沙箱之外的内容,你会立即收到通知,并可以选择是否允许。
我们基于 Linux bubblewrap 和 MacOS seatbelt 等操作系统级原语构建了这一能力,以便在操作系统层面强制执行这些限制。它们覆盖的不只是 Claude Code 的直接交互,也包括由命令生成的任何脚本、程序或子进程。如上所述,这个沙箱会同时强制执行:
- 文件系统隔离, 允许对当前工作目录进行读写访问,但阻止修改其之外的任何文件。
- 网络隔离, 只允许通过连接到沙箱外代理服务器的 Unix 域套接字访问互联网。这个代理服务器会对进程可以连接的域名执行限制,并处理对新请求域名的用户确认。如果你希望进一步提高安全性,我们也支持自定义这个代理,对出站流量执行任意规则。
这两个组件都可以配置:你可以轻松选择允许或禁止特定文件路径或域名。

Claude Code 的沙箱架构通过文件系统和网络控制隔离代码执行,自动允许安全操作,阻止恶意操作,并只在必要时请求许可。
沙箱确保即使提示注入成功,也会被完全隔离,无法影响用户整体安全。这样一来,受损的 Claude Code 无法窃取你的 SSH 密钥,也无法回连攻击者服务器。
要开始使用这一功能,请在 Claude Code 中运行 /sandbox,并查看关于我们安全模型的更多技术细节。
为了让其他团队更容易构建更安全的智能体,我们已经将这一功能开源。我们认为,其他团队也应考虑在自己的智能体中采用这项技术,以增强其智能体的安全态势。
网页版 Claude Code:在云端安全运行 Claude Code
今天,我们还发布了网页版 Claude Code,让用户可以在云端的隔离沙箱中运行 Claude Code。网页版 Claude Code 会在一个隔离沙箱中执行每个 Claude Code 会话,在安全可靠的方式下让它完整访问自己的服务器。我们设计这个沙箱时确保敏感凭据(例如 git 凭据或签名密钥)绝不会与 Claude Code 一起出现在沙箱内。这样,即使沙箱中运行的代码被攻陷,用户也能免受进一步伤害。
网页版 Claude Code 使用一个自定义代理服务,透明处理所有 git 交互。在沙箱内部,git 客户端使用一个专门构建的作用域凭据向该服务认证。代理会验证这一凭据和 git 交互的内容(例如确保它只会推送到已配置的分支),然后在将请求发送给 GitHub 之前附加正确的认证令牌。

Claude Code 的 Git 集成会通过安全代理路由命令,该代理会验证认证令牌、分支名和仓库目标,让版本控制工作流保持安全,同时防止未经授权的推送。
开始使用
我们新的沙箱化 bash 工具和网页版 Claude Code,为使用 Claude 进行工程工作的开发者带来了安全性和生产力上的显著提升。
要开始使用这些工具:
- 在 Claude 中运行
/sandbox,并查看我们的文档,了解如何配置这个沙箱。 - 前往 claude.com/code,试用网页版 Claude Code。
或者,如果你正在构建自己的智能体,可以查看我们的开源沙箱代码,并考虑将其集成到你的工作中。我们期待看到你构建出的成果。
要进一步了解网页版 Claude Code,请查看我们的发布博客文章。
致谢
本文由 David Dworken 和 Oliver Weller-Davies 撰写,并得到 Meaghan Choi、Catherine Wu、Molly Vorwerck、Alex Isken、Kier Bradwell 和 Kevin Garcia 的贡献。