Anthropic发布Claude安全隔离架构

近日，Anthropic 工程团队详细分享了他们在开发三款 AI 产品——claude.ai、Claude Code 和 Claude Cowork 时构建安全隔离系统的经验与教训。这三款产品分别面向普通用户、开发者和企业用户，其隔离策略和风险模型各具特色，但都遵循“环境层隔离优先”的核心原则。

在面向普通用户的 claude.ai 中，Anthropic 采用了基于 gVisor 的临时容器方案。每当用户发起会话时，系统便会生成一个临时容器，待会话结束立即销毁。这样的设计旨在确保用户与 AI 之间的交互短暂且安全，限制了资源访问和能力，这样即使发生风险事件，影响范围也仅限于单次会话。这种轻量级隔离方式既保证了用户体验，又有效降低了潜在风险。

针对开发者，Claude Code 则利用操作系统级沙箱机制，优化了工作流程。开发者在使用时默认无法访问网络，这样可以减少频繁出现的权限提示，显著提升使用体验。据统计，这一设计使得权限提示的出现频率降低了 84%。当开发者需要网络访问时，可以通过明确授权进行临时开放。这种平衡安全性与效率的设计，为开发者提供了更流畅的编码环境。

对于需要最高安全性的企业用户，Claude Cowork 使用虚拟机级别的隔离方案，确保与主机系统完全分离。这种方案虽提供了最佳的安全性，但同时也降低了与宿主系统的集成能力，给安全监控带来了新的挑战。企业用户往往需要处理敏感数据，因此这种强隔离策略至关重要，但团队也需要在隔离与便捷之间找到平衡点。

文章中还提及了几起安全事件，其中最引人注目的是通过钓鱼攻击进行的提示词注入。在 24 次测试中，成功率高达 96%。此外，还有通过攻击者控制的 API 密钥进行数据窃取等问题。这些事件促使 Anthropic 不断改进其安全架构，也凸显了持续安全监控与迭代的重要性。

Anthropic 总结了三条关键原则：首先，环境层隔离优先，模型层引导；其次，隔离强度要与用户监督能力相匹配；第三，警惕定义组件。这些原则不仅对 Anthropic 的产品设计具有指导意义，也为整个行业提供了重要的警示。通过分层次、差异化的隔离策略，Anthropic 展示了如何在提供强大 AI 能力的同时，确保系统安全与用户信任。