近日,Anthropic 工程团队分享了他们在开发三款 AI 产品 ——claude.ai、Claude Code 和 Claude Cowork 时构建安全隔离系统的经验与教训。这三款产品分别面向普通用户、开发者和企业用户,其隔离策略和风险模型各具特色,但都遵循 “环境层隔离优先” 的核心原则。

image.png

在面向普通用户的 claude.ai 中,Anthropic 采用了基于 gVisor 的临时容器方案。每当用户发起会话时,系统便会生成一个临时容器,待会话结束立即销毁这样的设计旨确保用户 AI 之间的互短暂且安全,限制了资源访问和能力,这样即使发生风险事件,影响范围也仅限于单次会话。

针对开发者,Claude Code 则利用操作系统级沙箱机制,优化了工作流程。开发者在使用时默认无法访问网络,这样可以减少频繁出现的权限提示,显著提升使用体验。据统计,这一设计使得权限提示的出现频率降低了 84%。当开发者需要网络访问时,可以通过明确授权进行临时开放。

对于需要最高安全性的企业用户,Claude Cowork 使用虚机级别的隔离方案,确保与主机系统完全分离。这种方案虽提供了最佳的安全性,但同时也降低了与宿主系统的集成能力,给安全监控带来了新的挑战。

文章中还提及了几起安全事件,其中最引人注目的是通过钓鱼攻击进行的提示词注入。在 24 次测试中,成功率高达 96%。此外,还有通过攻击者控制的 API 密钥进行数据窃取等问题。这些事件促使 Anthropic 不断改进其安全架构。

Anthropic 总结了三条关键原则:首先,环境层隔离优先,模型层引导;其次,隔离强度要与用户监督能力相匹配;第三,警惕定义组件。这些原则不仅对 Anthropic 的产品设计具有指导意义,也为整个行业了重要的警示。

划重点:  

🔒 环境层隔离先:不同产品采用不同隔离策略,以提升安全性。  

🛠️ 角色定位明确:claude.ai、Claude Code 和 Claude Cowork 分别针对普通用户、者和企业用户设计。  

⚠ 安全事件警示:实测中发现钓鱼攻击的高成功率,促使持续改进安全措施。