Auf den Punkt: Anthropic isoliert Claude-Agenten durch mehrschichtige Sandboxes (gVisor, Seatbelt, Bubblewrap, VMs) mit expliziten Grenzen für Datenzugriff, Dateisystem und Egress-Kontrolle.
Anthropic hat eine detaillierte Übersicht seiner Sandbox-Techniken veröffentlicht, mit denen Claude.ai, Claude Code und Cowork isoliert werden. Die Dokumentation zeigt mehrschichtige Containment-Strategien und offenbart auch früher nicht erkannte Sicherheitslücken.
Anthropic hat eine umfassende technische Dokumentation ihrer Sandbox-Implementierungen veröffentlicht, die zeigt, wie Claude-Agenten in verschiedenen Produktumgebungen isoliert werden. Das Containment-Modell arbeitet auf mehreren Ebenen: Process Sandboxes, Virtual Machines, Filesystem-Grenzen und Egress-Kontrollen sollen harte Grenzen setzen, was ein Agent erreichen kann.
Die konkrete Umsetzung variiert je nach Deployment: Claude.ai nutzt gVisor für Containerisierung, Claude Code verwendet je nach Plattform Seatbelt (macOS) oder Bubblewrap (Linux) für lokale Isolation, während Claude Cowork vollständige VMs einsetzt – auf macOS über Apples Virtualization Framework, auf Windows über Hyper-V Container Services (HCS). Ein zentrales Prinzip ist dabei die Annahme, dass Credentials niemals in die Sandbox gelangen dürfen – dadurch können sie unabhängig vom Anlass (User-Fehler, Model-Exploit oder Angreifer) nicht exfiltriert werden.
Die Dokumentation ist deshalb bemerkenswert, weil sie auch bislang übersehene Risiken offenlegt. Ein Beispiel ist ein Exfiltrations-Vektor über die API-Route api.anthropic.com/v1/files, den Anthropic nachträglich identifiziert und behoben hat. Dies unterstreicht, dass auch bei Sandbox-Design mit hohem Sicherheitsfokus Lücken entstehen können – und dass Transparenz darüber für CTOs und Security Teams essentiell ist, um Risiken realistisch einzuschätzen.
Mit der Veröffentlichung signalisiert Anthropic eine seltene Bereitschaft zur detaillierten Dokumentation von Containment-Strategien. Das macht die technischen Entscheidungen nachvollziehbar und schafft Grundlagen für Vertrauen bei Enterprise-Deployments. Parallel arbeitet Anthropic an seinem Open-Source-Projekt Anthropic Sandbox Runtime (srt), das CTOs für eigene Sandbox-Anforderungen evaluieren können.
Quelle: simonwillison.net · Erschienen 30. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.0.