Anthropic 公布三款 AI 产品安全隔离架构实践

Anthropic 工程团队近日分享了 claude.ai、Claude Code 和 Claude Cowork 的安全隔离系统构建经验。这三款产品分别面向普通用户、开发者与企业用户，底层隔离策略与风险模型各不相同，但均围绕“环境层隔离优先”这一核心展开。

claude.ai 采用基于 gVisor 的临时容器方案。用户每次新建会话，系统就会生成一个独立容器。会话结束，容器随即销毁。该设计限制了 AI 对系统资源的访问权限。即便出现异常，风险也被锁定在单次会话内，不会影响其他用户。

Claude Code 针对开发者工作流，改用操作系统级沙箱。工具默认切断网络访问，避免开发者频繁处理系统弹窗。实际运行数据显示，该设计让权限提示的出现频率降低了 84%。确需联网时，开发者可以手动授予临时权限。

Claude Cowork 面向企业场景，直接部署虚拟机级别隔离。虚拟环境与宿主主机完全断开。隔离强度提升的同时，系统间的集成度随之降低，给后续的安全监控工作带来了新难题。

实际测试中的安全漏洞推动了底层架构调整。在 24 次针对提示词注入的钓鱼攻击测试中，攻击成功率达到 96%。攻击者还能利用受控的 API 密钥实施数据窃取。这些问题促使团队重新评估并加固安全策略。

团队最终明确三项安全准则。隔离措施必须优先在环境层落地，模型层的规则仅起引导作用。系统的隔离强度需要与用户自身的监督能力相匹配。产品设计还需警惕定义组件带来的潜在漏洞。这些经验为后续 AI 应用的安全边界划定提供了参考。