Anthropic 公开 Claude 安全隔离设计：三款产品体现分层防护思路

最近，Anthropic 工程团队对外介绍了他们在打造三款 AI 产品——claude.ai、Claude Code 和 Claude Cowork 时，搭建安全隔离体系的实践经验和总结。这三款产品分别服务普通用户、开发者以及企业客户，在隔离方式和风险判断上各有不同，不过都坚持“优先做好环境层隔离”这一核心思路。

在面向普通用户的 claude.ai 产品中，Anthropic 使用了基于 gVisor 的临时容器方案。每次用户开启会话时，系统都会创建一个临时容器，会话结束后再立刻销毁。这样的设计是为了让用户与 AI 的交互保持短时且安全，同时限制可访问的资源和能力。即便出现安全风险，影响也基本只会停留在单次会话范围内。

面向开发者的 Claude Code，则借助操作系统级别的沙箱机制来优化整体使用流程。开发者默认不能直接访问网络，这样能够减少频繁弹出的权限提醒，明显改善使用体验。数据显示，这一设计让权限提示出现的频率下降了 84%。如果开发者确实需要联网，也可以通过明确授权来临时开启相关权限。

对于追求最高安全级别的企业客户，Claude Cowork 采用了虚拟机级别的隔离方式，以确保其与主机系统彻底分开。虽然这种方案可以提供更强的安全保护，但同时也会削弱与宿主系统之间的集成能力，并给安全监控带来新的难题。

文中还提到了几起安全事件，其中最受关注的是借助钓鱼攻击实施的提示词注入。在 24 次测试里，这类攻击的成功率达到了 96%。除此之外，还出现了利用攻击者掌控的 API 密钥进行数据窃取等问题。这些事件也推动 Anthropic 持续完善自身的安全架构。

Anthropic 最后总结出三条重要原则：第一，优先从环境层做隔离，再配合模型层引导；第二，隔离强度应与用户的监督能力相适配；第三，要警惕边界定义不清的组件。这些原则不仅对 Anthropic 自身的产品设计有参考价值，也给整个行业带来了重要提醒。

划重点：  

🔒 环境层隔离优先：不同产品使用不同的隔离方式，以进一步增强安全防护。  

🛠️ 产品角色清晰：claude.ai、Claude Code 和 Claude Cowork 分别面向普通用户、开发者和企业客户。  

⚠ 安全事件提醒：测试显示钓鱼攻击成功率较高，也推动了安全措施的持续升级。