Managed AgentsSelbst gehostete Sandboxes

Sicherheitsmodell

Modell der geteilten Verantwortung für selbst gehostete Sandbox-Umgebungen.

Anthropic sichert die „control plane" (Steuerungsebene) über alle Umgebungen hinweg ab: Integrität von Sitzungen und Arbeitswarteschlangen, Multi-Tenant-Isolation und Minimierung des Agent-Kontexts. Wenn du selbst hostest, fallen die folgenden Verantwortlichkeiten dir zu.

Wofür du verantwortlich bist

Qualität des Sandbox-Images und Härtung der Laufzeitumgebung. Anthropic inspiziert oder verifiziert dein Sandbox-Image nicht. Befolge Best Practices wie das Entfernen unnötiger Linux-Capabilities, das Ausführen als Nicht-Root-Benutzer und die Verwendung eines schreibgeschützten Root-Dateisystems.
Kontrolle des ausgehenden Netzwerkverkehrs. Der Netzwerkzugriff deiner Sandbox wird durch deine VPC- und Firewall-Regeln bestimmt. Ohne Egress-Beschränkungen kann eine kompromittierte Tool-Ausführung beliebige externe Hosts erreichen. Beschränke ausgehenden Traffic auf genau die Endpunkte, die deine Tools benötigen.
Speicherung und Rotation des Service-Keys. Der Environment-Service-Key (ANTHROPIC_ENVIRONMENT_KEY) autorisiert das Abfragen der Arbeitswarteschlange deiner Umgebung und das Zurücksenden von Ergebnissen an Sitzungen. Speichere ihn in einem Secrets-Manager, nicht in Umgebungsdateien oder Sandbox-Images. Rotiere ihn sofort, wenn du eine Offenlegung vermutest.
Isolierung nicht vertrauenswürdiger Workloads. Der Environment-Service-Key ist auf die Arbeitswarteschlange einer einzelnen Umgebung beschränkt. Wenn du nicht vertrauenswürdigen Code in deiner Sandbox ausführst, solltest du für jede Vertrauensgrenze einen separaten Workspace und eine separate Umgebung bereitstellen. Dadurch wird jeder Key auf die Sitzungen eines einzelnen Benutzers beschränkt, statt auf einen gemeinsamen Pool.
Auswirkungsradius der Tool-Ausführung. Tools laufen innerhalb deiner Sandbox mit den Berechtigungen, die dein Prozess hat. Wende das Prinzip der geringsten Rechte auf den Prozessbenutzer an und mounte nur die Verzeichnisse, die deine Tools benötigen.
Log-Aufbewahrung und Sitzungsinhalte. Konversationsinhalte und Tool-Ausgaben durchlaufen deinen Worker und verbleiben in deiner Umgebung. Du bist dafür verantwortlich, diese Daten in Übereinstimmung mit deinen eigenen Richtlinien aufzubewahren, zu schwärzen oder zu löschen. Anthropic hat keinen Einblick darin, was dein Worker mit Sitzungsinhalten macht, sobald diese zugestellt wurden.

Was Anthropic nicht für dich tun kann

Einen geleakten Key sofort ungültig machen. Anthropic kann anomale Nutzungsmuster erkennen, aber einen Key nicht sofort ungültig machen. Behandle ANTHROPIC_ENVIRONMENT_KEY wie ein Datenbankpasswort: Rotiere ihn sofort, wenn er kompromittiert wurde.
Deinen Worker-Build verifizieren. Anthropic inspiziert weder dein Sandbox-Image noch deine Laufzeitumgebung. Eine Supply-Chain-Kompromittierung in deinem Image ist von der Steuerungsebene aus nicht erkennbar.
Tools innerhalb deiner Sandbox isolieren. Die Sicherheitsgrenze von Anthropic endet an der Sandbox. Wie du einzelne Tool-Ausführungen innerhalb dieser Grenze voneinander isolierst, liegt vollständig in deiner Verantwortung.
Datenaufbewahrung in deiner Umgebung durchsetzen. Sobald Sitzungsinhalte deinen Worker erreichen, befinden sie sich außerhalb der Datenlebenszyklus-Kontrollen von Anthropic.

Was this page helpful?

Wofür du verantwortlich bist

Qualität des Sandbox-Images und Härtung der Laufzeitumgebung. Anthropic inspiziert oder verifiziert dein Sandbox-Image nicht. Befolge Best Practices wie das Entfernen unnötiger Linux-Capabilities, das Ausführen als Nicht-Root-Benutzer und die Verwendung eines schreibgeschützten Root-Dateisystems.

Kontrolle des ausgehenden Netzwerkverkehrs. Der Netzwerkzugriff deiner Sandbox wird durch deine VPC- und Firewall-Regeln bestimmt. Ohne Egress-Beschränkungen kann eine kompromittierte Tool-Ausführung beliebige externe Hosts erreichen. Beschränke ausgehenden Traffic auf genau die Endpunkte, die deine Tools benötigen.

Speicherung und Rotation des Service-Keys. Der Environment-Service-Key (ANTHROPIC_ENVIRONMENT_KEY) autorisiert das Abfragen der Arbeitswarteschlange deiner Umgebung und das Zurücksenden von Ergebnissen an Sitzungen. Speichere ihn in einem Secrets-Manager, nicht in Umgebungsdateien oder Sandbox-Images. Rotiere ihn sofort, wenn du eine Offenlegung vermutest.

Isolierung nicht vertrauenswürdiger Workloads. Der Environment-Service-Key ist auf die Arbeitswarteschlange einer einzelnen Umgebung beschränkt. Wenn du nicht vertrauenswürdigen Code in deiner Sandbox ausführst, solltest du für jede Vertrauensgrenze einen separaten Workspace und eine separate Umgebung bereitstellen. Dadurch wird jeder Key auf die Sitzungen eines einzelnen Benutzers beschränkt, statt auf einen gemeinsamen Pool.

Auswirkungsradius der Tool-Ausführung. Tools laufen innerhalb deiner Sandbox mit den Berechtigungen, die dein Prozess hat. Wende das Prinzip der geringsten Rechte auf den Prozessbenutzer an und mounte nur die Verzeichnisse, die deine Tools benötigen.

Log-Aufbewahrung und Sitzungsinhalte. Konversationsinhalte und Tool-Ausgaben durchlaufen deinen Worker und verbleiben in deiner Umgebung. Du bist dafür verantwortlich, diese Daten in Übereinstimmung mit deinen eigenen Richtlinien aufzubewahren, zu schwärzen oder zu löschen. Anthropic hat keinen Einblick darin, was dein Worker mit Sitzungsinhalten macht, sobald diese zugestellt wurden.

Was Anthropic nicht für dich tun kann

Einen geleakten Key sofort ungültig machen. Anthropic kann anomale Nutzungsmuster erkennen, aber einen Key nicht sofort ungültig machen. Behandle ANTHROPIC_ENVIRONMENT_KEY wie ein Datenbankpasswort: Rotiere ihn sofort, wenn er kompromittiert wurde.

Deinen Worker-Build verifizieren. Anthropic inspiziert weder dein Sandbox-Image noch deine Laufzeitumgebung. Eine Supply-Chain-Kompromittierung in deinem Image ist von der Steuerungsebene aus nicht erkennbar.

Tools innerhalb deiner Sandbox isolieren. Die Sicherheitsgrenze von Anthropic endet an der Sandbox. Wie du einzelne Tool-Ausführungen innerhalb dieser Grenze voneinander isolierst, liegt vollständig in deiner Verantwortung.

Datenaufbewahrung in deiner Umgebung durchsetzen. Sobald Sitzungsinhalte deinen Worker erreichen, befinden sie sich außerhalb der Datenlebenszyklus-Kontrollen von Anthropic.

Was this page helpful?