Anthropicは、すべての環境においてコントロールプレーンのセキュリティを確保します。これには、セッションおよびワークキューの整合性、マルチテナント分離、エージェントコンテキストの最小化が含まれます。セルフホストする場合、以下の責任はお客様が負うことになります。
- サンドボックスイメージの品質とランタイムの堅牢化。 Anthropicはお客様のサンドボックスイメージを検査または検証しません。不要なLinuxケーパビリティの削除、非rootユーザーでの実行、読み取り専用ルートファイルシステムの使用など、ベストプラクティスに従ってください。
- ネットワークエグレス制御。 サンドボックスのネットワークアクセスは、お客様のVPCおよびファイアウォールルールによって決定されます。エグレス制限がない場合、侵害されたツール実行が任意の外部ホストに到達する可能性があります。アウトバウンドトラフィックは、ツールが必要とするエンドポイントのみに制限してください。
- サービスキーの保管とローテーション。 環境サービスキー(
ANTHROPIC_ENVIRONMENT_KEY)は、お客様の環境のワークキューをポーリングし、結果をセッションに送信することを認可します。環境ファイルやサンドボックスイメージではなく、シークレットマネージャーに保管してください。漏洩が疑われる場合は、直ちにローテーションしてください。
- 信頼できないワークロードの分離。 環境サービスキーは、1つの環境のワークキューにスコープが限定されています。サンドボックス内で信頼できないコードを実行する場合は、信頼境界ごとに個別のワークスペースと環境をプロビジョニングすることを検討してください。これにより、各キーが共有プールではなく単一ユーザーのセッションに限定されます。
- ツール実行の影響範囲。 ツールは、お客様のプロセスが持つ権限でサンドボックス内で実行されます。プロセスユーザーに最小権限を適用し、ツールが必要とするディレクトリのみをマウントしてください。
- ログ保持とセッションコンテンツ。 会話コンテンツとツール出力はお客様のワーカーを通過し、お客様の環境内に留まります。お客様自身のポリシーに準拠して、そのデータを保持、マスキング、または削除する責任はお客様にあります。Anthropicは、配信後にお客様のワーカーがセッションコンテンツをどのように扱うかについて可視性を持ちません。
Anthropicがお客様に代わって実施できないこと
- 漏洩したキーの即時無効化。 Anthropicは異常な使用パターンを検出できますが、キーを即座に無効化することはできません。
ANTHROPIC_ENVIRONMENT_KEYはデータベースパスワードと同様に扱い、侵害された場合は直ちにローテーションしてください。
- お客様のワーカービルドの検証。 Anthropicはお客様のサンドボックスイメージやランタイムを検査しません。お客様のイメージにおけるサプライチェーン侵害は、コントロールプレーンからは検出できません。
- サンドボックス内でのツールの分離。 Anthropicのセキュリティ境界はサンドボックスまでです。その境界内で個々のツール実行を互いにどのように分離するかは、完全にお客様の責任です。
- お客様の環境におけるデータ保持の強制。 セッションコンテンツがお客様のワーカーに到達した時点で、それはAnthropicのデータライフサイクル管理の範囲外となります。