Anthropic은 모든 환경에서 컨트롤 플레인을 보호합니다. 여기에는 세션 및 작업 큐 무결성, 멀티 테넌트 격리, 에이전트 컨텍스트 최소화가 포함됩니다. 자체 호스팅을 하는 경우 다음 책임은 사용자에게 있습니다.
- 샌드박스 이미지 품질 및 런타임 강화. Anthropic은 사용자의 샌드박스 이미지를 검사하거나 검증하지 않습니다. 불필요한 Linux 기능(capabilities) 제거, 비루트(non-root) 사용자로 실행, 읽기 전용 루트 파일 시스템 사용과 같은 모범 사례를 따르세요.
- 네트워크 이그레스(egress) 제어. 샌드박스의 네트워크 접근은 사용자의 VPC 및 방화벽 규칙에 의해 결정됩니다. 이그레스 제한이 없으면 손상된 도구 실행이 임의의 외부 호스트에 접근할 수 있습니다. 아웃바운드 트래픽을 도구에 필요한 엔드포인트로만 제한하세요.
- 서비스 키 저장 및 교체. 환경 서비스 키(
ANTHROPIC_ENVIRONMENT_KEY)는 환경의 작업 큐를 폴링하고 결과를 세션에 다시 제출할 수 있는 권한을 부여합니다. 환경 파일이나 샌드박스 이미지가 아닌 시크릿 매니저에 저장하세요. 노출이 의심되면 즉시 교체하세요.
- 신뢰할 수 없는 워크로드 격리. 환경 서비스 키는 하나의 환경 작업 큐로 범위가 제한됩니다. 샌드박스 내에서 신뢰할 수 없는 코드를 실행하는 경우, 각 신뢰 경계마다 별도의 워크스페이스와 환경을 프로비저닝하는 것을 고려하세요. 이렇게 하면 각 키가 공유 풀이 아닌 단일 사용자의 세션으로 제한됩니다.
- 도구 실행 영향 범위(blast radius). 도구는 프로세스가 가진 권한으로 샌드박스 내에서 실행됩니다. 프로세스 사용자에게 최소 권한을 적용하고 도구에 필요한 디렉터리만 마운트하세요.
- 로그 보존 및 세션 콘텐츠. 대화 콘텐츠와 도구 출력은 사용자의 워커를 통과하며 사용자의 환경에 남습니다. 자체 정책에 따라 해당 데이터를 보존, 수정 또는 삭제할 책임은 사용자에게 있습니다. Anthropic은 워커가 전달받은 세션 콘텐츠를 어떻게 처리하는지에 대한 가시성이 없습니다.
- 유출된 키의 즉시 무효화. Anthropic은 비정상적인 사용 패턴을 감지할 수 있지만 키를 즉시 무효화할 수는 없습니다.
ANTHROPIC_ENVIRONMENT_KEY를 데이터베이스 비밀번호처럼 취급하세요. 손상된 경우 즉시 교체하세요.
- 워커 빌드 검증. Anthropic은 사용자의 샌드박스 이미지나 런타임을 검사하지 않습니다. 이미지의 공급망(supply-chain) 손상은 컨트롤 플레인에서 감지할 수 없습니다.
- 샌드박스 내 도구 격리. Anthropic의 보안 경계는 샌드박스에서 끝납니다. 해당 경계 내에서 개별 도구 실행을 서로 어떻게 격리할지는 전적으로 사용자의 책임입니다.
- 사용자 환경에서의 데이터 보존 강제. 세션 콘텐츠가 사용자의 워커에 도달하면 Anthropic의 데이터 수명 주기 제어 범위를 벗어납니다.