Agentes GerenciadosSandboxes auto-hospedados

Modelo de segurança

Modelo de responsabilidade compartilhada para ambientes de sandbox auto-hospedados.

A Anthropic protege o "control plane" (plano de controle) em todos os ambientes: integridade de sessões e filas de trabalho, isolamento multi-tenant e minimização do contexto do agente. Quando você auto-hospeda, as seguintes responsabilidades recaem sobre você.

O que é sua responsabilidade

Qualidade da imagem do sandbox e hardening do runtime. A Anthropic não inspeciona nem verifica sua imagem de sandbox. Siga as melhores práticas, como remover capabilities desnecessárias do Linux, executar como usuário não-root e usar um sistema de arquivos raiz somente leitura.
Controles de egresso de rede. O acesso à rede do seu sandbox é determinado pelas regras da sua VPC e do seu firewall. Sem restrições de egresso, uma execução de ferramenta comprometida pode alcançar hosts externos arbitrários. Restrinja o tráfego de saída apenas aos endpoints que suas ferramentas exigem.
Armazenamento e rotação da chave de serviço. A chave de serviço do ambiente (ANTHROPIC_ENVIRONMENT_KEY) autoriza o polling da fila de trabalho do seu ambiente e o envio de resultados de volta às sessões. Armazene-a em um gerenciador de segredos, não em arquivos de ambiente ou imagens de sandbox. Faça a rotação imediatamente se suspeitar de exposição.
Isolamento de cargas de trabalho não confiáveis. A chave de serviço do ambiente tem escopo limitado à fila de trabalho de um único ambiente. Se você executa código não confiável dentro do seu sandbox, considere provisionar um workspace e um ambiente separados para cada limite de confiança. Isso limita cada chave às sessões de um único usuário, em vez de um pool compartilhado.
Raio de impacto da execução de ferramentas. As ferramentas são executadas dentro do seu sandbox com quaisquer permissões que seu processo tenha. Aplique o princípio do menor privilégio ao usuário do processo e monte apenas os diretórios que suas ferramentas exigem.
Retenção de logs e conteúdo de sessão. O conteúdo das conversas e as saídas das ferramentas passam pelo seu worker e permanecem no seu ambiente. Você é responsável por reter, redigir ou excluir esses dados em conformidade com suas próprias políticas. A Anthropic não tem visibilidade sobre o que seu worker faz com o conteúdo da sessão depois que ele é entregue.

O que a Anthropic não pode fazer por você

Invalidar instantaneamente uma chave vazada. A Anthropic pode detectar padrões de uso anômalos, mas não pode invalidar uma chave instantaneamente. Trate ANTHROPIC_ENVIRONMENT_KEY como uma senha de banco de dados: faça a rotação imediatamente se for comprometida.
Verificar o build do seu worker. A Anthropic não inspeciona sua imagem de sandbox nem seu runtime. Um comprometimento de supply chain na sua imagem não é detectável a partir do plano de controle.
Isolar ferramentas dentro do seu sandbox. O limite de segurança da Anthropic termina no sandbox. Como você isola execuções individuais de ferramentas umas das outras dentro desse limite é inteiramente sua responsabilidade.
Aplicar retenção de dados no seu ambiente. Uma vez que o conteúdo da sessão chega ao seu worker, ele está fora dos controles de ciclo de vida de dados da Anthropic.

Was this page helpful?

O que é sua responsabilidade

Qualidade da imagem do sandbox e hardening do runtime. A Anthropic não inspeciona nem verifica sua imagem de sandbox. Siga as melhores práticas, como remover capabilities desnecessárias do Linux, executar como usuário não-root e usar um sistema de arquivos raiz somente leitura.

Controles de egresso de rede. O acesso à rede do seu sandbox é determinado pelas regras da sua VPC e do seu firewall. Sem restrições de egresso, uma execução de ferramenta comprometida pode alcançar hosts externos arbitrários. Restrinja o tráfego de saída apenas aos endpoints que suas ferramentas exigem.

Armazenamento e rotação da chave de serviço. A chave de serviço do ambiente (ANTHROPIC_ENVIRONMENT_KEY) autoriza o polling da fila de trabalho do seu ambiente e o envio de resultados de volta às sessões. Armazene-a em um gerenciador de segredos, não em arquivos de ambiente ou imagens de sandbox. Faça a rotação imediatamente se suspeitar de exposição.

Isolamento de cargas de trabalho não confiáveis. A chave de serviço do ambiente tem escopo limitado à fila de trabalho de um único ambiente. Se você executa código não confiável dentro do seu sandbox, considere provisionar um workspace e um ambiente separados para cada limite de confiança. Isso limita cada chave às sessões de um único usuário, em vez de um pool compartilhado.

Raio de impacto da execução de ferramentas. As ferramentas são executadas dentro do seu sandbox com quaisquer permissões que seu processo tenha. Aplique o princípio do menor privilégio ao usuário do processo e monte apenas os diretórios que suas ferramentas exigem.

Retenção de logs e conteúdo de sessão. O conteúdo das conversas e as saídas das ferramentas passam pelo seu worker e permanecem no seu ambiente. Você é responsável por reter, redigir ou excluir esses dados em conformidade com suas próprias políticas. A Anthropic não tem visibilidade sobre o que seu worker faz com o conteúdo da sessão depois que ele é entregue.

O que a Anthropic não pode fazer por você

Invalidar instantaneamente uma chave vazada. A Anthropic pode detectar padrões de uso anômalos, mas não pode invalidar uma chave instantaneamente. Trate ANTHROPIC_ENVIRONMENT_KEY como uma senha de banco de dados: faça a rotação imediatamente se for comprometida.

Verificar o build do seu worker. A Anthropic não inspeciona sua imagem de sandbox nem seu runtime. Um comprometimento de supply chain na sua imagem não é detectável a partir do plano de controle.

Isolar ferramentas dentro do seu sandbox. O limite de segurança da Anthropic termina no sandbox. Como você isola execuções individuais de ferramentas umas das outras dentro desse limite é inteiramente sua responsabilidade.

Aplicar retenção de dados no seu ambiente. Uma vez que o conteúdo da sessão chega ao seu worker, ele está fora dos controles de ciclo de vida de dados da Anthropic.

Was this page helpful?