托管智能体自托管沙箱

安全模型

自托管沙箱环境的责任共担模型。

Anthropic 负责保护所有环境中的控制平面（control plane）：会话和工作队列的完整性、多租户隔离以及智能体上下文最小化。当您选择自托管时，以下责任将由您承担。

您的责任范围

沙箱镜像质量和运行时加固。 Anthropic 不会检查或验证您的沙箱镜像。请遵循最佳实践，例如移除不必要的 Linux 能力（capabilities）、以非 root 用户身份运行，以及使用只读的根文件系统。
网络出口控制。 您的沙箱的网络访问权限由您的 VPC 和防火墙规则决定。如果没有出口限制，被入侵的工具执行可能会访问任意外部主机。请将出站流量限制为仅允许访问您的工具所需的端点。
服务密钥的存储和轮换。 环境服务密钥（ANTHROPIC_ENVIRONMENT_KEY）用于授权轮询您环境的工作队列并将结果提交回会话。请将其存储在密钥管理器中，而不是环境文件或沙箱镜像中。如果您怀疑密钥已泄露，请立即轮换。
隔离不受信任的工作负载。 环境服务密钥的作用域限定于单个环境的工作队列。如果您在沙箱内运行不受信任的代码，请考虑为每个信任边界配置单独的工作区和环境。这样可以将每个密钥限制为单个用户的会话，而不是共享池。
工具执行的影响范围。 工具在您的沙箱内运行，并拥有您的进程所具有的全部权限。请对进程用户应用最小权限原则，并仅挂载您的工具所需的目录。
日志保留和会话内容。 对话内容和工具输出会经过您的 worker 并保留在您的环境中。您有责任根据自己的策略保留、脱敏或删除这些数据。一旦会话内容被交付，Anthropic 无法知晓您的 worker 如何处理这些内容。

Anthropic 无法为您做的事情

立即使泄露的密钥失效。 Anthropic 可以检测异常的使用模式，但无法立即使密钥失效。请像对待数据库密码一样对待 ANTHROPIC_ENVIRONMENT_KEY：一旦泄露，请立即轮换。
验证您的 worker 构建。 Anthropic 不会检查您的沙箱镜像或运行时。您镜像中的供应链攻击无法从控制平面检测到。
在您的沙箱内隔离工具。 Anthropic 的安全边界止于沙箱。在该边界内如何将各个工具执行相互隔离，完全由您负责。
在您的环境中强制执行数据保留策略。 一旦会话内容到达您的 worker，它就不在 Anthropic 的数据生命周期控制范围之内。

Was this page helpful?

您的责任范围

沙箱镜像质量和运行时加固。 Anthropic 不会检查或验证您的沙箱镜像。请遵循最佳实践，例如移除不必要的 Linux 能力（capabilities）、以非 root 用户身份运行，以及使用只读的根文件系统。

网络出口控制。 您的沙箱的网络访问权限由您的 VPC 和防火墙规则决定。如果没有出口限制，被入侵的工具执行可能会访问任意外部主机。请将出站流量限制为仅允许访问您的工具所需的端点。

服务密钥的存储和轮换。 环境服务密钥（ANTHROPIC_ENVIRONMENT_KEY）用于授权轮询您环境的工作队列并将结果提交回会话。请将其存储在密钥管理器中，而不是环境文件或沙箱镜像中。如果您怀疑密钥已泄露，请立即轮换。

隔离不受信任的工作负载。 环境服务密钥的作用域限定于单个环境的工作队列。如果您在沙箱内运行不受信任的代码，请考虑为每个信任边界配置单独的工作区和环境。这样可以将每个密钥限制为单个用户的会话，而不是共享池。

工具执行的影响范围。 工具在您的沙箱内运行，并拥有您的进程所具有的全部权限。请对进程用户应用最小权限原则，并仅挂载您的工具所需的目录。

日志保留和会话内容。 对话内容和工具输出会经过您的 worker 并保留在您的环境中。您有责任根据自己的策略保留、脱敏或删除这些数据。一旦会话内容被交付，Anthropic 无法知晓您的 worker 如何处理这些内容。

Anthropic 无法为您做的事情

立即使泄露的密钥失效。 Anthropic 可以检测异常的使用模式，但无法立即使密钥失效。请像对待数据库密码一样对待 ANTHROPIC_ENVIRONMENT_KEY：一旦泄露，请立即轮换。

验证您的 worker 构建。 Anthropic 不会检查您的沙箱镜像或运行时。您镜像中的供应链攻击无法从控制平面检测到。

在您的沙箱内隔离工具。 Anthropic 的安全边界止于沙箱。在该边界内如何将各个工具执行相互隔离，完全由您负责。

在您的环境中强制执行数据保留策略。 一旦会话内容到达您的 worker，它就不在 Anthropic 的数据生命周期控制范围之内。

Was this page helpful?