Claudeとセキュリティfmfm

そもそも

端末をメインじゃないものにする

Coworkなどで実行できる環境を絞る

クラウド

隔離環境は積極的に使う

設定ファイル

調べる

Remote controllはsandboxがデフォルトで無効？

そもそもsandboxの今の理解が合ってるか調べておきたい

判定フロー

ツール呼び出し

① Hooks：カスタムコードで allow / deny / 継続

② Deny ルール：一致したら即ブロック（bypassでも有効）

③ Permission mode：bypassPermissions はここで全承認

④ Allow ルール：一致したら承認

⑤ canUseTool ：実行時にユーザーへ確認（dontAsk なら拒否）

sandbox-runtime（srt）とは何か、どう動くのか

Anthropicが公開している、エージェントやコマンドを隔離するためのツール。

コンテナを必要とせず、OSレベルで任意のプロセスにファイルシステムとネットワークの制限を強制する軽量なサンドボックスツール。

Seatbeltプロファイル

Seatbelt は macOS標準のアプリの行動範囲を制限する機能

隔離

ファイル隔離がなければ侵害されたプロセスがSSH鍵などの機微ファイルを持ち出せてしまう

ネットワーク隔離がなければプロセスがサンドボックスを抜けて無制限のネットワークアクセスを得てしまう

強いガード

.bashrcや.zshrcなどのシェル設定ファイル、.gitconfig、.mcp.json、.vscode/、.claude/commands/、.git/hooks/などは、許可された書き込みパス内にあっても常にブロックされる。sandbox-runtime の機能。

ネットワーク