Settings and permissions

沙箱机制

解释沙箱怎么保护环境，哪些命令会被拦，哪些能放行。

页面信息

对应原页

Sandboxing

页面性质

第三方中文解释页

使用建议

先看人话解释，再对照原页命令和代码

这页不是官方原文，而是顺着官方文档结构做的中文解释版。命令、参数、配置名这些硬东西尽量保留，解释部分则尽量讲成人能照着做的话。

如果你碰到特别敏感的配置、权限或企业环境差异，最好顺手点上面的“查看原始文档”再核一遍。

这一页先讲明白

这页讲的是沙箱，也就是给 Claude Code 围一个安全活动圈。

意思很简单：让它能干活，但别一脚踩出院墙。

沙箱就像给帮工划出来的工作区。它可以在圈里翻土、搬东西，但不能想去哪儿就去哪儿。

这页重点会讲文件隔离、网络隔离，还有为什么这样做更安全。

如果你想多开自动化能力，又怕它误伤环境，这页必须先看。

先弄清你最担心的是改坏文件，还是乱联网，再选对应限制。

不要只图方便把沙箱全拆掉，特别是在自动运行和团队环境里。

沙箱和权限是一起看的，不是只看其中一个就够。

关键片段

原页关键片段：Prerequisites 1

"Prerequisites"这一段里最要紧的原始写法在下面，先看它怎么落地。

sudo apt-get install bubblewrap socat

关键片段

原页关键片段：Prerequisites 2

"Prerequisites"这一段里最要紧的原始写法在下面，先看它怎么落地。

sudo dnf install bubblewrap socat

直接对 Claude 说

原页关键片段：Enable sandboxing

最省事的做法，就是把下面这句原样说给 Claude。

/sandbox

改配置

原页关键片段：Configure sandboxing 1

这一段说完，最后还得写到配置里才算真的生效。

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      "allowWrite": ["~/.kube", "/tmp/build"]
    }
  }
}

改配置

原页关键片段：Configure sandboxing 2

这一段说完，最后还得写到配置里才算真的生效。

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      "denyRead": ["~/"],
      "allowRead": ["."]
    }
  }
}

改配置

原页关键片段：Custom proxy configuration

想把这条规矩固定住，就把下面这块老老实实写进去。

{
  "sandbox": {
    "network": {
      "httpProxyPort": 8080,
      "socksProxyPort": 8081
    }
  }
}

终端里敲

原页关键片段：Open source

这一段不是只让你理解意思，下面这条命令就是现在要跑的。

npx @anthropic-ai/sandbox-runtime <command-to-sandbox>

预留广告位

正文中段响应式广告 等你后面真接 AdSense，这里再放正式广告。

Documentation Index

这里不是让你背"Documentation Index"这个词，而是让你看它真干活时怎么使。

Overview

看到这里，就把"Overview"当成一件真要上手的活来看。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

Why sandboxing matters

这一块主要是在说"Why sandboxing matters"真到手上该怎么用，哪里最容易踩坑。

如果这里反复提 lead 和 teammate，通常是在提醒主代理别抢队友还没做完的活，先等人把结果交回来再继续统筹。

How it works

这里讲底层是怎么运转的。你把它看明白，后面遇到异常时就知道该往哪儿查。

Filesystem isolation

别把这段只当成标题看，它其实是在给"Filesystem isolation"划边界。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

Network isolation

这一段主要是在把"Network isolation"讲实，不是只摆个标题给你看。

这里还牵扯作用域，意思就是这条规则到底管当前项目、你个人，还是只管这一趟会话。

OS-level enforcement

这一段不只是挂个标题，它是在说明"OS-level enforcement"这一块到底负责什么。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

Getting started

这一块主要是在说"Getting started"真到手上该怎么用，哪里最容易踩坑。

Prerequisites

这一块主要是在说"Prerequisites"真到手上该怎么用，哪里最容易踩坑。

Enable sandboxing

这里讲怎么把某个开关拧对。重点不是概念，而是你该在哪儿改、改完怎么确认生效。

直接对 Claude 说

Enable sandboxing

最省事的做法，就是把下面这句原样说给 Claude。

/sandbox

Sandbox modes

看到这里，就把"Sandbox modes"当成一件真要上手的活来看。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

Configure sandboxing

看到这类标题，就当是在调一个具体开关。

这里还牵扯作用域，意思就是这条规则到底管当前项目、你个人，还是只管这一趟会话。

改配置

Configure sandboxing 1

这一段说完，最后还得写到配置里才算真的生效。

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      "allowWrite": ["~/.kube", "/tmp/build"]
    }
  }
}

改配置

Configure sandboxing 2

这一段说完，最后还得写到配置里才算真的生效。

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      "denyRead": ["~/"],
      "allowRead": ["."]
    }
  }
}

Security benefits

这一段主要是在把"Security benefits"讲实，不是只摆个标题给你看。

Protection against prompt injection

看到这里，就把"Protection against prompt injection"当成一件真要上手的活来看。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

Reduced attack surface

这一块主要是在说"Reduced attack surface"真到手上该怎么用，哪里最容易踩坑。

这里还牵扯作用域，意思就是这条规则到底管当前项目、你个人，还是只管这一趟会话。

Transparent operation

这一段更像在讲判断条件，什么时候该上，什么时候先别急。把触发条件看清，比背标题更重要。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

Security Limitations

这一块主要是在说"Security Limitations"真到手上该怎么用，哪里最容易踩坑。

这里还牵扯作用域，意思就是这条规则到底管当前项目、你个人，还是只管这一趟会话。

How sandboxing relates to permissions

这里不是让你背"How sandboxing relates to permissions"这个词，而是让你看它真干活时怎么使。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

Advanced usage

看到这里，就把"Advanced usage"当成一件真要上手的活来看。

Custom proxy configuration

这一块主要是在说"Custom proxy configuration"真到手上该怎么用，哪里最容易踩坑。

改配置

Custom proxy configuration

想把这条规矩固定住，就把下面这块老老实实写进去。

{
  "sandbox": {
    "network": {
      "httpProxyPort": 8080,
      "socksProxyPort": 8081
    }
  }
}

Integration with existing security tools

这段看着像个标题，其实是在说"Integration with existing security tools"管到哪儿。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

Best practices

这段算经验活，听劝通常能省事。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

Open source

别把这段只当成标题看，它其实是在给"Open source"划边界。

这里还牵扯作用域，意思就是这条规则到底管当前项目、你个人，还是只管这一趟会话。

终端里敲

Open source

这一段不是只让你理解意思，下面这条命令就是现在要跑的。

npx @anthropic-ai/sandbox-runtime <command-to-sandbox>

Limitations

这一块主要是在说"Limitations"真到手上该怎么用，哪里最容易踩坑。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

What sandboxing does not cover

这段看着像个标题，其实是在说"What sandboxing does not cover"管到哪儿。

看这段时要特别盯工具和权限边界，别为了省事一把全开。

第 1 步：Prerequisites 1

"Prerequisites"这一段里最要紧的原始写法在下面，先看它怎么落地。

sudo apt-get install bubblewrap socat

关键片段

第 2 步：Prerequisites 2

"Prerequisites"这一段里最要紧的原始写法在下面，先看它怎么落地。

sudo dnf install bubblewrap socat

直接对 Claude 说

第 3 步：Enable sandboxing

最省事的做法，就是把下面这句原样说给 Claude。

/sandbox

改配置

第 4 步：Configure sandboxing 1

这一段说完，最后还得写到配置里才算真的生效。

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      "allowWrite": ["~/.kube", "/tmp/build"]
    }
  }
}

一眼看懂这一页

先把这页到底在讲什么看明白，再去碰具体命令和配置，最不容易绕晕。

Sandboxing
   |
   v
这是 Settings and permissions 里的一摊要紧活
   |
   v
先弄懂，再下手

文末提醒

这站会按官方 docs 的导航和内容变化继续重生成，原站加页、删页、改页时，这里会跟着更新。

人话解释会尽量顺着原页往下讲，但命令、参数名、配置名这些硬东西还是保留原样，免得你抄过去跑不起来。