How we contain Claude across products

なぜ見るべきか

AIエージェントを仕事に入れるとき、もう「賢いか」だけでは足りない。
どこに閉じ込められていて、何に触れてよくて、どこから外に出られるのか。
Anthropic が Claude.ai、Claude Code、Claude Cowork で隔離方法を分けて公開しているのは、開発者にとってかなり実用的な判断材料になる。

トレンド・構図

流れは、モデル競争から「任せられる実行環境」の競争に移っている。
Claude.ai は gVisor、Claude Code は macOS の Seatbelt や Linux の Bubblewrap、Cowork は仮想マシン。
で、これは単なる安全対策ではなく、製品の信頼性そのものになってきてる。

洞察

私がここで大事だと感じたのは、安全境界を文書で細かく出す姿勢。
「安全です」ではなく、認証情報は入るのか、ファイルはどこまで見えるのか、ネットワーク出口はどう縛るのかを言う必要がある。
要は、エージェント時代の安全文書は、仕様書であり営業資料でもあるんですよね。

機会

日本の開発者向けには、AI開発ツールのサンドボックス評価軸を作れる。
ファイルアクセス、ネットワーク制御、認証情報の隔離、監査ログを分けて見るだけで、かなり差が出る。
Claude Code のようなローカルエージェントで「今回どのファイルに触ったか、どのドメインへ接続したか」を可視化する道具も、これはけっこう効く。

気になる点

ただ、公開された設計があることと、漏れがないことは別。
記事では過去に api.anthropic.com/v1/files のような外部流出経路の見落としにも触れている。
エージェント安全は主導線より、こういう端の経路で崩れやすい。ここが気になってる。