何が公開されたか
Anthropicは、Claude.ai・Claude Code・Claude Coworkの3製品で採用しているサンドボックス手法をまとめた解説を公開しました。プロセスサンドボックス、VM、ファイルシステム境界、外向き通信制御を組み合わせ、エージェントが到達できる範囲に「ハード境界」を設けることが狙いだと説明しています。
具体的には、ブラウザ版のClaude.aiにはGoogle発のコンテナランタイムであるgVisorを採用。ローカル実行されるClaude Codeでは、macOSではApple純正のSeatbelt、LinuxではBubblewrapを利用します。重量級の作業を想定するClaude Coworkは、macOSでApple Virtualization framework、WindowsでHCS(Host Compute Service)を使い、フルVMの中で動作させます。
なぜ重要か
解説の核心は「資格情報をサンドボックスの外に置けば、ユーザーの誤操作・モデルの“創造的な抜け道”・攻撃者のいずれが起点でも、流出は構造的に起き得ない」という設計原則にあります。AIエージェントの誤動作対策を「モデルの賢さ」ではなく「到達可能域の物理的な制限」に求めている点が示唆的です。
漏れも自ら開示
注目すべきは、api.anthropic.com/v1/files を経由した外部送信リスクなど、当初の設計で見落としていた経路を自社で公表していることです。紹介者のSimon Willison氏は、サンドボックス系プロダクトはドキュメントが薄く信頼しづらいと長らく不満を述べてきましたが、今回はオープンソース化されたsrt(Anthropic Sandbox Runtime)も「本格的に試せる成熟度に達した」と評価しています。
💼 事業会社視点:これは自社にどう効くか
国内事業会社が読み取るべき論点
社内でClaude Codeを開発者に配布している日本のSaaSや受託開発企業にとって、本資料は「AIエージェントのセキュリティ説明責任」を顧客に果たすうえでの一次資料になります。これまで「サンドボックスで隔離している」と口頭で説明していた箇所を、macOS=Seatbelt/Linux=Bubklwrapといった具体的な技術名で説明できるようになり、ISMSや顧客監査の質疑対応が容易になります。
経営層が今動くべきは2点です。第一に、社内のAI利用ガイドラインを更新し、開発者端末にAPIキーや本番DB資格情報を置かない原則を「サンドボックス外に資格情報を置く=設計上の安全策」として明文化すること。第二に、自社で内製しているAIエージェントについて、Anthropicが見落としたfiles APIのような外向き経路をレビューし、egress allowlist方式に切り替える判断を技術部門に下すことです。EC・金融など顧客情報を扱う業態では、エージェントの「賢さ」より「到達域の狭さ」を調達基準に据え直す好機といえます。