SpyBara
Go Premium

sandbox-environments.md 2026-06-16 21:57 UTC to 2026-06-17 17:02 UTC

2 added, 2 removed.

2026
Tue 30 23:02 Mon 29 23:02 Sat 27 01:01 Fri 26 23:00 Thu 25 23:58 Wed 24 22:02 Tue 23 22:00 Mon 22 23:59 Fri 19 22:58 Thu 18 22:00 Wed 17 17:02 Tue 16 21:57 Mon 15 23:02 Sat 13 21:59 Fri 12 22:00 Thu 11 23:01 Wed 10 23:57 Tue 9 06:34 Mon 8 06:52 Sat 6 06:24 Fri 5 06:45 Thu 4 06:52 Wed 3 06:53 Tue 2 06:51

Elegir un entorno sandbox

Compare las opciones de sandbox de Claude Code: la herramienta Bash aislada integrada, el tiempo de ejecución sandbox, contenedores de desarrollo, Docker y máquinas virtuales. Elija el aislamiento adecuado para su modelo de amenaza.

Aislar Claude Code limita lo que una sesión puede leer, escribir y alcanzar en la red. Esto es más importante cuando permite que Claude trabaje con menos solicitudes de permiso, lo ejecuta sin supervisión o lo apunta a código en el que no confía completamente.

Claude Code puede ejecutarse en varios tipos de entornos aislados, que van desde un sandbox ligero por comando hasta una máquina virtual completamente separada. Esta página cubre cómo:

  • Comparar los enfoques de aislamiento disponibles por lo que aíslan, lo que requieren y cuánta configuración implica
  • Elegir el enfoque que se ajuste a su objetivo y modelo de amenaza
  • Comenzar con el enfoque que eligió, desde el sandbox Bash integrado hasta una máquina virtual dedicada
  • Aplicar aislamiento para cada desarrollador en su organización

Comparar enfoques de sandboxing

Los dos primeros enfoques en la tabla a continuación se ejecutan en el sistema operativo host sin contenedores. El resto coloca Claude Code dentro de un contenedor o máquina virtual.

Enfoque Qué se aísla Requiere Docker Esfuerzo de configuración
Herramienta Bash aislada Comandos Bash y sus procesos secundarios No Mínimo en macOS; bajo en Linux y WSL2
Tiempo de ejecución sandbox Todo el proceso de Claude Code, incluidas herramientas de archivo, servidores MCP y hooks No Bajo
Contenedor de desarrollo Entorno de desarrollo completo Medio
Contenedor personalizado Entorno de desarrollo completo Medio a alto
Máquina virtual Sistema operativo completo No Alto
Claude Code en la web Sistema operativo completo, alojado por Anthropic No Ninguno; requiere una suscripción a Claude y GitHub

La herramienta Bash aislada está integrada en Claude Code y restringe solo comandos Bash. Las herramientas de archivo integradas, los servidores MCP y los hooks aún se ejecutan directamente en su host. Todos los demás enfoques en la tabla colocan todo el proceso de Claude Code dentro del límite de aislamiento, por lo que las herramientas de archivo, los servidores MCP y los hooks también están restringidos.

Elegir un enfoque

Haga coincidir su objetivo con una fila a continuación, luego lea la sección de detalle que sigue.

Usted quiere Comience con
Reducir solicitudes de permiso durante el trabajo diario en su propia máquina La herramienta Bash aislada, habilitada con /sandbox
Permitir que Claude trabaje sin supervisión con --dangerously-skip-permissions o modo automático El contenedor de desarrollo preconfigurado, cualquier contenedor o máquina virtual, o el tiempo de ejecución sandbox
Aislar servidores MCP y hooks así como Bash, sin Docker El tiempo de ejecución sandbox
Trabajar en un repositorio no confiable Una máquina virtual dedicada, o Claude Code en la web si tiene una suscripción a Claude y una cuenta de GitHub conectada
Estandarizar un entorno aislado en un equipo El contenedor de desarrollo preconfigurado, copiado en su repositorio
Usar Claude Code desde un dispositivo sin configuración local Claude Code en la web, que requiere una suscripción a Claude y una cuenta de GitHub conectada
Requerir aislamiento para cada desarrollador en su organización Aplicar aislamiento en toda la organización
Trabajar en un host Windows nativo Un contenedor o máquina virtual, o ejecutar el sandbox Bash dentro de WSL2

Cómo se relaciona el aislamiento con los modos de permiso

Los modos de permiso deciden si se ejecuta una llamada de herramienta y si se le solicita primero. El aislamiento restringe lo que un comando puede acceder una vez que se ejecuta. Los dos funcionan juntos: cuando un modo de permiso permite que las acciones se ejecuten sin preguntarle, un límite de aislamiento limita lo que esas acciones pueden alcanzar.

--dangerously-skip-permissions elimina la revisión por acción que no sea reglas de solicitud explícitas, por lo que un límite de aislamiento es lo único que limita lo que Claude puede hacer. Siempre ejecútelo dentro de un contenedor, una máquina virtual o el tiempo de ejecución sandbox, para que las herramientas de archivo, los servidores MCP y los hooks también estén dentro del límite.

El modo automático reemplaza la solicitud con un clasificador que revisa acciones y bloquea las que escalan más allá de la solicitud, apuntan a infraestructura no reconocida o parecen impulsadas por contenido hostil que Claude leyó. El clasificador es un control por acción, no un límite de aislamiento, por lo que un límite de aislamiento aún agrega defensa en profundidad para ejecuciones sin supervisión, y no es requerido como lo es para --dangerously-skip-permissions.

La herramienta Bash aislada por sí sola restringe solo Bash, por lo que no es suficiente para ejecuciones completamente sin supervisión en ninguno de los modos. Puede superponer enfoques: ejecutar la herramienta Bash aislada dentro de un contenedor o máquina virtual le da restricciones de comando a nivel de SO además del límite del entorno externo. Para cómo el sandbox Bash en sí interactúa con reglas de permiso y modos de permiso, consulte Cómo el sandboxing se relaciona con permisos y modos de permiso.

Herramienta Bash aislada

La herramienta Bash aislada está integrada en Claude Code. Utiliza primitivas del sistema operativo para restringir el acceso al sistema de archivos y la red de cada comando Bash que ejecuta Claude: Seatbelt, el sandbox integrado de macOS, y bubblewrap en Linux y WSL2. Por defecto, permite escrituras en el directorio de trabajo y solicita la primera vez que un comando necesita un nuevo dominio de red.

Habilítelo con el comando /sandbox. La guía Sandboxing cubre los modos de aprobación, el límite predeterminado y cómo ampliarlo o estrecharlo.

El sandbox por comando no cubre todo lo que se ejecuta en una sesión:

  • Otras herramientas integradas como Read, Edit y WebFetch se ejecutan dentro del proceso de Claude Code y no generan código arbitrario. Las reglas de permiso para ruta o dominio las controlan en su lugar.
  • Los servidores MCP y hooks son procesos separados que se ejecutan sin restricciones en el host.

Para poner herramientas integradas, servidores MCP y hooks todos detrás de un límite de SO, ejecute todo el proceso de Claude Code dentro del tiempo de ejecución sandbox, el contenedor de desarrollo o un contenedor personalizado.

Tiempo de ejecución sandbox

El paquete @anthropic-ai/sandbox-runtime envuelve un proceso completo en el mismo aislamiento Seatbelt o bubblewrap que usa el sandbox Bash integrado. Ejecutar Claude Code a través de él restringe cada herramienta, hook y servidor MCP en la sesión, no solo Bash. El tiempo de ejecución es una vista previa de investigación beta, y su formato de configuración puede cambiar a medida que el paquete evoluciona.

El tiempo de ejecución niega todo acceso de escritura y red por defecto, así que configúrelo antes de lanzar Claude Code a través de él. En ~/.srt-settings.json, o un archivo que pase con --settings, permita acceso de escritura a al menos su directorio de proyecto y las rutas de configuración de Claude Code ~/.claude y ~/.claude.json. Permita los dominios de red que su sesión necesita, incluido api.anthropic.com o el punto final de su proveedor configurado. Consulte el README del paquete para el esquema de configuración completo.

Una vez que el archivo de configuración esté en su lugar, lance Claude Code con npx y pase claude como el comando a envolver:

npx @anthropic-ai/sandbox-runtime claude

Claude Code se inicia dentro del sandbox con los límites de sistema de archivos y red que configuró. El mismo comando funciona para aislar servidores MCP independientes u otros procesos auxiliares.

Contenedores de desarrollo

Un contenedor de desarrollo ejecuta Claude Code dentro de un contenedor Docker que VS Code o un editor compatible gestiona, con su proyecto montado. Puede definir el suyo propio con un directorio .devcontainer/ en su repositorio.

El repositorio claude-code publica un contenedor de desarrollo de ejemplo con un firewall iptables de negación predeterminada como punto de partida. Cópielo en su repositorio y ajuste la lista de permitidos del firewall, la imagen base y la versión de Claude Code fijada para que se ajuste a su entorno. Debido a que el firewall bloquea el egreso no aprobado, una configuración como esta admite ejecutar Claude Code con --dangerously-skip-permissions para trabajo sin supervisión.

Contenedor personalizado

Puede ejecutar Claude Code en cualquier imagen de contenedor Docker u OCI con sus propias políticas de red, volúmenes montados y perfiles seccomp. Este es el camino más común para organizaciones con infraestructura de contenedor existente o ejecutores de CI.

Varios servicios de sandbox administrados y ejecución remota pueden alojar el contenedor para usted. La misma lista de verificación se aplica como para cualquier contenedor que opere: revise qué está montado escribible, qué credenciales y tokens son accesibles dentro de él y qué permite la política de egreso de red.

Puede superponer el sandbox Bash integrado dentro del contenedor para restricciones por comando. Los contenedores sin privilegios necesitan la configuración de sandbox anidado descrita en Solución de problemas de Sandboxing.

Máquina virtual

Una máquina virtual dedicada proporciona la separación más fuerte, con su propio kernel y, en implementaciones en la nube o microVM, su propio hardware virtualizado. Las opciones incluyen instancias en la nube, hipervisores locales y microVMs como Firecracker.

Use este enfoque cuando esté evaluando código no confiable, cuando su política de seguridad requiera separación a nivel de kernel entre el agente y el host, o cuando ningún enfoque a nivel de host cumpla con sus requisitos de cumplimiento. La característica de sandboxes de Docker Desktop proporciona una microVM con su propio daemon de Docker y sincronización de espacio de trabajo, que puede ejecutar Claude Code en hosts que ya tienen Docker Desktop.

Claude Code en la web

Claude Code en la web ejecuta cada sesión en una máquina virtual aislada y administrada por Anthropic. Un proxy de red aplica una lista de permitidos predeterminada, y un proxy separado mantiene su token de GitHub fuera del sandbox mientras emite credenciales con alcance para acceso al repositorio dentro de él.

Use este enfoque cuando desee aislamiento completo de máquina virtual sin aprovisionar infraestructura usted mismo, o cuando esté delegando tareas desde un dispositivo que no tiene un entorno de desarrollo local. Requiere una suscripción a Claude y una cuenta de GitHub conectada, y las sesiones clonan su repositorio desde GitHub. Consulte Claude Code en la web para disponibilidad de planes y opciones de autenticación de GitHub.

Aplicar aislamiento en toda la organización

Los desarrolladores individuales pueden optar por cualquiera de los enfoques anteriores. Lo que una organización puede aplicar, y con qué herramientas, depende del enfoque:

  • Sandbox Bash integrado: el único enfoque que Claude Code aplica a sí mismo. Entregue las claves de configuración sandbox a través de configuración administrada, ya sea como un archivo administrado por su MDM o a través de configuración administrada por servidor en Claude.ai. Consulte Aplicar sandboxing con configuración administrada para las claves a implementar y cómo evitar que los desarrolladores amplíen la política.
  • Contenedores de desarrollo: confirme el contenedor de desarrollo de ejemplo en sus repositorios para estandarizar el entorno en un equipo. Esta es una convención en lugar de un límite de aplicación, porque Claude Code no requiere un contenedor. Si los desarrolladores no deberían poder ejecutar Claude Code fuera de él, aplique eso con las herramientas de administración de dispositivos de su organización o herramientas de lista de permitidos de software.
  • Contenedores personalizados y máquinas virtuales: distribuya Claude Code a través de la imagen aprobada y use las herramientas de administración de dispositivos de su organización o herramientas de lista de permitidos de software para evitar la instalación fuera de ella.

Ver también

Estas páginas cubren detalles de configuración y política para los enfoques anteriores.