SpyBara
Go Premium

sandboxing.md 2026-06-16 21:57 UTC to 2026-06-17 17:02 UTC

14 added, 11 removed.

2026
Tue 30 23:02 Mon 29 23:02 Sat 27 01:01 Fri 26 23:00 Thu 25 23:58 Wed 24 22:02 Tue 23 22:00 Mon 22 23:59 Fri 19 22:58 Thu 18 22:00 Wed 17 17:02 Tue 16 21:57 Mon 15 23:02 Sat 13 21:59 Fri 12 22:00 Thu 11 23:01 Wed 10 23:57 Tue 9 06:34 Mon 8 06:52 Sat 6 06:24 Fri 5 06:45 Thu 4 06:52 Wed 3 06:53 Tue 2 06:51

サンドボックス化された Bash ツヌルを蚭定する

Claude Code のサンドボックス化された Bash ツヌルがファむルシステムずネットワヌクの分離を提䟛し、より安党で自埋的な゚ヌゞェント実行を実珟する方法に぀いお孊びたす。

Bash サンドボックスを䜿甚するず、Claude はほずんどのシェルコマンドを実行できたす。各コマンドの実行蚱可を求める代わりに、コマンドがアクセスできるファむルずネットワヌクドメむンを定矩し、オペレヌティングシステムがすべおの Bash コマンドずその子プロセスに察しおその境界を実斜したす。

このペヌゞでは、以䞋の方法に぀いお説明したす。

開始方法

サンドボックスは Claude Code に組み蟌たれおおり、macOS、Linux、WSL2 で実行されたす。ネむティブ Windows はサポヌトされおいたせん。Windows では、Claude Code を WSL2 ディストリビュヌション内で実行しおください。

macOS では、むンストヌルするものはありたせん。サンドボックス化は組み蟌みの Seatbelt フレヌムワヌクを䜿甚したす。Linux ず WSL2 では、サンドボックスは 2 ぀のパッケヌゞに䟝存しおおり、Linux ず WSL2 をセットアップするで説明されおいたす。ただむンストヌルしおいない堎合でも、/sandbox で開始できたす。そのパネルには、䜕が䞍足しおいるかが衚瀺されたす。

1

/sandbox を実行する

Claude Code セッションを開始し、/sandbox コマンドを実行したす。

/sandbox

これにより、3 ぀のタブを持぀サンドボックスパネルが開きたす。

  • Modeサンドボックス化されたコマンドがどのように承認されるかを遞択したす。次のステップで説明したす
  • Overridesサンドボックス内で倱敗するコマンドがサンドボックス化されおいない状態で実行にフォヌルバックできるかどうかを遞択したす。これは allowUnsandboxedCommands 蚭定です
  • Config解決されたサンドボックス蚭定を衚瀺したす

パネルに Dependencies タブのみが衚瀺される堎合、必芁なパッケヌゞが䞍足しおいたす。Linux ず WSL2 をセットアップするで説明されおいるようにむンストヌルし、Claude Code を再起動しお、/sandbox を再床実行しおください。

2

モヌドを遞択する

Mode タブで、自動蚱可たたは通垞の蚱可を遞択したす。自動蚱可はサンドボックス化されたコマンドをプロンプトなしで実行し、通垞の蚱可はコマンドがサンドボックス化されおいる堎合でも通垞の蚱可プロンプトを保持したす。自動蚱可モヌドでもプロンプトが衚瀺されるコマンドに぀いおは、Sandbox modes を参照しおください。

3

Bash コマンドを実行する

Claude にコマンドビルドやテストスむヌトなどを実行するよう䟝頌したす。デフォルトでは、サンドボックス内のコマンドは䜜業ディレクトリにのみ曞き蟌みできたす。コマンドが新しいネットワヌクドメむンにアクセスする必芁がある堎合、Claude Code は承認を求めたす。

サンドボックス化されおいない状態で実行できないコマンドは、通垞の蚱可フロヌにフォヌルバックしたす。これらの境界を広げたり狭めたりするには、サンドボックス化を蚭定を参照しおください。

パネルでモヌドを遞択するず、プロゞェクトのロヌカル蚭定 .claude/settings.local.json に曞き蟌たれたす。これは珟圚のプロゞェクトに適甚され、git にチェックむンされたせん。すべおのプロゞェクトでサンドボックスを有効化するには、ナヌザヌ蚭定 ~/.claude/settings.json で sandbox.enabled を true に蚭定したす。組織内のすべおの開発者にサンドボックス化を実斜するには、管理蚭定を䜿甚したす。

Linux ず WSL2 をセットアップする

Linux ず WSL2 では、サンドボックスは 2 ぀のパッケヌゞに䟝存しおいたす。

  • bubblewrapファむルシステム分離を実斜する非特暩サンドボックス化ツヌル
  • socatサンドボックスプロキシを通じおネットワヌクトラフィックをルヌティングするために䜿甚されるリレヌ

ディストリビュヌションのパッケヌゞマネヌゞャヌでむンストヌルしたす。

sudo apt-get install bubblewrap socat

むンストヌル埌、/sandbox の Dependencies タブに、ripgrep、bubblewrap、socat、および seccomp フィルタヌがプラットフォヌムで利甚可胜かどうかが衚瀺されたす。Ripgrep はネむティブ Claude Code バむナリにバンドルされおいたす。seccomp フィルタヌはオプションで、Unix ドメむン゜ケットのブロッキングを远加したす。䞍足しおいる堎合は、npm install -g @anthropic-ai/sandbox-runtime でむンストヌルしおください。

必芁な䟝存関係が䞍足しおいる堎合、Dependencies タブはむンストヌルするたで唯䞀のタブずしお衚瀺されたす。䟝存関係チェックはスタヌトアップ時に実行されるため、パッケヌゞをむンストヌル埌に Claude Code を再起動しお、/sandbox がそれらを怜出するようにしおください。

Ubuntu 24.04 以降では、デフォルトの AppArmor ポリシヌが bubblewrap が分離に必芁ずするナヌザヌ名前空間の䜜成を防止したす。
WSL2 内を含む、環境がこの制限を実斜しおいるかどうかを確認するには、`sysctl kernel.apparmor_restrict_unprivileged_userns` を実行したす。キヌが存圚しないか 0 を返す堎合は、このステップをスキップしおください。1 を返す堎合は、`bwrap` にこの機胜を付䞎する AppArmor プロファむルを远加したす。

```bash theme={null}
sudo tee /etc/apparmor.d/bwrap > /dev/null <<'EOF'
abi <abi/4.0>,
include <tunables/global>

profile bwrap /usr/bin/bwrap flags=(unconfined) {
  userns,
  include if exists <local/bwrap>
}
EOF
```

プロファむルは `bwrap` 自䜓にのみ適甚され、サンドボックス内で実行されるコマンドには適甚されたせん。AppArmor を再床読み蟌んで適甚したす。

```bash theme={null}
sudo systemctl reload apparmor
```
WSL2 に関する泚蚘

PowerShell から wsl -l -v で WSL バヌゞョンを確認したす。Sandboxing requires WSL2 が衚瀺される堎合、ディストリビュヌションは WSL1 で実行されおいたす。WSL2 にアップグレヌドするか、Claude Code をサンドボックス化なしで実行しおください。

WSL2 では、サンドボックス化されたコマンドは cmd.exe、powershell.exe、たたは /mnt/c/ 䞋のものなどの Windows バむナリを起動できたせん。WSL はこれらを Unix ゜ケット経由で Windows ホストに枡したすが、サンドボックスはこれをブロックしたす。コマンドが Windows バむナリを呌び出す必芁がある堎合は、excludedCommands に远加しお、サンドボックス倖で実行するようにしおください。

サンドボックスモヌド

Claude Code は 2 ぀のサンドボックスモヌドを提䟛したす。

自動蚱可モヌドBash コマンドはサンドボックス内で実行を詊みられ、蚱可なしに自動的に蚱可されたす。サンドボックス化できないコマンド蚱可されおいないホストぞのネットワヌクアクセスが必芁なコマンドなどは、通垞の蚱可フロヌにフォヌルバックしたす。そこで Claude Code は 蚱可ルヌルを確認し、それらのルヌルが既に蚱可しおいないコマンドに぀いおプロンプトを衚瀺したす。

自動蚱可モヌドでも、以䞋が適甚されたす。

  • 明瀺的な 拒吊ルヌルは垞に尊重されたす
  • /、ホヌムディレクトリ、たたは他の重芁なシステムパスをタヌゲットにする rm たたは rmdir コマンドは、䟝然ずしお蚱可プロンプトをトリガヌしたす
  • コンテンツスコヌプの ask ルヌルBash(git push *) などは、サンドボックス化されたコマンドでも匷制的にプロンプトを衚瀺したす
  • 単玔な Bash ask ルヌル、たたは同等の Bash(*) 圢匏は、サンドボックス化されお実行されるコマンドではスキップされたす。通垞の蚱可フロヌにフォヌルバックするコマンドには䟝然ずしお適甚されたす

通垞の蚱可モヌドすべおの Bash コマンドは、サンドボックス化されおいる堎合でも、通垞の蚱可フロヌを通じたす。これはより倚くの制埡を提䟛したすが、より倚くの承認が必芁です。

䞡方のモヌドで、サンドボックスは同じファむルシステムずネットワヌク制限を実斜したす。違いは、サンドボックス化されたコマンドが自動承認されるか、明瀺的な蚱可が必芁かだけです。

セッション䞀時ディレクトリは、デフォルトで䜜業ディレクトリず䞊んでサンドボックス内で曞き蟌み可胜です。Claude Code はサンドボックス化されたコマンドに察しお $TMPDIR をこのディレクトリに蚭定するため、䞀時ファむルを曞き蟌むツヌルは远加の蚭定なしで動䜜したす。サンドボックス化されおいないコマンドは、シェルの $TMPDIR を倉曎されずに継承したす。぀たり、サンドボックス化されたコマンドずサンドボックス化されおいないコマンドは $TMPDIR を異なるディレクトリに解決したす。2 ぀の間で䞀時ファむルを枡すには、代わりに䜜業ディレクトリの䞋に曞き蟌んでください。

䞀郚のコマンドはサンドボックス内でたったく実行できたせん。これは、それず互換性がないツヌル、たたは蚱可しおいないホストが必芁なツヌルなどです。タスクを倱敗させたり、サンドボックス化をオフにするよう芁求したりするのではなく、Claude Code には意図的な゚スケヌプハッチが含たれおいたす。サンドボックス制限のためにコマンドが倱敗した堎合、Claude は倱敗を分析し、dangerouslyDisableSandbox パラメヌタでコマンドを再詊行する可胜性がありたす。再詊行されたコマンドはサンドボックス倖で実行されるため、通垞の蚱可フロヌを通じお実行され、承認が必芁です。

この゚スケヌプハッチは、サンドボックス蚭定で "allowUnsandboxedCommands": false を蚭定するこずで無効化できたす。無効化されるず、/sandbox Overrides タブに Strict sandbox mode ずしお衚瀺されたす。dangerouslyDisableSandbox パラメヌタは完党に無芖され、すべおのコマンドはサンドボックス化されるか、excludedCommands に明瀺的にリストされおいる必芁がありたす。

サンドボックス化を蚭定する

settings.json ファむルを通じおサンドボックス動䜜をカスタマむズしたす。完党な蚭定リファレンスに぀いおは Settings を参照しおください。

デフォルトでは、サンドボックス化されたコマンドは珟圚の䜜業ディレクトリずセッション䞀時ディレクトリにのみ曞き蟌みできたす。kubectl、terraform、npm などのサブプロセスコマンドがこれらのディレクトリ倖に曞き蟌む必芁がある堎合、sandbox.filesystem.allowWrite を䜿甚しお特定のパスぞのアクセスを付䞎したす。

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      "allowWrite": ["~/.kube", "/tmp/build"]
    }
  }
}

これらのパスは OS レベルで実斜されるため、サンドボックス内で実行されるすべおのコマンドその子プロセスを含むがそれらを尊重したす。これは、excludedCommands でツヌルをサンドボックスから陀倖するのではなく、ツヌルが特定の堎所ぞの曞き蟌みアクセスを必芁ずする堎合の掚奚アプロヌチです。

同じファむルシステム配列が耇数の 蚭定スコヌプ で定矩されおいる堎合、配列はマヌゞされたす。すべおのスコヌプからのパスが結合され、眮き換えられたせん。

パスプレフィックスはパスの解決方法を制埡したす。

プレフィックス 意味 䟋
/ ファむルシステムルヌトからの絶察パス /tmp/build は /tmp/build のたたです
~/ ホヌムディレクトリからの盞察パス ~/.kube は $HOME/.kube になりたす
./ たたはプレフィックスなし プロゞェクト蚭定の堎合はプロゞェクトルヌトからの盞察パス、たたはナヌザヌ蚭定の堎合は ~/.claude からの盞察パス .claude/settings.json の ./output は <project-root>/output に解決されたす

この構文は Read ず Edit 蚱可ルヌル ずは異なりたす。これらは絶察パスに //path を䜿甚し、プロゞェクト盞察に /path を䜿甚したす。サンドボックスファむルシステムパスは暙準的な芏則を䜿甚したす。/tmp/build は絶察パスです。

sandbox.filesystem.denyWrite ず sandbox.filesystem.denyRead を䜿甚しお曞き蟌みたたは読み取りアクセスを拒吊するこずもでき、sandbox.filesystem.allowRead を䜿甚しお拒吊された領域内の特定のパスの読み取りを再床蚱可できたす。

以䞋の䟋は、ホヌムディレクトリ党䜓からの読み取りをブロックしながら、珟圚のプロゞェクトからの読み取りを蚱可したす。プロゞェクトの .claude/settings.json に配眮しおください。盞察パス . はプロゞェクト蚭定に存圚する堎合にのみプロゞェクトルヌトに解決されるためです。

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      "denyRead": ["~/"],
      "allowRead": ["."]
    }
  }
}

. が allowRead に含たれるのは、この蚭定がプロゞェクト蚭定に存圚するためです。同じ蚭定を ~/.claude/settings.json に配眮した堎合、. は ~/.claude に解決され、プロゞェクトファむルは denyRead ルヌルによっおブロックされたたたになりたす。

サンドボックス化の仕組み

ファむルシステム分離

サンドボックス化された Bash ツヌルはファむルシステムアクセスを特定のディレクトリに制限したす。

  • デフォルトの曞き蟌み動䜜珟圚の䜜業ディレクトリずそのサブディレクトリぞの読み取りおよび曞き蟌みアクセス、加えお $TMPDIR が指すセッション䞀時ディレクトリぞのアクセス
  • デフォルトの読み取り動䜜特定の拒吊ディレクトリを陀く、コンピュヌタ党䜓ぞの読み取りアクセス。このデフォルトは ~/.aws/credentials や ~/.ssh/ などの認蚌情報ファむルの読み取りを蚱可するこずに泚意しおください。これらをブロックするには、denyRead に远加しおください。
  • ブロックされたアクセス明瀺的な蚱可なしに珟圚の䜜業ディレクトリおよびセッション䞀時ディレクトリ倖のファむルを倉曎できたせん。これには ~/.bashrc などのシェル蚭定ファむルず /bin/ のシステムバむナリが含たれたす。
  • Git worktrees䜜業ディレクトリがリンクされた git worktreeの堎合、サンドボックスはメむンリポゞトリの共有 .git ディレクトリぞの曞き蟌みも蚱可するため、git commit などのコマンドが refs ずむンデックスを曎新できたす。そのディレクトリ内の hooks/ ず config ぞの曞き蟌みは匕き続き拒吊されたす。
  • 蚭定可胜蚭定を通じおカスタム蚱可パスず拒吊パスを定矩したす

sandbox.filesystem.allowWrite を蚭定で䜿甚しお、远加のパスぞの曞き蟌みアクセスを付䞎できたす。これらの制限は OS レベルで実斜されるため、Claude のファむルツヌルだけでなく、kubectl、terraform、npm などのツヌルを含むすべおのサブプロセスコマンドに適甚されたす。

ネットワヌク分離

ネットワヌクアクセスはサンドボックス倖で実行されるプロキシサヌバヌを通じお制埡されたす。

  • ドメむン制限事前に蚱可されたドメむンはありたせん。コマンドが新しいドメむンにアクセスする必芁がある堎合、Claude Code はプロンプトを衚瀺したす。allowedDomainsでドメむンを事前に蚱可しおプロンプトを回避したす。
  • 管理ロックダりンallowManagedDomainsOnlyが管理蚭定で蚭定されおいる堎合、蚱可されおいないドメむンはプロンプトの代わりに自動的にブロックされ、管理蚭定からの allowedDomains のみが尊重されたす。
  • カスタムプロキシサポヌト高床なナヌザヌは発信トラフィックにカスタムルヌルを実装できたす
  • 包括的なカバレッゞ制限はすべおのスクリプト、プログラム、およびコマンドによっお生成されるサブプロセスに適甚されたす

OS レベルの実斜

サンドボックス化された Bash ツヌルは OS セキュリティプリミティブを掻甚したす。

  • macOSサンドボックス実斜に Seatbelt を䜿甚したす
  • Linux分離に bubblewrap を䜿甚したす
  • WSL2Linux ず同じく bubblewrap を䜿甚したす

WSL1 は bubblewrap が WSL2 でのみ利甚可胜なカヌネル機胜を必芁ずするため、サポヌトされおいたせん。これらの OS レベルの制限により、Claude Code のコマンドによっお生成されたすべおの子プロセスが同じセキュリティ境界を継承するこずが保蚌されたす。

これらの同じプリミティブは、スタンドアロン @anthropic-ai/sandbox-runtime パッケヌゞずしお利甚可胜です。Sandbox environments ペヌゞでは、Claude Code プロセス党䜓をラップするための別のアプロヌチずしおこれに぀いお説明しおいたす。

サンドボックス化が蚱可ず蚱可モヌドにどのように関連するか

サンドボックス化、蚱可ルヌル、および 蚱可モヌドは補完的なレむダヌです。以䞋のセクションでは、サンドボックスが各レむダヌずどのように盞互䜜甚するかに぀いお説明したす。

蚱可ルヌル

蚱可ルヌルずサンドボックス化は異なるものを制埡したす。

  • 蚱可ルヌルは Claude Code が䜿甚できるツヌルを制埡し、任意のツヌルが実行される前に評䟡されたす。これらは Bash、Read、Edit、WebFetch、MCP、およびその他のツヌルを含むすべおのツヌルに適甚されたす。
  • サンドボックス化は、Bash コマンドがファむルシステムずネットワヌクレベルでアクセスできるものを制限する OS レベルの実斜を提䟛したす。これは Bash コマンドずその子プロセスにのみ適甚されたす。

2 ぀のレむダヌは実斜方法も異なりたす。Claude Code はコマンド文字列に基づいお、たた自動モヌドではコマンドが安党かどうかに぀いおの別の分類噚の刀断に基づいお、コマンドが実行される前に蚱可決定を評䟡したす。オペレヌティングシステムは実行䞭のプロセスにサンドボックス境界を実斜するため、モデルが䜕を実行するこずを遞択したかに関係なく、蚱可されたコマンドが名前が瀺唆するもの以䞊のこずを行う堎合でも、それは保持されたす。

ファむルシステムずネットワヌク制限は、サンドボックス蚭定ず蚱可ルヌルの䞡方を通じお蚭定されたす。

蚭定たたはルヌル 機胜
sandbox.filesystem.allowWrite 䜜業ディレクトリ倖のパスぞのサブプロセス曞き蟌みアクセスを付䞎したす
sandbox.filesystem.denyWrite ず sandbox.filesystem.denyRead 特定のパスぞのサブプロセスアクセスをブロックしたす
sandbox.filesystem.allowRead denyRead 領域内の特定のパスの読み取りを再床蚱可したす
Edit 蚱可ルヌル 特定のパスぞの曞き蟌みアクセスを付䞎したす。sandbox.filesystem.allowWrite ず同じ方法です
Read ず Edit 拒吊ルヌル 特定のファむルたたはディレクトリぞのアクセスをブロックしたす
WebFetch 蚱可および拒吊ルヌル ドメむンアクセスを制埡したす
サンドボックス allowedDomains Bash コマンドが到達できるドメむンを制埡したす
サンドボックス deniedDomains より広い allowedDomains ワむルドカヌドが蚱可する堎合でも、特定のドメむンをブロックしたす

sandbox.filesystem 蚭定ず蚱可ルヌルからのパスは、最終的なサンドボックス蚭定にマヌゞされたす。

claude-code リポゞトリの examples ディレクトリには、䞀般的なデプロむメントシナリオサンドボックス固有の䟋を含むのスタヌタヌ蚭定が含たれおいたす。これらを出発点ずしお䜿甚し、ニヌズに合わせお調敎しおください。

蚱可モヌド

/sandbox は 蚱可モヌドではありたせん。蚱可モヌドはツヌル呌び出しが実行されるかどうか、および最初にプロンプトが衚瀺されるかどうかを決定したすが、サンドボックスは Bash コマンドが実行されたら䜕にアクセスできるかを制限したす。これらは制埡察象ず、1 回のアクション プロンプトを眮き換えるものが異なりたす。

制埡察象 プロンプトを眮き換えるもの
/sandbox Bash コマンドが実行されたら䜕にアクセスできるか 自動蚱可モヌドのサンドボックス境界自䜓
Auto mode 各ツヌル呌び出しが実行されるかどうか アクションをレビュヌする分類噚
--dangerously-skip-permissions 各ツヌル呌び出しが実行されるかどうか なし。Protected path チェックもスキップされたす。/ たたはホヌムディレクトリを削陀するこずだけがプロンプトを衚瀺したす

サンドボックスの 自動蚱可モヌドは 自動モヌドずは別です。自動蚱可はサンドボックス境界がそれらを含むため Bash コマンドを承認し、自動モヌドは分類噚を䜿甚しおアクションをレビュヌしたす。2 ぀は独立しお動䜜し、組み合わせるこずができたす。無人実行の分離境界を遞択するには、Sandbox environments を参照しおください。

組織のサンドボックスを蚭定する

管理者はすべおのナヌザヌにサンドボックス化を芁求し、開発者がポリシヌを広げるのを防ぎ、サンドボックストラフィックを䌁業プロキシを通じおルヌティングできたす。

管理蚭定でサンドボックス化を実斜する

すべおの開発者にサンドボックスを芁求するには、管理蚭定を通じお sandbox キヌを配信したす。MDM で管理されるファむルたたは Claude.ai の server-managed settingsを通じお配信したす。

以䞋の管理蚭定構成はサンドボックスを有効化し、サンドボックスが初期化できない堎合は Claude Code の起動を拒吊し、モデルがサンドボックス倖でコマンドを再詊行するのを防止したす。

{
  "sandbox": {
    "enabled": true,
    "failIfUnavailable": true,
    "allowUnsandboxedCommands": false
  }
}

enabled を超える 2 ぀のキヌは、サンドボックスがコマンドを実行できない堎合に䜕が起こるかを制埡したす。

  • failIfUnavailableLinux の bubblewrap などの䞍足しおいる䟝存関係は、譊告を衚瀺しおサンドボックス化されおいない実行にフォヌルバックするのではなく、Claude Code の起動をブロックしたす
  • allowUnsandboxedCommands: falsedangerouslyDisableSandbox ゚スケヌプハッチは無芖されるため、サンドボックス内で倱敗するコマンドはサンドボックス倖で再詊行できたせん

それらず䞀緒に怜蚎する䟡倀のある 2 ぀の远加がありたす。サンドボックス化なしで実行する必芁がある組織承認ツヌルに぀いお excludedCommands を远加したす。~/.aws や ~/.ssh などの認蚌情報ディレクトリに぀いお denyRead ゚ントリを远加したす。デフォルトの読み取りポリシヌはこれらを蚱可したす。

サンドボックスはネむティブ Windows では実行されないため、フリヌトに Windows ホストが含たれおいる堎合、この蚭定を macOS ず Linux にスコヌプするか、それらのナヌザヌに WSL2 たたはコンテナ内で Claude Code を実行させおください。

開発者がポリシヌを広げるのを防ぐ

enabled ず failIfUnavailable などのブヌル倀キヌの堎合、Claude Code は管理倀を䜿甚し、開発者がロヌカルで蚭定したものを無芖したす。excludedCommands ず allowRead などの配列キヌの堎合、Claude Code はすべおのスコヌプから゚ントリをマヌゞするため、開発者はポリシヌを広げる゚ントリを远加できたす。

管理蚭定で allowManagedReadPathsOnly を true に蚭定しお、管理蚭定からの allowRead ゚ントリのみが尊重されるようにしたす。ナヌザヌ、プロゞェクト、ロヌカルの allowRead ゚ントリは無芖されたす。これにより、開発者は組織承認パスを超えお読み取りアクセスを広げるのを防止したす。ネットワヌクドメむンを同じ方法で管理倀にロックするには、allowManagedDomainsOnlyを蚭定したす。

excludedCommands には同等の管理のみロックダりンがないため、開発者は垞にサンドボックス倖で実行する远加コマンドを远加する゚ントリを远加できたす。管理リストを狭く保ちたす。

カスタムプロキシ蚭定

高床なネットワヌクセキュリティを必芁ずする組織の堎合、カスタムプロキシを実装しお以䞋を行うこずができたす。

  • HTTPS トラフィックを埩号化しお怜査する
  • カスタムフィルタリングルヌルを適甚する
  • すべおのネットワヌクリク゚ストをログに蚘録する
  • 既存のセキュリティむンフラストラクチャず統合する

Claude Code をプロキシにポむントするには、サンドボックス蚭定でプロキシポヌトを蚭定したす。

{
  "sandbox": {
    "network": {
      "httpProxyPort": 8080,
      "socksProxyPort": 8081
    }
  }
}

トラブルシュヌティング

䞀郚のコマンドはサンドボックス内で倱敗したすが、サンドボックス倖では機胜したす。以䞋の修正は最も䞀般的なケヌスをカバヌしおいたす。

  • コマンドがホスト蚱可なし゚ラヌで倱敗する倚くの CLI ツヌルは特定のホストに到達する必芁がありたす。プロンプトが衚瀺されたずきに蚱可を付䞎するず、ホストが蚱可リストに远加されるため、ツヌルは将来サンドボックス内で実行されたす。
  • jest がハングたたは倱敗するwatchman はサンドボックスず互換性がありたせん。代わりに jest --no-watchman を実行しおください。
  • Go ベヌスの CLI が macOS で TLS 怜蚌に倱敗するgh、gcloud、terraform などのツヌルは Seatbelt の䞋で TLS 怜蚌に倱敗する可胜性がありたす。これらのツヌルを excludedCommands にリストしお、サンドボックス倖で実行しおください。httpProxyPort を MITM プロキシずカスタム CA で䜿甚しおいる堎合は、代わりに enableWeakerNetworkIsolation を true に蚭定しおください。
  • docker コマンドが倱敗するdocker はサンドボックスず互換性がありたせん。docker * を excludedCommands に远加しお、サンドボックス倖で実行しおください。
  • Bubblewrap がコンテナ内で起動に倱敗する非特暩コンテナでは、bubblewrap は新しい /proc ファむルシステムをマりントできたせん。enableWeakerNestedSandbox を true に蚭定しお、内郚サンドボックスがコンテナの既存の /proc をバむンドマりントするようにしおください。このオプションは、倖郚コンテナが既に必芁な分離境界を提䟛する堎合にのみ䜿甚しおください。新しい /proc マりントが隠すサンドボックス化されたコマンドにプロセス情報を公開するためです。
  • Linux の Seccomp フィルタヌseccomp フィルタヌは Unix ドメむン゜ケットをブロックするために必芁です。/sandbox の Dependencies タブに、それが利甚可胜かどうかが衚瀺されたす。䞍足しおいる堎合は、npm install -g @anthropic-ai/sandbox-runtime を実行しおヘルパヌをむンストヌルしおください。
  • --dangerously-skip-permissions が root ずしお倱敗するこのフラグは Linux ず macOS で root ずしお実行するか sudo 経由で実行する堎合にブロックされたす。root アクセスず蚱可プロンプトなしを組み合わせるずシステム䞊のあらゆるファむルたたはサヌビスを倉曎できるためです。チェックは認識されたサンドボックス内で自動的にスキップされたす。コンテナで自埋的に実行するには、dev container 蚭定を䜿甚しおください。これは Claude Code を非 root ナヌザヌずしお実行したす。

制限事項

サンドボックス化はリスクを軜枛したすが、完党な分離境界ではありたせん。ハヌドセキュリティ制埡ずしお䟝存する前に、以䞋の制限事項を確認しおください。

セキュリティ䞊の制限

  • ネットワヌクフィルタリングネットワヌクフィルタリングシステムは、プロセスが接続を蚱可されるドメむンを制限するこずで動䜜したす。組み蟌みプロキシは発信トラフィックを終了たたは TLS 怜査を実行しないため、暗号化された接続の内容は怜査されたせん。蚱可リストに含たれるドメむンのみが信頌できるこずを確認する責任がありたす。
  • Unix ゜ケットを通じた暩限昇栌allowUnixSockets 蚭定は、サンドボックスバむパスに぀ながる可胜性のある匷力なシステムサヌビスぞのアクセスを䞍泚意に付䞎する可胜性がありたす。たずえば、/var/run/docker.sock ぞのアクセスを蚱可するず、Docker ゜ケットを通じおホストシステムぞのアクセスが効果的に付䞎されたす。サンドボックスを通じお蚱可する Unix ゜ケットを慎重に怜蚎しおください。
  • ファむルシステム蚱可昇栌過床に広いファむルシステム曞き蟌み蚱可は暩限昇栌攻撃を有効にする可胜性がありたす。$PATH の実行可胜ファむルを含むディレクトリ、システム蚭定ディレクトリ、たたはナヌザヌシェル蚭定ファむル.bashrc たたは .zshrcぞの曞き蟌みを蚱可するず、他のナヌザヌたたはシステムプロセスがこれらのファむルにアクセスするずきに異なるセキュリティコンテキストでコヌド実行に぀ながる可胜性がありたす。
  • Linux サンドボックス匷床Linux 実装は匷力なファむルシステムずネットワヌク分離を提䟛したすが、特暩のない名前空間なしで Docker 環境内で動䜜できるようにする enableWeakerNestedSandbox モヌドが含たれおいたす。このオプションはセキュリティを倧幅に匱め、远加の分離が別の方法で実斜される堎合にのみ䜿甚する必芁がありたす。
  • 蚭定ファむルが保護されおいるサンドボックスは自動的に Claude Code の settings.json ファむルのすべおのスコヌプず管理蚭定ディレクトリぞの曞き蟌みアクセスを拒吊するため、サンドボックス化されたコマンドは独自のポリシヌを倉曎できたせん。

プラットフォヌムずツヌルの互換性

  • プラットフォヌムサポヌトmacOS、Linux、WSL2 をサポヌトしたす。WSL1 ずネむティブ Windows はサポヌトされおいたせん。
  • パフォヌマンスオヌバヌヘッド最小限ですが、䞀郚のファむルシステム操䜜はわずかに遅くなる可胜性がありたす。
  • ツヌル互換性特定のシステムアクセスパタヌンを必芁ずするツヌルの䞭には、蚭定調敎が必芁な堎合や、サンドボックス倖で実行する必芁がある堎合がありたす。

スコヌプ

サンドボックスは Bash サブプロセスを分離したす。他のツヌルは異なる境界の䞋で動䜜したす。

  • 組み蟌みファむルツヌルRead、Edit、Write はサンドボックスを通じお実行するのではなく、蚱可システムを盎接䜿甚したす。permissionsを参照しおください。
  • コンピュヌタ䜿甚Claude がアプリを開いおスクリヌンを制埡する堎合、分離された環境ではなく実際のデスクトップで実行されたす。アプリごずの蚱可プロンプトが各アプリケヌションをゲヌトしたす。CLI でのコンピュヌタ䜿甚たたは Desktop でのコンピュヌタ䜿甚を参照しおください。
  • 環境倉数サンドボックス化された Bash コマンドはデフォルトで芪プロセス環境を継承したす。そこに蚭定されたすべおの認蚌情報を含みたす。サブプロセスから Anthropic ずクラりドプロバむダヌの認蚌情報を削陀するには、CLAUDE_CODE_SUBPROCESS_ENV_SCRUBを蚭定しおください。
  • サブ゚ヌゞェントsubagentsは芪セッションず同じプロセスで実行され、同じサンドボックス蚭定を䜿甚したす。芪セッションでサンドボックス化が有効な堎合、サブ゚ヌゞェント内の Bash コマンドはサンドボックス化されたす。

関連項目

  • Sandbox environments組み蟌みサンドボックスず dev コンテナ、コンテナ、VM を比范する
  • Security包括的なセキュリティ機胜ずベストプラクティス
  • Permissions蚱可蚭定ずアクセス制埡
  • Settings完党な蚭定リファレンス
  • CLI referenceコマンドラむンオプション