Anthropic、Claude製品横断のcontainment設計を公開
Anthropicは、AI agentのリスクをユーザー誤用、モデル誤動作、外部攻撃に分け、環境・モデル・外部コンテンツの3層で守るcontainment設計を公開した。人間の承認だけではapproval fatigueが起きるため、sandbox、VM、egress control、tool result inspectionなど、agentが触れる範囲そのものを制限する設計を重視している。
キーポイント
- claude.aiはサーバー側の隔離コンテナ、Claude Codeはローカルsandbox、Claude CoworkはローカルVMという異なる隔離パターンを採用している。
- Claude Codeでは許可ダイアログだけに頼ると承認疲れが起きるため、OSレベルsandboxやauto modeを組み合わせる設計が説明された。
- 許可済みドメインでも、Files APIのような機能がデータ持ち出し経路になり得るため、allowlistは宛先ではなくcapability grantとして扱うべきだと整理している。
- multi-agent systemでは、sub-agentの出力を高信頼として扱うことでtrust escalationが起きる可能性も指摘している。