Anthropic기술 블로그
Beyond permission prompts: Claude Code를 더 안전하고 자율적으로 만들기
Claude Code의 새로운 샌드박싱 기능이 파일시스템 및 네트워크 격리를 통해 개발자를 보호하고, 권한 요청 프롬프트를 줄이며, 사용자 안전성을 높이는 방법을 알아보세요.
Claude Code에서 Claude는 여러분과 함께 코드를 작성하고, 테스트하고, 디버깅하면서 코드베이스를 탐색하고, 여러 파일을 편집하며, 작업 결과를 검증하기 위해 명령어를 실행합니다. Claude에게 코드베이스와 파일에 대한 이러한 광범위한 접근 권한을 부여하면 특히 프롬프트 인젝션의 경우 위험이 발생할 수 있습니다.
이 문제를 해결하기 위해 Claude Code에 샌드박싱을 기반으로 한 두 가지 새로운 기능을 도입했습니다. 두 기능 모두 개발자에게 더 안전한 작업 환경을 제공하는 동시에 Claude가 더 자율적으로 작동하고 권한 요청 프롬프트를 줄일 수 있도록 설계되었습니다. 내부 사용 결과, 샌드박싱을 통해 권한 요청 프롬프트가 84% 안전하게 감소하는 것을 확인했습니다. Claude가 자유롭게 작업할 수 있는 명확한 경계를 정의함으로써 보안과 자율성을 모두 높일 수 있습니다.
Claude Code 사용자 보안 유지
Claude Code는 권한 기반 모델로 작동합니다. 기본적으로 읽기 전용이므로 수정하거나 명령어를 실행하기 전에 권한을 요청합니다. echo나 cat 같은 안전한 명령어는 자동으로 허용하는 등 일부 예외가 있지만, 대부분의 작업은 여전히 명시적인 승인이 필요합니다.
계속해서 "승인"을 클릭하는 것은 개발 주기를 늦추고 '승인 피로'로 이어질 수 있습니다. 이로 인해 사용자가 승인하는 내용에 주의를 기울이지 않게 되어 오히려 개발이 덜 안전해질 수 있습니다.
이 문제를 해결하기 위해 Claude Code용 샌드박싱을 출시했습니다.
샌드박싱: 더 안전하고 자율적인 접근 방식
샌드박싱은 각 작업마다 권한을 요청하는 대신 Claude가 더 자유롭게 작업할 수 있는 사전 정의된 경계를 만듭니다. 샌드박싱을 활성화하면 권한 요청 프롬프트가 크게 줄어들고 안전성이 높아집니다.
샌드박싱 접근 방식은 운영 체제 수준의 기능을 기반으로 두 가지 경계를 구현합니다:
- 파일 시스템 격리, Claude가 특정 디렉토리에만 접근하거나 수정할 수 있도록 보장합니다. 이는 프롬프트 인젝션된 Claude가 민감한 시스템 파일을 수정하는 것을 방지하는 데 특히 중요합니다.
- 네트워크 격리, Claude가 승인된 서버에만 연결할 수 있도록 보장합니다. 이는 프롬프트 인젝션된 Claude가 민감한 정보를 유출하거나 악성 코드를 다운로드하는 것을 방지합니다.
효과적인 샌드박싱에는 파일 시스템 격리와 네트워크 격리가 모두 필요하다는 점을 알아두어야 합니다. 네트워크 격리가 없으면 손상된 에이전트가 SSH 키와 같은 민감한 파일을 유출할 수 있고, 파일 시스템 격리가 없으면 손상된 에이전트가 샌드박스를 쉽게 탈출하여 네트워크 접근 권한을 얻을 수 있습니다. 두 기술을 함께 사용함으로써 Claude Code 사용자에게 더 안전하고 빠른 에이전트 경험을 제공할 수 있습니다.
Claude Code의 두 가지 새로운 샌드박싱 기능
샌드박스 bash 도구: 권한 요청 없는 안전한 bash 실행
연구 프리뷰 베타로 제공되는 새로운 샌드박스 런타임을 소개합니다. 이를 통해 컨테이너를 구동하고 관리하는 오버헤드 없이 에이전트가 접근할 수 있는 디렉토리와 네트워크 호스트를 정확하게 정의할 수 있습니다. 이 기능은 임의의 프로세스, 에이전트, MCP 서버를 샌드박싱하는 데 사용할 수 있으며, 오픈 소스 연구 프리뷰로도 제공됩니다.
Claude Code에서는 이 런타임을 사용하여 bash 도구를 샌드박싱합니다. 이를 통해 Claude는 사용자가 설정한 제한 내에서 명령어를 실행할 수 있습니다. 안전한 샌드박스 내에서 Claude는 더 자율적으로 작동하며 권한 요청 없이 명령어를 안전하게 실행할 수 있습니다. Claude가 샌드박스 외부의 무언가에 접근하려고 하면 즉시 알림을 받고 허용 여부를 선택할 수 있습니다.
이 기능은 Linux bubblewrap과 MacOS seatbelt 같은 OS 수준 프리미티브를 기반으로 구축되어 OS 수준에서 이러한 제한을 적용합니다. Claude Code의 직접적인 상호작용뿐만 아니라 명령어에 의해 생성되는 모든 스크립트, 프로그램, 하위 프로세스도 포함됩니다. 위에서 설명한 대로 이 샌드박스는 다음 두 가지를 모두 적용합니다:
- 파일 시스템 격리, 현재 작업 디렉토리에 대한 읽기 및 쓰기 접근을 허용하되 그 외부의 파일 수정은 차단합니다.
- 네트워크 격리, 샌드박스 외부에서 실행되는 프록시 서버에 연결된 유닉스 도메인 소켓을 통해서만 인터넷 접근을 허용합니다. 이 프록시 서버는 프로세스가 연결할 수 있는 도메인에 대한 제한을 적용하고, 새로 요청된 도메인에 대한 사용자 확인을 처리합니다. 더 강화된 보안을 원한다면 이 프록시를 커스터마이징하여 발신 트래픽에 임의의 규칙을 적용할 수도 있습니다.
두 구성 요소 모두 설정 가능합니다. 특정 파일 경로나 도메인을 쉽게 허용하거나 차단할 수 있습니다.
샌드박싱은 프롬프트 인젝션이 성공하더라도 완전히 격리되어 전체 사용자 보안에 영향을 미치지 않도록 보장합니다. 이를 통해 손상된 Claude Code가 SSH 키를 탈취하거나 공격자의 서버로 정보를 전송하는 것을 방지할 수 있습니다.
이 기능을 시작하려면 Claude Code에서 /sandbox를 실행하고 보안 모델에 대한 자세한 기술 정보를 확인하세요.
다른 팀이 더 안전한 에이전트를 쉽게 구축할 수 있도록 이 기능을 오픈 소스로 공개했습니다. 다른 분들도 에이전트의 보안 태세를 강화하기 위해 자체 에이전트에 이 기술을 도입하는 것을 고려해 보시기 바랍니다.
웹에서의 Claude Code: 클라우드에서 안전하게 Claude Code 실행하기
오늘 웹에서의 Claude Code도 출시합니다. 이를 통해 사용자는 클라우드의 격리된 샌드박스에서 Claude Code를 실행할 수 있습니다. 웹에서의 Claude Code는 각 Claude Code 세션을 격리된 샌드박스에서 실행하여 서버에 대한 전체 접근 권한을 안전하고 보안된 방식으로 제공합니다. 이 샌드박스는 민감한 자격 증명(git 자격 증명이나 서명 키 등)이 Claude Code와 함께 샌드박스 내부에 존재하지 않도록 설계되었습니다. 이를 통해 샌드박스에서 실행되는 코드가 손상되더라도 사용자는 추가 피해로부터 안전하게 보호됩니다.
웹에서의 Claude Code는 모든 git 상호작용을 투명하게 처리하는 커스텀 프록시 서비스를 사용합니다. 샌드박스 내부에서 git 클라이언트는 커스텀으로 구축된 범위 제한 자격 증명으로 이 서비스에 인증합니다. 프록시는 이 자격 증명과 git 상호작용의 내용(예: 설정된 브랜치에만 푸시하는지 확인)을 검증한 후 적절한 인증 토큰을 첨부하여 GitHub에 요청을 전송합니다.
시작하기
새로운 샌드박스 bash 도구와 웹에서의 Claude Code는 엔지니어링 작업에 Claude를 사용하는 개발자에게 보안과 생산성 모두에서 상당한 개선을 제공합니다.
이 도구들을 시작하려면:
- Claude에서 `/sandbox`를 실행하고 이 샌드박스를 설정하는 방법에 대한 문서를 확인하세요.
- claude.com/code에서 웹에서의 Claude Code를 체험해 보세요.
또는 자체 에이전트를 구축하고 있다면 오픈 소스로 공개된 샌드박싱 코드를 확인하고 작업에 통합하는 것을 고려해 보세요. 여러분이 무엇을 만들지 기대됩니다.
웹에서의 Claude Code에 대해 더 알아보려면 출시 블로그 포스트를 확인하세요.
감사의 글
이 글은 David Dworken과 Oliver Weller-Davies가 작성했으며, Meaghan Choi, Catherine Wu, Molly Vorwerck, Alex Isken, Kier Bradwell, Kevin Garcia가 기여했습니다.