권한 프롬프트를 넘어서: Claude Code를 더 안전하고 자율적으로 만들기

이를 해결하기 위해 샌드박싱을 기반으로 구축된 두 가지 새로운 Claude Code 기능을 도입했습니다. 두 기능 모두 개발자에게 더 안전한 작업 환경을 제공하는 동시에 Claude가 더 자율적으로, 더 적은 권한 프롬프트로 실행될 수 있도록 설계되었습니다. 이러한 기능은 네이티브 샌드박싱의 예시로, Claude가 자유롭게 작업할 수 있는 명확한 경계를 정의함으로써 보안과 자율성을 높입니다.

사용자 보안을 유지하기 위한 현재의 접근 방식

Claude Code는 권한 기반 모델로 실행됩니다. 기본적으로 읽기 전용으로 설정되어 있어 수정 작업이나 명령 실행 전에 권한을 요청합니다. 단, 일부 예외가 있습니다. 정적 분석을 사용해 echo나 cat 같은 안전한 명령은 자동으로 허용하지만, 대부분의 작업은 여전히 명시적인 승인이 필요합니다.

하지만 계속해서 "승인"을 클릭하면 개발 속도가 느려지고, 사용자가 승인 내용을 주의 깊게 확인하지 않는 '승인 피로'로 이어질 수 있습니다. Claude Code를 더 안전하고 효과적으로 만들기 위해 더 나은 방법을 모색했습니다.

샌드박싱: 더 안전하고 자율적인 접근 방식

샌드박싱은 Claude가 각 작업마다 권한을 요청하는 대신 더 자유롭게 작업할 수 있는 사전 정의된 경계를 만듭니다. 

Claude Code 업데이트를 통해 이 방식으로 전환합니다. 운영 체제 수준의 기능을 기반으로 두 가지 새로운 기능을 구현하며, 각각 다음 두 가지 경계를 기반으로 합니다.

1. 파일시스템 격리는 Claude가 특정 디렉터리에만 접근하거나 수정할 수 있도록 보장합니다. 이는 프롬프트 인젝션된 Claude가 민감한 시스템 파일을 수정하는 것을 방지하는 데 특히 중요합니다s.
2. 네트워크 격리는 Claude가 승인된 서버에만 연결할 수 있도록 보장합니다. 이는 프롬프트 인젝션된 Claude가 민감한 정보를 유출하거나 악성 소프트웨어를 다운로드하는 것을 방지합니다..

효과적인 샌드박싱에는 파일시스템 격리와 네트워크 격리가 모두 필요하다는 점을 짚고 넘어갈 필요가 있습니다. 네트워크 격리 없이는 침해된 에이전트가 SSH 키와 같은 민감한 파일을 유출할 수 있고, 파일시스템 격리 없이는 침해된 에이전트가 샌드박스를 쉽게 탈출해 네트워크 접근 권한을 얻을 수 있습니다. 두 기술을 함께 사용함으로써 Claude Code 사용자에게 더 안전한 에이전틱 경험을 제공할 수 있습니다.

Claude Code의 두 가지 새로운 샌드박싱 기능

샌드박스 bash 도구: 권한 프롬프트 없는 안전한 bash 실행

오늘, 리서치 프리뷰로 제공되는 새로운 샌드박스 런타임을 도입합니다. 이를 통해 컨테이너를 구동하고 관리하는 오버헤드 없이 에이전트가 접근할 수 있는 디렉터리와 네트워크 호스트를 정확하게 정의할 수 있습니다. 임의의 프로세스, 에이전트, MCP 서버를 샌드박스화하는 데 활용할 수 있습니다. 현재 오픈 소스 리서치 프리뷰로 제공됩니다: [Github 링크?]

Claude Code에서는 이 런타임을 사용해 bash 도구를 샌드박스화합니다. 이를 통해 Claude는 설정한 정의된 한도 내에서 명령을 실행할 수 있습니다. 이러한 명령은 기본적으로 더 안전하며 사용자 권한 프롬프트가 줄어들어 Claude가 더 자율적으로 실행될 수 있습니다. Claude가 샌드박스 외부의 항목에 접근하려고 하면 즉시 알림을 받고 허용 여부를 선택할 수 있습니다. 

이러한 제한을 운영 체제 수준에서 적용하기 위해 [Linux bubblewrap](https://github.com/containers/bubblewrap) 및 macOS 샌드박스와 같은 운영 체제 수준의 기본 요소를 기반으로 구축했습니다. 이는 Claude Code의 직접적인 상호작용뿐만 아니라 명령에 의해 생성되는 모든 스크립트, 프로그램, 서브프로세스에도 적용됩니다.

앞서 설명한 바와 같이 이 샌드박스는 다음 두 가지를 모두 적용합니다:

1. 파일시스템 격리는 현재 작업 디렉터리에 대한 읽기 및 쓰기 접근은 허용하되, 그 외부의 파일 수정은 차단합니다. 
2. 네트워크 격리는 샌드박스 외부에서 실행되는 프록시 서버에 연결된 유닉스 도메인 소켓을 통해서만 인터넷 접근을 허용합니다. 이 프록시 서버는 프로세스가 연결할 수 있는 도메인에 대한 제한을 적용하고, 새로 요청된 도메인에 대한 사용자 확인을 처리합니다. 보안을 더욱 강화하고 싶다면 이 프록시를 커스터마이징해 발신 트래픽에 임의의 규칙을 적용하는 것도 지원합니다. 

‍

두 구성 요소 모두 설정 가능합니다. 특정 파일 경로나 도메인을 쉽게 허용하거나 차단하도록 선택할 수 있습니다. 

샌드박싱은 프롬프트 인젝션이 성공하더라도 완전히 격리되어 전반적인 사용자 보안에 영향을 미칠 수 없도록 보장합니다. 이를 통해 침해된 Claude Code가 SSH 키를 탈취하거나 공격자의 서버로 데이터를 전송할 수 없습니다.

이 기능을 시작하려면 claude --sandbox를 실행하고, 보안 모델에 대한 자세한 기술적 내용은 여기에서 확인하세요.

다른 팀이 더 안전한 에이전트를 구축할 수 있도록 [XXX]를 오픈 소스로 공개했습니다. 다른 AI 기업들도 에이전트의 보안 태세를 강화하기 위해 이 기술의 도입을 고려해야 한다고 생각합니다. 

웹에서의 Claude Code: 클라우드에서 안전하게 Claude Code 실행하기

오늘 웹에서의 Claude Code도 출시합니다. 이를 통해 사용자는 클라우드의 격리된 샌드박스에서 Claude Code를 실행할 수 있습니다. 웹에서의 Claude Code는 각 Claude Code 세션을 격리된 샌드박스에서 실행하며, 안전하고 보안이 유지되는 방식으로 서버에 완전히 접근할 수 있습니다. 민감한 자격 증명(git 자격 증명이나 서명 키 등)이 샌드박스 환경에 절대 진입하지 않도록 이 샌드박스를 설계했습니다. 이를 통해 샌드박스 내에서 실행되는 코드가 침해되더라도 사용자는 추가적인 피해로부터 안전하게 보호됩니다. 

웹에서의 Claude Code는 모든 git 상호작용을 투명하게 처리하는 커스텀 프록시 서비스를 사용합니다. 샌드박스 내부에서 git 클라이언트는 커스텀 빌드된 범위 지정 자격 증명으로 이 서비스에 인증합니다. 프록시는 이 자격 증명과 git 상호작용의 내용을 검증한 후(예: 설정된 브랜치에만 푸시하는지 확인), GitHub에 요청을 전송하기 전에 올바른 인증 토큰을 첨부합니다. 

시작하기

새로운 샌드박스 bash 도구와 웹에서의 Claude Code는 엔지니어링 작업에 Claude를 활용하는 개발자들에게 보안과 생산성 모두에서 상당한 개선을 제공합니다. 

이러한 도구를 시작하려면:

1. `claude --sandbox` 를 실행하고 이 샌드박스 설정 방법에 대한 [저희 문서](TODO)를 확인하세요.
2. claude.com/code에 접속해 웹에서의 Claude Code를 사용해 보세요.   

‍

또는 직접 에이전트를 구축하고 있다면 오픈 소스로 공개된 샌드박싱 코드를 확인하고 작업에 통합하는 것을 고려해 보세요. 사용자 여러분께서 만들어내실 결과물을 기대하고 있겠습니다.