最近、Anthropicのエンジニアチームは、3つのAI製品であるclaude.ai、Claude CodeおよびClaude Coworkを開発する際の安全な隔離システムに関する経験と教訓を共有しました。この3つの製品はそれぞれ一般ユーザー、開発者、企業ユーザーを対象としており、それぞれ異なる隔離戦略とリスクモデルを採用していますが、すべてが「環境層の隔離を優先する」という核心的な原則に従っています。

image.png

一般ユーザー向けのclaude.aiでは、AnthropicはgVisorに基づく一時コンテナ方式を採用しています。ユーザーがセッションを開始するたびに、システムは一時的なコンテナを生成し、セッション終了時に即座に破棄します。このような設計により、ユーザー間のAIが短期的かつ安全に隔離され、リソースアクセスや能力が制限されるため、リスクイベントが発生した場合でも影響範囲は単一のセッションに限定されます。

開発者向けには、Claude Codeはオペレーティングシステムレベルのサンドボックスメカニズムを使用して作業フローを最適化しています。開発者が使用する際にはネットワークへのアクセスがデフォルトで無効になっており、頻繁に表示される権限ポップアップを減らし、利用体験を大幅に向上させます。統計によると、この設計により権限ポップアップの表示頻度は84%も減少しました。開発者がネットワークアクセスが必要な場合は、明確な承認によって一時的に開放できます。

最高の安全性を必要とする企業ユーザー向けには、Claude Coworkは仮想マシンレベルの隔離方式を採用しており、ホストシステムと完全に分離されています。この方法は最良のセキュリティを提供しますが、同時にホストシステムとの統合能力を低下させ、セキュリティ監視に新たな課題をもたらしています。

記事ではいくつかのセキュリティイベントについても言及されており、特に注目されたのはフィッシング攻撃によるプロンプトインジェクションです。24回のテストにおいて成功率は96%に達しました。また、攻撃者によって制御されたAPIキーを通じたデータ窃取問題もありました。これらの出来事は、Anthropicが継続的にそのセキュリティアーキテクチャを改善するきっかけとなりました。

Anthropicは3つの重要な原則をまとめました。第一に、環境層の隔離を優先し、モデル層を導くこと。第二に、隔離の強さをユーザーの監督能力と一致させること。第三に、定義されたコンポーネントに注意すること。これらの原則は、Anthropicの製品設計に指導的意義を持つだけでなく、業界全体にとって重要な警鐘にもなります。

ポイントをまとめる:

🔒 環境層の隔離を優先:異なる製品には異なる隔離戦略が適用され、セキュリティが向上しています。

🛠 角色の明確化:claude.ai、Claude CodeおよびClaude Coworkはそれぞれ一般ユーザー、開発者および企業ユーザーを対象として設計されています。

⚠ セキュリティイベントの警告:実際のテストでフィッシング攻撃の高い成功率が確認され、継続的なセキュリティ措置の改善を促しました。