Anthropic Sandbox Runtime (srt)と次世代のAIエージェントのアーキテクチャ
Anthropic Sandbox Runtime (srt) は、Claude Code on the web などクラウド環境向けに Anthropic が開発した軽量サンドボックスの PoC(概念実証)です。
少なくない Claude Code ユーザーは --dangerously-skip-permissions オプションでbypassPermissions モードを有効にし、承認フローなしで運用しています。 開発体験は向上しますが、破壊的な操作やデータ漏洩のリスクを受け入れることになります。 個人開発者やバイブコーダーはこれでもいいのかもしれませんが、エンタープライズ環境では、この手のリスクを許容できず導入が進まないケースもあります(なお組織ポリシーは managed-settings.json で disableBypassPermissionsMode を設定し、このバイパスを無効化できます)。
Dev Containers でコンテナとして隔離する方法もありますが、現時点では少数派です。また、そもそもコンテナ内であってもエージェントがプロンプトインジェクションやブラウザツール悪用などによって、ファイルを改竄したり外部に送信するリスクは残ります[1]。
[1]: https://www.promptarmor.com/resources/google-antigravity-exfiltrates-data
このように従来のアプローチでは、権限を与えるほど危険度が上がり、「自律性を高めたいのに権限が与えられない」というジレンマがありました。
Anthropic は最近エージェント実行をクラウドに寄せる方向で開発を進めており、srt で示されているのはその基盤技術となります。 ユーザーの自己責任だけではなく、エージェントレイヤーで安全機構を設け、ユーザーにはその設計の自由を与えようというのが Anthropic ブログの意図です。
Claude Code のCLI 自体に srt は含まれていませんが、CLI には macOS 向けに Seatbelt(macOS 10.5から導入されたOS標準のサンドボックス機構)を利用した軽量サンドボックスが実装されています。
LinuxやClaude Code on the Web環境では Linux の bubblewrap(Flatpakなどで使われる低レベルサンドボックスツール)が使われます。bubblewrap はLinuxカーネルのNamespace機能でファイルシステムやネットワークを隔離し、seccompでシステムコールを制限します。 Windows は対象外ですが、WSL 経由で利用可能と思われます。
srt の実行方法は2つあります。CLI でコマンドをラップする方法と、コードからライブラリとして呼び出す方法です。
CLI では srt コマンドで任意のプロセスをサンドボックス内で実行します:
npm install -g @anthropic-ai/sandbox-runtime
curl https://example.com
<!doctype html><html lang="en"><head><title>Example Domain</title><
srt --debug curl https://example.com
curl: (6) Could not resolve host: example.com
srt "echo 1 > a.txt"
/bin/bash: a.txt: Operation not permitted
Node.js からは @anthropic-ai/sandbox-runtime パッケージを使います: