使用沙箱隔离 Claude Code 的操作,保护文件系统和系统资源的安全。
什么是沙箱
沙箱是 Claude Code 的安全隔离机制。它限制 Claude 能访问的文件、网络和系统资源,防止意外或恶意的操作影响你的系统。
沙箱提供什么保护
- 文件系统隔离:限制 Claude 只能访问项目目录
- 网络限制:控制 Claude 能访问的外部网络
- 命令限制:限制可执行的高风险命令
- 资源限制:控制 CPU、内存和磁盘使用
启用沙箱
沙箱可以在启动时启用:
claude --sandbox沙箱配置
沙箱的精细控制通过配置文件实现:
{
"sandbox": {
"enabled": true,
"allowedPaths": ["/path/to/project"],
"deniedCommands": ["rm -rf", "dd", "mkfs"],
"networkAccess": false
}
}最佳实践
- 新项目启用沙箱:不熟悉的项目先在沙箱中运行
- 限制网络访问:除非任务需要,否则关闭网络
- 只允许必要路径:最小化 Claude 的文件访问范围
- 审查被拒绝的命令:定期检查有哪些命令被沙箱阻止