Langsung ke konten utama

Documentation Index

Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt

Use this file to discover all available pages before exploring further.

Mengisolasi Claude Code membatasi apa yang dapat dibaca, ditulis, dan dijangkau sesi pada jaringan. Hal ini paling penting ketika Anda membiarkan Claude bekerja dengan lebih sedikit prompt izin, menjalankannya tanpa pengawasan, atau mengarahkannya ke kode yang tidak sepenuhnya Anda percayai. Claude Code dapat berjalan di beberapa jenis lingkungan terisolasi, mulai dari sandbox per-perintah ringan hingga mesin virtual yang sepenuhnya terpisah. Halaman ini mencakup cara untuk:
  • Membandingkan pendekatan isolasi yang tersedia berdasarkan apa yang mereka isolasi, apa yang mereka butuhkan, dan berapa banyak pengaturan yang diperlukan
  • Memilih pendekatan yang sesuai dengan tujuan dan model ancaman Anda
  • Memulai dengan pendekatan yang Anda pilih, dari sandbox Bash bawaan hingga mesin virtual khusus
  • Menerapkan isolasi untuk setiap pengembang di organisasi Anda
Untuk model keamanan yang lebih luas, lihat Security. Untuk penerapan Agent SDK, lihat Secure deployment.

Bandingkan pendekatan sandboxing

Dua pendekatan pertama dalam tabel di bawah berjalan pada sistem operasi host tanpa container. Sisanya menempatkan Claude Code di dalam container atau mesin virtual.
PendekatanApa yang diisolasiMemerlukan DockerUpaya pengaturan
Sandboxed Bash toolPerintah Bash dan proses anak merekaTidakMinimal di macOS; rendah di Linux dan WSL2
Sandbox runtimeSeluruh proses Claude Code, termasuk alat file, server MCP, dan hooksTidakRendah
Dev containerLingkungan pengembangan lengkapYaSedang
Custom containerLingkungan pengembangan lengkapYaSedang hingga tinggi
Virtual machineSistem operasi lengkapTidakTinggi
Claude Code on the webSistem operasi lengkap, dihosting oleh AnthropicTidakTidak ada; memerlukan langganan Claude dan GitHub
Sandboxed Bash tool bawaan di Claude Code dan hanya membatasi perintah Bash. Alat file bawaan, server MCP, dan hooks masih berjalan langsung di host Anda. Setiap pendekatan lain dalam tabel menempatkan seluruh proses Claude Code di dalam batas isolasi, sehingga alat file, server MCP, dan hooks juga dibatasi.
Isolasi sandbox mengurangi dampak pelanggaran, tetapi tidak menghilangkan risiko. Pendekatan apa pun yang memungkinkan egress jaringan masih dapat membocorkan data yang dapat dibaca agen, dan pendekatan apa pun yang memasang direktori proyek Anda yang dapat ditulis masih dapat memodifikasi kode tersebut. Tinjau batasan keamanan sebelum mengandalkan sandbox sebagai kontrol keras.Isolasi juga tidak mengubah apa yang dikirim ke model. Prompt Anda dan file yang dibaca Claude ditransmisikan ke API Anthropic atau penyedia yang dikonfigurasi dengan atau tanpa sandbox. Lihat Data usage untuk apa yang dikirim Claude Code dan cara menguranginya.

Pilih pendekatan

Cocokkan tujuan Anda dengan baris di bawah, kemudian baca bagian detail yang mengikuti.
Anda inginMulai dengan
Mengurangi prompt izin selama pekerjaan sehari-hari di mesin Anda sendiriSandboxed Bash tool, diaktifkan dengan /sandbox
Biarkan Claude bekerja tanpa pengawasan dengan --dangerously-skip-permissions atau mode otomatisDev container yang telah dikonfigurasi sebelumnya, container atau VM apa pun, atau sandbox runtime
Isolasi server MCP dan hooks serta Bash, tanpa DockerRuntime sandbox
Bekerja pada repositori yang tidak terpercayaMesin virtual khusus, atau Claude Code on the web jika Anda memiliki langganan Claude dan akun GitHub yang terhubung
Standardisasi lingkungan bersandbox di seluruh timDev container yang telah dikonfigurasi sebelumnya, disalin ke repositori Anda
Gunakan Claude Code dari perangkat tanpa pengaturan lokalClaude Code on the web, yang memerlukan langganan Claude dan akun GitHub yang terhubung
Memerlukan isolasi untuk setiap pengembang di organisasi AndaEnforce isolation across an organization
Bekerja pada host Windows asliContainer atau VM, atau jalankan sandbox Bash di dalam WSL2

Bagaimana isolasi berhubungan dengan mode izin

Mode izin memutuskan apakah panggilan alat berjalan dan apakah Anda diminta terlebih dahulu. Isolasi membatasi apa yang dapat diakses perintah setelah berjalan. Keduanya bekerja bersama: ketika mode izin membiarkan tindakan berjalan tanpa bertanya kepada Anda, batas isolasi membatasi apa yang dapat dijangkau tindakan tersebut. --dangerously-skip-permissions menghapus tinjauan per-tindakan sepenuhnya, sehingga batas isolasi adalah satu-satunya hal yang membatasi apa yang dapat dilakukan Claude. Selalu jalankan di dalam container, VM, atau sandbox runtime, sehingga alat file, server MCP, dan hooks juga berada di dalam batas. Mode otomatis menggantikan prompt dengan pengklasifikasi yang meninjau tindakan dan memblokir yang melampaui permintaan, menargetkan infrastruktur yang tidak dikenali, atau tampak didorong oleh konten bermusuhan yang dibaca Claude. Pengklasifikasi adalah kontrol per-tindakan, bukan batas isolasi, sehingga batas isolasi masih menambah pertahanan berlapis untuk berjalan tanpa pengawasan, dan tidak diperlukan seperti halnya untuk --dangerously-skip-permissions. Sandboxed Bash tool sendiri hanya membatasi Bash, sehingga tidak cukup untuk berjalan sepenuhnya tanpa pengawasan di kedua mode. Anda dapat melapisi pendekatan: menjalankan sandboxed Bash tool di dalam container atau VM memberi Anda pembatasan perintah tingkat OS di atas batas lingkungan luar. Untuk bagaimana sandbox Bash itu sendiri berinteraksi dengan aturan izin dan mode, lihat How sandboxing relates to permissions and permission modes.

Sandboxed Bash tool

Opsi ini tidak mendukung Windows asli. Pada host Windows, gunakan WSL2 atau salah satu pendekatan container atau VM di bawah.
Sandboxed Bash tool bawaan di Claude Code. Ini menggunakan primitif sistem operasi untuk membatasi akses filesystem dan jaringan dari setiap perintah Bash yang dijalankan Claude: Seatbelt, sandbox macOS bawaan, dan bubblewrap di Linux dan WSL2. Secara default, ini memungkinkan penulisan ke direktori kerja dan meminta pertama kali perintah memerlukan domain jaringan baru. Aktifkan dengan perintah /sandbox. Panduan Sandboxing mencakup mode persetujuan, batas default, dan cara memperluas atau mempersempit. Sandbox per-perintah tidak mencakup semua yang berjalan dalam sesi:
  • Alat bawaan lainnya seperti Read, Edit, dan WebFetch berjalan di dalam proses Claude Code dan tidak menjalankan kode arbitrer. Aturan izin untuk path atau domain membatasi mereka sebagai gantinya.
  • Server MCP dan hooks adalah proses terpisah yang berjalan tanpa batasan pada host.
Untuk menempatkan alat bawaan, server MCP, dan hooks semua di belakang satu batas OS, jalankan seluruh proses Claude Code di dalam sandbox runtime, dev container, atau custom container.

Sandbox runtime

Paket @anthropic-ai/sandbox-runtime membungkus seluruh proses dalam isolasi Seatbelt atau bubblewrap yang sama yang digunakan sandbox Bash bawaan. Menjalankan Claude Code melaluinya membatasi setiap alat, hook, dan server MCP dalam sesi, bukan hanya Bash. Runtime adalah pratinjau penelitian beta, dan format konfigurasinya mungkin berubah seiring paket berkembang. Runtime menolak semua akses tulis dan jaringan secara default, jadi konfigurasikan sebelum meluncurkan Claude Code melaluinya. Di ~/.srt-settings.json, atau file yang Anda berikan dengan --settings, izinkan akses tulis ke setidaknya direktori proyek Anda dan jalur konfigurasi Claude Code ~/.claude dan ~/.claude.json. Izinkan domain jaringan yang dibutuhkan sesi Anda, termasuk api.anthropic.com atau endpoint penyedia yang dikonfigurasi. Lihat README paket untuk skema konfigurasi lengkap. Setelah file pengaturan sudah ada, luncurkan Claude Code dengan npx dan berikan claude sebagai perintah untuk dibungkus: 
npx @anthropic-ai/sandbox-runtime claude
Claude Code dimulai di dalam sandbox dengan batas filesystem dan jaringan yang Anda konfigurasikan. Perintah yang sama berfungsi untuk sandboxing server MCP mandiri atau proses pembantu lainnya.

Dev containers

Dev container menjalankan Claude Code di dalam Docker container yang dikelola VS Code atau editor kompatibel, dengan proyek Anda dipasang di dalamnya. Anda dapat menentukan milik Anda sendiri dengan direktori .devcontainer/ di repositori Anda. Repositori claude-code menerbitkan contoh dev container dengan firewall iptables default-deny sebagai titik awal. Salin ke repositori Anda dan sesuaikan daftar allowlist firewall, gambar dasar, dan versi Claude Code yang disematkan agar sesuai dengan lingkungan Anda. Karena firewall memblokir egress yang tidak disetujui, konfigurasi seperti ini mendukung menjalankan Claude Code dengan --dangerously-skip-permissions untuk pekerjaan tanpa pengawasan.

Custom container

Anda dapat menjalankan Claude Code di gambar Docker atau OCI container apa pun dengan kebijakan jaringan Anda sendiri, volume yang dipasang, dan profil seccomp. Ini adalah jalur paling umum untuk organisasi dengan infrastruktur container yang ada atau runner CI. Beberapa layanan sandbox terkelola dan eksekusi jarak jauh dapat menampung container untuk Anda. Daftar periksa yang sama berlaku seperti untuk container apa pun yang Anda operasikan: tinjau apa yang dipasang dapat ditulis, kredensial dan token apa yang dapat dijangkau di dalamnya, dan apa yang diizinkan kebijakan egress jaringan. Anda dapat melapisi sandbox Bash bawaan di dalam container untuk pembatasan per-perintah. Container yang tidak istimewa memerlukan pengaturan nested-sandbox yang dijelaskan dalam Sandboxing troubleshooting.

Virtual machine

Mesin virtual khusus menyediakan pemisahan terkuat, dengan kernel sendiri dan, dalam penerapan cloud atau microVM, hardware virtual sendiri. Opsi termasuk instance cloud, hypervisor lokal, dan microVM seperti Firecracker. Gunakan pendekatan ini ketika Anda mengevaluasi kode yang tidak terpercaya, ketika kebijakan keamanan Anda memerlukan pemisahan tingkat kernel antara agen dan host, atau ketika tidak ada pendekatan tingkat host yang memenuhi persyaratan kepatuhan Anda. Fitur sandboxes Docker Desktop menyediakan microVM dengan daemon Docker sendiri dan sinkronisasi workspace, yang dapat menjalankan Claude Code pada host yang sudah memiliki Docker Desktop.

Claude Code on the web

Claude Code on the web menjalankan setiap sesi dalam mesin virtual terisolasi yang dikelola Anthropic. Proxy jaringan menerapkan daftar allowlist default, dan proxy terpisah menyimpan token GitHub Anda di luar sandbox sambil mengeluarkan kredensial berscopeduntuk akses repositori di dalamnya. Gunakan pendekatan ini ketika Anda menginginkan isolasi VM penuh tanpa menyediakan infrastruktur sendiri, atau ketika Anda mendelegasikan tugas dari perangkat yang tidak memiliki lingkungan pengembangan lokal. Ini memerlukan langganan Claude dan akun GitHub yang terhubung, dan sesi mengkloning repositori Anda dari GitHub. Lihat Claude Code on the web untuk ketersediaan paket dan opsi autentikasi GitHub.

Enforce isolation across an organization

Pengembang individual dapat memilih pendekatan apa pun di atas. Apa yang dapat diterapkan organisasi, dan dengan alat mana, tergantung pada pendekatan:
  • Built-in Bash sandbox: satu-satunya pendekatan yang diterapkan Claude Code sendiri. Berikan kunci pengaturan sandbox melalui managed settings, baik sebagai file yang dikelola oleh MDM Anda atau melalui server-managed settings di Claude.ai. Lihat Enforce sandboxing with managed settings untuk kunci yang akan digunakan dan cara mencegah pengembang memperluas kebijakan.
  • Dev containers: komit contoh dev container ke repositori Anda untuk standardisasi lingkungan di seluruh tim. Ini adalah konvensi daripada batas penegakan, karena Claude Code tidak memerlukan container. Jika pengembang tidak boleh dapat menjalankan Claude Code di luar, terapkan dengan alat manajemen perangkat organisasi Anda atau alat allowlisting perangkat lunak.
  • Custom containers and VMs: distribusikan Claude Code melalui gambar yang disetujui dan gunakan alat manajemen perangkat organisasi Anda atau alat allowlisting perangkat lunak untuk mencegah instalasi di luar.

Lihat juga

Halaman-halaman ini mencakup detail konfigurasi dan kebijakan untuk pendekatan di atas.
  • Sandboxing: konfigurasikan alat Bash bersandbox bawaan
  • Dev container: container pengembangan Docker yang telah dikonfigurasi sebelumnya
  • Security: model keamanan Claude Code lengkap
  • Secure deployment: panduan isolasi untuk aplikasi Agent SDK
  • Settings: semua kunci konfigurasi sandbox, termasuk pengiriman pengaturan terkelola