> ## Documentation Index
> Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Выберите среду sandbox

> Сравните варианты sandbox для Claude Code: встроенный инструмент Bash в песочнице, среда выполнения sandbox, контейнеры разработки, Docker и виртуальные машины. Выберите правильную изоляцию для вашей модели угроз.

Изоляция Claude Code ограничивает то, что сеанс может читать, писать и достигать в сети. Это особенно важно, когда вы позволяете Claude работать с меньшим количеством запросов разрешений, запускаете его без присмотра или указываете на код, которому вы не полностью доверяете.

Claude Code может работать в нескольких видах изолированных сред, начиная от легкой песочницы для каждой команды и заканчивая полностью отдельной виртуальной машиной. На этой странице рассматривается, что они изолируют и что они требуют, помогает вам выбрать один для вашей модели угроз и показывает, как обеспечить этот выбор во всей организации.

<Info>
  Для более широкой модели безопасности см. [Security](/ru/security). Для развертываний Agent SDK см. [Secure deployment](/ru/agent-sdk/secure-deployment).
</Info>

<h2 id="compare-sandboxing-approaches">
  Сравнение подходов к sandboxing
</h2>

Первые два подхода в таблице ниже работают на хост-операционной системе без контейнеров. Остальные помещают Claude Code внутри контейнера или виртуальной машины.

| Подход                                            | Что изолируется                                                           | Требует Docker | Усилия по настройке                        |
| :------------------------------------------------ | :------------------------------------------------------------------------ | :------------- | :----------------------------------------- |
| [Sandboxed Bash tool](#sandboxed-bash-tool)       | Команды Bash и их дочерние процессы                                       | Нет            | Минимально на macOS; низко на Linux и WSL2 |
| [Sandbox runtime](#sandbox-runtime)               | Весь процесс Claude Code, включая инструменты файлов, серверы MCP и hooks | Нет            | Низко                                      |
| [Dev container](#dev-containers)                  | Полная среда разработки                                                   | Да             | Среднее                                    |
| [Custom container](#custom-container)             | Полная среда разработки                                                   | Да             | Среднее-высокое                            |
| [Virtual machine](#virtual-machine)               | Полная операционная система                                               | Нет            | Высокое                                    |
| [Claude Code on the web](#claude-code-on-the-web) | Полная операционная система, размещенная Anthropic                        | Нет            | Нет; требуется подписка Claude и GitHub    |

[Sandboxed Bash tool](/ru/sandboxing) встроен в Claude Code и ограничивает только команды Bash. Встроенные инструменты файлов, серверы MCP и hooks по-прежнему работают непосредственно на вашем хосте. Каждый другой подход в таблице помещает весь процесс Claude Code внутри границы изоляции, поэтому инструменты файлов, серверы MCP и hooks также ограничены.

<Warning>
  Изоляция Sandbox снижает влияние нарушения, но не устраняет риск. Любой подход, который позволяет исходящий трафик в сети, все еще может утечь данные, которые может прочитать агент, и любой подход, который монтирует ваш каталог проекта с правом записи, все еще может изменить этот код. Перед тем как полагаться на sandbox как на жесткий контроль, ознакомьтесь с [ограничениями безопасности](/ru/sandboxing#security-limitations).

  Изоляция также не изменяет то, что отправляется модели. Ваши подсказки и файлы, которые читает Claude, передаются в API Anthropic или вашему настроенному поставщику с sandbox или без него. См. [Data usage](/ru/data-usage) для информации о том, что отправляет Claude Code и как это сократить.
</Warning>

<h2 id="choose-an-approach">
  Выберите подход
</h2>

Сопоставьте вашу цель со строкой ниже, затем прочитайте раздел деталей, который следует.

| Вы хотите                                                                                    | Начните с                                                                                                                                             |
| :------------------------------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------- |
| Уменьшить запросы разрешений во время повседневной работы на собственной машине              | [sandboxed Bash tool](/ru/sandboxing), включенный с `/sandbox`                                                                                        |
| Позволить Claude работать без присмотра с `--dangerously-skip-permissions` или в режиме auto | Предварительно настроенный [dev container](/ru/devcontainer), любой контейнер или VM, или [sandbox runtime](#sandbox-runtime)                         |
| Изолировать серверы MCP и hooks, а также Bash, без Docker                                    | Среда выполнения sandbox                                                                                                                              |
| Работать с ненадежным репозиторием                                                           | Выделенная виртуальная машина или [Claude Code on the web](/ru/claude-code-on-the-web), если у вас есть подписка Claude и подключенный аккаунт GitHub |
| Стандартизировать изолированную среду в команде                                              | Предварительно настроенный [dev container](/ru/devcontainer), скопированный в ваш репозиторий                                                         |
| Использовать Claude Code с устройства без локальной настройки                                | [Claude Code on the web](/ru/claude-code-on-the-web), который требует подписку Claude и подключенный аккаунт GitHub                                   |
| Требовать изоляцию для каждого разработчика в вашей организации                              | [Enforce isolation across an organization](#enforce-isolation-across-an-organization)                                                                 |
| Работать на нативном хосте Windows                                                           | Контейнер или VM, или запустить Bash sandbox внутри WSL2                                                                                              |

<h3 id="how-isolation-relates-to-permission-modes">
  Как изоляция связана с режимами разрешений
</h3>

[Режимы разрешений](/ru/permission-modes) определяют, выполняется ли вызов инструмента и будете ли вы запрошены в первую очередь. Изоляция ограничивает то, что может получить доступ команда после ее выполнения. Эти два работают вместе: когда режим разрешений позволяет действиям выполняться без вашего запроса, граница изоляции ограничивает то, что эти действия могут достичь.

`--dangerously-skip-permissions` удаляет проверку для каждого действия, кроме явных [ask rules](/ru/permissions#manage-permissions), поэтому граница изоляции — это единственное, что ограничивает то, что может сделать Claude. Всегда запускайте его внутри контейнера, VM или [sandbox runtime](#sandbox-runtime), чтобы инструменты файлов, серверы MCP и hooks также находились внутри границы.

[Auto mode](/ru/permission-modes#eliminate-prompts-with-auto-mode) заменяет запрос классификатором, который проверяет действия и блокирует те, которые выходят за пределы запроса, нацеливаются на неизвестную инфраструктуру или кажутся вызванными враждебным контентом, который прочитал Claude. Классификатор — это контроль для каждого действия, а не граница изоляции, поэтому граница изоляции все еще добавляет защиту в глубину для автоматических запусков и не требуется так, как для `--dangerously-skip-permissions`.

[sandboxed Bash tool](#sandboxed-bash-tool) сам по себе ограничивает только Bash, поэтому его недостаточно для полностью автоматических запусков в любом режиме. Вы можете комбинировать подходы: запуск sandboxed Bash tool внутри контейнера или VM дает вам ограничения команд на уровне ОС поверх внешней границы окружения. Для информации о том, как сам Bash sandbox взаимодействует с правилами разрешений и режимами разрешений, см. [How sandboxing relates to permissions and permission modes](/ru/sandboxing#how-sandboxing-relates-to-permissions-and-permission-modes).

<h2 id="sandboxed-bash-tool">
  Sandboxed Bash tool
</h2>

<Note>
  Этот вариант не поддерживает нативный Windows. На хостах Windows используйте WSL2 или один из подходов контейнера или VM ниже.
</Note>

Sandboxed Bash tool встроен в Claude Code. Он использует примитивы операционной системы для ограничения доступа к файловой системе и сети каждой команды Bash, которую запускает Claude: Seatbelt, встроенную macOS песочницу и [bubblewrap](https://github.com/containers/bubblewrap) на Linux и WSL2. По умолчанию он позволяет записи в рабочий каталог и запрашивает в первый раз, когда команде требуется новый домен сети.

Включите его с помощью команды `/sandbox`. Руководство [Sandboxing](/ru/sandboxing) охватывает режимы одобрения, границу по умолчанию и как расширить или сузить ее.

Песочница для каждой команды не охватывает все, что работает в сеансе:

* Другие [встроенные инструменты](/ru/tools-reference), такие как Read, Edit и WebFetch, работают внутри процесса Claude Code и не порождают произвольный код. [Правила разрешений](/ru/permissions) для пути или домена управляют ими вместо этого.
* Серверы [MCP](/ru/mcp) и hooks — это отдельные процессы, которые работают без ограничений на хосте.

Чтобы поместить встроенные инструменты, серверы MCP и hooks все позади одной границы ОС, запустите весь процесс Claude Code внутри [sandbox runtime](#sandbox-runtime), [dev container](#dev-containers) или [custom container](#custom-container).

<h2 id="sandbox-runtime">
  Sandbox runtime
</h2>

Пакет [`@anthropic-ai/sandbox-runtime`](https://github.com/anthropic-experimental/sandbox-runtime) оборачивает весь процесс в ту же изоляцию Seatbelt или bubblewrap, которую использует встроенный Bash sandbox. Запуск Claude Code через него ограничивает каждый инструмент, hook и сервер MCP в сеансе, а не только Bash. Среда выполнения — это бета-версия исследовательского предпросмотра, и ее формат конфигурации может измениться по мере развития пакета.

Среда выполнения по умолчанию запрещает весь доступ на запись и в сеть, поэтому настройте ее перед запуском Claude Code через нее. В `~/.srt-settings.json` или файле, который вы передаете с `--settings`, разрешите доступ на запись по крайней мере к вашему каталогу проекта и путям конфигурации Claude Code `~/.claude` и `~/.claude.json`. Разрешите домены сети, которые требует ваш сеанс, включая `api.anthropic.com` или конечную точку вашего настроенного поставщика. Полную схему конфигурации см. в [README](https://github.com/anthropic-experimental/sandbox-runtime) пакета.

После того как файл параметров находится на месте, запустите Claude Code с `npx` и передайте `claude` как команду для обертывания:

```bash theme={null}
npx @anthropic-ai/sandbox-runtime claude
```

Claude Code запускается внутри sandbox с границами файловой системы и сети, которые вы настроили. Та же команда работает для sandboxing отдельных серверов MCP или других вспомогательных процессов.

<h2 id="dev-containers">
  Dev containers
</h2>

Dev container запускает Claude Code внутри контейнера Docker, которым управляет VS Code или совместимый редактор, с вашим проектом, смонтированным внутри. Вы можете определить свой собственный с помощью каталога `.devcontainer/` в вашем репозитории.

Репозиторий claude-code публикует [пример dev container](/ru/devcontainer) с брандмауэром iptables по умолчанию deny в качестве отправной точки. Скопируйте его в ваш репозиторий и отрегулируйте список разрешений брандмауэра, базовый образ и закрепленную версию Claude Code в соответствии с вашей средой. Поскольку брандмауэр блокирует неодобренный исходящий трафик, конфигурация, подобная этой, поддерживает запуск Claude Code с `--dangerously-skip-permissions` для автоматической работы.

<h2 id="custom-container">
  Custom container
</h2>

Вы можете запустить Claude Code в любом образе контейнера Docker или OCI с вашими собственными сетевыми политиками, смонтированными томами и профилями seccomp. Это наиболее распространенный путь для организаций с существующей инфраструктурой контейнеров или CI-бегунами.

Несколько управляемых служб sandbox и удаленного выполнения могут размещать контейнер для вас. Тот же контрольный список применяется к любому контейнеру, который вы работаете: проверьте, что смонтировано с правом записи, какие учетные данные и токены доступны внутри него и какую политику исходящего трафика в сети он позволяет.

Вы можете комбинировать встроенный Bash sandbox внутри контейнера для ограничений для каждой команды. Непривилегированные контейнеры требуют параметра nested-sandbox, описанного в [Sandboxing troubleshooting](/ru/sandboxing#troubleshooting).

<h2 id="virtual-machine">
  Virtual machine
</h2>

Выделенная виртуальная машина обеспечивает самое сильное разделение, с собственным ядром и, в облачных или microVM развертываниях, собственным виртуализированным оборудованием. Варианты включают облачные экземпляры, локальные гипервизоры и microVM, такие как Firecracker.

Используйте этот подход, когда вы оцениваете ненадежный код, когда ваша политика безопасности требует разделения на уровне ядра между агентом и хостом, или когда ни один подход на уровне хоста не соответствует вашим требованиям соответствия. [Функция sandboxes](https://docs.docker.com/ai/sandboxes/) Docker Desktop предоставляет microVM с собственным демоном Docker и синхронизацией рабочего пространства, которая может запустить Claude Code на хостах, которые уже имеют Docker Desktop.

<h2 id="claude-code-on-the-web">
  Claude Code on the web
</h2>

[Claude Code on the web](/ru/claude-code-on-the-web) запускает каждый сеанс в изолированной виртуальной машине, управляемой Anthropic. Сетевой прокси обеспечивает список разрешений по умолчанию, и отдельный прокси хранит ваш токен GitHub вне sandbox, выдавая ограниченные учетные данные для доступа к репозиторию внутри него.

Используйте этот подход, когда вы хотите полную изоляцию VM без самостоятельного предоставления инфраструктуры, или когда вы делегируете задачи с устройства, которое не имеет локальной среды разработки. Это требует подписку Claude и подключенный аккаунт GitHub, и сеансы клонируют ваш репозиторий из GitHub. См. [Claude Code on the web](/ru/claude-code-on-the-web) для доступности плана и опций аутентификации GitHub.

<h2 id="enforce-isolation-across-an-organization">
  Enforce isolation across an organization
</h2>

Отдельные разработчики могут выбрать любой из подходов выше. Что организация может обеспечить и какими инструментами, зависит от подхода:

* **Built-in Bash sandbox**: единственный подход, который Claude Code обеспечивает сам. Доставьте ключи параметров `sandbox` через [managed settings](/ru/settings#settings-files), либо как файл, управляемый вашим MDM, либо через [server-managed settings](/ru/server-managed-settings) на Claude.ai. См. [Enforce sandboxing with managed settings](/ru/sandboxing#enforce-sandboxing-with-managed-settings) для ключей для развертывания и как помешать разработчикам расширить политику.
* **Dev containers**: зафиксируйте [пример dev container](/ru/devcontainer) в ваших репозиториях для стандартизации среды в команде. Это соглашение, а не граница обеспечения, потому что Claude Code не требует контейнер. Если разработчики не должны иметь возможность запустить Claude Code вне его, обеспечьте это с помощью инструментов управления устройствами вашей организации или инструментов разрешения программного обеспечения.
* **Custom containers and VMs**: распределите Claude Code через одобренный образ и используйте инструменты управления устройствами вашей организации или инструменты разрешения программного обеспечения для предотвращения установки вне его.

<h2 id="see-also">
  See also
</h2>

Эти страницы охватывают детали конфигурации и политики для подходов выше.

* [Sandboxing](/ru/sandboxing): настройте встроенный инструмент sandboxed Bash
* [Dev container](/ru/devcontainer): предварительно настроенный контейнер Docker для разработки
* [Security](/ru/security): полная модель безопасности Claude Code
* [Secure deployment](/ru/agent-sdk/secure-deployment): руководство по изоляции для приложений Agent SDK
* [Settings](/ru/settings#sandbox-settings): все ключи конфигурации sandbox, включая доставку управляемых параметров
