Anthropic je krajem juna objavio izmenu za Claude Code koja izolovanom okruženju oduzima pristup poverljivim podacima. Nova opcija, nazvana sandbox.credentials, sprečava komande koje agent pokreće u peskovniku da čitaju fajlove sa lozinkama i tajne promenljive okruženja. Uz nju je stiglo i ograničavanje modela na nivou organizacije, čime administratori mogu da propišu koje modele zaposleni smeju da koriste.
Izmena je deo redovnog toka nadogradnji alata za programiranje, ali se javlja u trenutku kada je bezbednost autonomnih agenata pod posebnim pritiskom. Tokom proteklih meseci nekoliko nezavisnih istraživača objavilo je propuste u mrežnoj izolaciji Claude Code-a koji su, prema njihovim navodima, omogućavali izvlačenje upravo onih podataka koje nova opcija sada štiti.
Šta tačno radi nova opcija
Claude Code već duže koristi takozvani peskovnik, izolovano okruženje u kojem agent pokreće komande. Peskovnik se oslanja na mehanizme operativnog sistema, na Linuksu na alat bubblewrap, a na macOS-u na seatbelt, i postavlja dve granice. Prva je izolacija fajl sistema, koja agentu dozvoljava pristup samo određenim direktorijumima. Druga je mrežna izolacija, koja propušta vezu samo ka unapred odobrenim serverima. Anthropic je ranije naveo da ovakvo okruženje smanjuje broj upita za dozvolu za oko 84 odsto, jer agent unutar dozvoljenih granica radi bez stalnog potvrđivanja.
Opcija sandbox.credentials dodaje treći sloj. Ona blokira komande u peskovniku da uopšte pročitaju fajlove sa kredencijalima i tajne promenljive okruženja, što su tipično pristupni tokeni, ključevi za interfejse i lozinke za baze podataka. Logika je jednostavna. Ako tajna nikada ne uđe u prostor u kojem se izvršava kod koji je agent napisao, ona ne može ni da bude izvučena, čak ni ako neki drugi sloj zaštite popusti.
Zašto je redosled odbrane bitan
Bezbednosna struka ovakav pristup naziva odbranom u dubinu. Umesto da se osloni na jednu branu, sistem postavlja više nezavisnih prepreka, pa proboj jedne ne znači automatski i gubitak podataka. Kod agenata koji sami pišu i pokreću kod ovo je važno jer napad ne mora da dođe spolja. Dovoljno je da agent, naveden zlonamernim uputstvom skrivenim u nekom dokumentu ili zavisnosti, pokuša da pošalje tajne na spoljni server. Ako kredencijali nisu dostupni u peskovniku, takav pokušaj ostaje bez plena.
Propusti koji su prethodili izmeni
Kontekst za ovu nadogradnju daju ranija otkrića istraživača bezbednosti. Tokom proleća i leta objavljeno je nekoliko analiza koje opisuju zaobilaženje mrežne izolacije Claude Code-a. Istraživač Aonan Guan opisao je propust kao posledicu doslednog problema u načinu na koji je izolacija sprovedena, a ne kao izolovanu grešku.
Najdetaljnije opisani slučaj tiče se načina na koji je posrednik za mrežni saobraćaj proveravao da li je odredište dozvoljeno. Prema objavljenoj analizi, ime servera se upoređivalo sa listom dozvoljenih adresa, ali je u proveri korišćen postupak koji se razlikovao od onoga što sistem kasnije zaista pozove pri prevođenju imena u adresu. Posebno sročeno ime, sa skrivenim znakom u sredini, moglo je da prođe proveru kao da pripada dozvoljenom domenu, a da se zatim poveže sa serverom napadača. Prema istim navodima, propust je bio prisutan u velikom broju izdanja tokom više od pet meseci. Anthropic o pojedinačnim propustima nije izdao javno upozorenje, pa ove tvrdnje za sada počivaju na nalazima istraživača, a ne na zvaničnoj potvrdi kompanije.
Upravo zato je odvajanje tajni od peskovnika značajno. Ono ne ispravlja konkretan propust u mrežnoj bari, već menja pretpostavku. I kada mrežna izolacija zataji, podaci koji bi se izvlačili više nisu na dohvat ruke agentu.
Ograničavanje modela kao alatka za firme
Druga novina u istoj nadogradnji okrenuta je organizacijama. Administratori sada mogu da propišu koje modele zaposleni smeju da biraju. Ograničenje važi na svim mestima gde se model bira, u izborniku, kroz parametar --model, komandu /model i promenljivu ANTHROPIC_MODEL. Kada neko pokuša da odabere model koji nije dozvoljen, dobija poruku da je izbor ograničen postavkama organizacije.
Ova mogućnost prati širi pravac u kojem se Claude Code pomera ka korporativnoj upotrebi. Firme koje uvode agente žele kontrolu nad tim koji se modeli koriste, bilo zbog troškova, bilo zbog usklađenosti sa internim pravilima o tome gde se podaci obrađuju. Centralno propisivanje modela administratorima daje polugu koju ranije nisu imali, pa pojedinačni korisnik ne može da zaobiđe odluku organizacije prostom izmenom podešavanja.
Šire pitanje poverenja u agente
Obe izmene pripadaju istoj temi, a to je koliko se autonomnom agentu sme verovati sa pristupom poverljivim sistemima. Što agent radi samostalnije, to su veće i posledice ako krene po zlu. Anthropic je peskovnik postavio kao način da agent radi sa manje prekida, ali svaki nivo autonomije nosi i nove rizike koje treba zatvoriti.
Za timove u regionu koji uvode alate poput Claude Code-a u svoj rad, poruka je praktična. Podrazumevana podešavanja nisu uvek najstrožija, pa odvajanje tajni od okruženja u kojem agent izvršava kod i propisivanje dozvoljenih modela traže svestan izbor administratora. Bezbednost agenta ne počiva samo na tome koliko je model sposoban, već i na tome koliko je usko ograničeno ono čemu sme da pristupi.
Anthropic nije objavio merljive podatke o tome koliko su nove zaštite efikasne u praksi, niti je povezao izmenu sa konkretnim propustima koje su opisali istraživači. Ostaje da se vidi da li će odvajanje tajni postati podrazumevano ponašanje ili će i dalje zavisiti od toga da li ga korisnik sam uključi.
Često postavljana pitanja
Šta je peskovnik u Claude Code-u?
Peskovnik je izolovano okruženje u kojem agent pokreće komande. Oslanja se na mehanizme operativnog sistema i postavlja granice oko toga kojim fajlovima i kojim mrežnim serverima agent sme da pristupi, kako bi se smanjio rizik od neželjenih radnji.
Šta sprečava nova opcija sandbox.credentials?
Ona blokira komande koje se izvršavaju u peskovniku da čitaju fajlove sa kredencijalima i tajne promenljive okruženja. Cilj je da poverljivi podaci, poput tokena i lozinki, uopšte ne budu dostupni okruženju u kojem se pokreće kod koji je agent napisao.
Da li je nova zaštita uključena podrazumevano?
Reč je o opciji u podešavanjima, što znači da njeno uključivanje zavisi od korisnika ili administratora. Anthropic nije naveo da postaje podrazumevana, pa timovi koji žele ovaj nivo zaštite treba sami da je aktiviraju.
Šta donosi ograničavanje modela za organizacije?
Administratori mogu da propišu koje modele zaposleni smeju da koriste u Claude Code-u. Ograničenje važi u izborniku i kroz parametre za izbor modela, a korisnik koji odabere nedozvoljen model dobija poruku da je izbor ograničen pravilima organizacije.
