CC逆引きリファレンス

サンドボックスを有効化したい

13. セキュリティリスク回避

コマンド / 機能

/sandbox または settings.json

概要

サンドボックスは OS レベルのプリミティブ(macOS: Seatbelt、Linux: bubblewrap)を使用して、ファイルシステムとネットワークを隔離します。Anthropic の内部テストでは権限プロンプトが 84% 削減されました。

設定例

# セッション中に有効化
/sandbox

# settings.json で起動時から有効化(推奨)
{
  "sandbox": {
    "enabled": true,
    "autoAllowBashIfSandboxed": true
  }
}

# サンドボックスで制限されること
# ファイルシステム:
#   - 書き込み: 作業ディレクトリとサブディレクトリのみ(allowlist)
#   - 読み取り: 基本許可、一部のシステムファイルは拒否(denylist)
# ネットワーク:
#   - 許可されたホストのみアクセス可能(allowlist)
#   - 未許可のホストは確認プロンプト表示

# Linux での前提条件
sudo apt-get install bubblewrap socat  # Ubuntu/Debian
sudo dnf install bubblewrap socat       # Fedora

こんな時に使う

  • 隔離された環境で実行したい時
  • 権限確認を減らしつつ安全性を保ちたい時
  • システムへの影響を最小限にしたい時

使い方

  1. 1/sandbox コマンドでサンドボックスメニューを開く
  2. 2Auto-allow モード: サンドボックス内コマンドは自動許可
  3. 3Regular モード: サンドボックス内でも通常の権限確認
  4. 4settings.json で enabled: true を設定すると起動時から有効

Tips

  • macOS は追加インストール不要(Seatbelt 組み込み)
  • Linux/WSL2 は bubblewrap と socat が必要
  • WSL1 は非サポート(カーネル機能の制限)
  • 一部ツール(Docker, watchman)はサンドボックス非互換

同じカテゴリの記事

プロンプトインジェクション対策
提案されたコマンドを実行前に必ず確認
外部スクリプトの安全な実行
ダウンロード→確認→実行
.env へのアクセスを禁止したい
"deny": ["Read(.env*)", "Edit(.env*)"]
秘密鍵を保護したい
"deny": ["Read(*.key)", "Read(~/.ssh/*)"]
rm -rf を禁止したい
"deny": ["Bash(rm -rf*)"]
force push を禁止したい
"deny": ["Bash(git push --force*)", "Bash(git push -f*)"]
前の記事
force push を禁止したい
次の記事
サンドボックスのネットワーク制限