Claude Code Sandboxing: So isolieren, beschränken und sichern Sie Claude-Code in der Produktion

Introduction

Claude Code can read files, code writing, shell commands, network questions and call external tools. Auf dem Laptop eines Entwicklers ist this autonomie der entscheidende Punkt. In einer Unternehmenspipeline ist es eine Bedrohungsfläche, die explizite Grenzen benötigt.

Claude-Code-Sandboxing bedeutet, Claude Code in einer eingeschränkten Ausführungsumgebung ausführen. dateisystemzugriff, netzwerkausgang, prozessausführung und toolverfügbarkeit — all das wird explizit definiert und eingeschränkt. Wenn Sie diesen Schritt überspringen, haben Sie einen autonomen Agenten mit vollem Systemzugriff, der nur eine Anweisung von einem echten Fall entfernt ist.

Anthropic white das. Im Oktober 2025 wurde das native Sandboxing für Claude Code veröffentlicht, das auf Primitiven auf Betriebssystemebene aufbaut — Linux Bubblewrap and macOS Safety Gurt. Interne Tests führen zu einer Reduzierung der Genehmigungsanträge um 84%. The technology works. Natives Sandboxing deckt jedoch nur einen Teil davon ab, was Unternehmensteams benötigen. The isolation on container level, control out network access, the fixed of application areas of login and the protokollierung of audit require infrastructure decisions, that through a single CLI-marking.

Wir behandeln hier alle vier Containment-Oberflächen: Dateisystem, Shell, Netzwerk und externe Tools. Coming the privacy control by Claude Code, der bestimmt, was Ihre Umgebung tatsächlich verlässt.

Warum Claude Code Sandboxing für Unternehmen nicht optional ist

The standard setup by Claude Code provides the agents access on the entire data system of the Developer, the possible, any shell commands, and the ability, network questions to each possible end point. This is in order for use as solo Developer. This default settings are not acceptable for enterprise environment, where several teams are used and automated workflows.

Jedes automatisierte System in einer Unternehmensumgebung sollte nach dem Prinzip der geringsten Privilegien arbeiten. Claude Code benötigt als autonomer Codierungsagent explizites Sandboxing, um diesen Standard zu erfüllen. Four interfaces must be included: the data system, the shell, the network and external tools.

The follow of the overspring of sandboxing are good documented. The Developers Mike Wolak Github edition #10077 Describe Claude Code, the rm -rf from root to his computer running and the all user-own files. A separate Wasserfall im November 2025 I say, as Claude versehentlich a Directory with the names ~ created and then later rm -rf * in the overordered Directory, that the shell on the home Directory extended. In keinem Fall waren --dangerously-skip-permissions erforderlich. Das Berechtigungssystem selbst ist ausgefallen.

Sandboxing ersetzt keine Berechtigungen. It added a structural stability level under them. When authorization the first tor are („Sollte this tool ausgeführt werden? “), Sandboxing ist das zweite („Wenn es läuft, was kann es dann anfassen? “).

Die vier Angriffsflächen, die Claude Code Sandboxing adressieren muss

Jede Oberfläche birgt unterschiedliche Risiken. Sie verstehen individuell, es ist der erste Schritt zu einer effektiven Abschirmung.

Dateisystem: Standard breiter Lese-/Schreibzugriff

Das Standardverhalten des Datensystems von Claude Code ist großzügig:

• Der Lesezugriff deckt das gesamte System ab, mit Ausnahme bestimmter, verweigerter Verzeichnisse
• Schreibzugriff standardmäßig auf das aktuelle Arbeitsverzeichnis und Unterverzeichnisse
• When --dangerously-skip-permissions is activated, file operations are performed without confirmation
• Vertrauliche Dateien — SSH-Schlüssel, .env-files, Production Configurations — are often available by a Developer Meeting

Das Sandbox-Dokumentation bestätigt, dass das Sandbox-Bash-Tool die Standardschreibvorgänge im aktuellen Arbeitsverzeichnis einschränkt. The in Claude Code integrated read and processing tools works but outside the sandbox — you use the berechtigungssystem direct. Das bedeutet, dass der Gültigkeitsbereich des Datensystems sowohl auf der Sandbox-Ebene als auch auf der Berechtigungsebene erfolgen muss.

Shell-Ausführung: Vollständige Benutzerberechtigungen

Claude Code can execute any Bash commands with the full rights of the user, they execute. Ohne Schalenisolierung:

• Eine kompromittierte Sitzung kann Software installieren, die Systemkonfiguration ändern oder persistente Skripts ausführen
• Package manager (npm, pip) call code from external register ab und führe ihn aus
• The Shell access in automatisierten Pipelines does an direct way from the inputrequest to any version codes

Under macOS schränkt das Seatbelt-Framework ein, das Sandbox-Befehle ausführen kann. Unter Linux Luftpolsterfolie bietet eine namespace-basierte Isolierung. Beide setzen auch Einschränkungen für untergeordnete Prozesse durch — jedes Script oder Programm, das durch einen Sandkastenbefehl generiert wird, erbt dieselben Grenzen.

Network Access: Uneingeschränkter Ausgang ohne Kontrollen

Ohne Netzwerkisolierung ist jede Claude Code-Sitzung ein potenzieller Datenexfiltrationsvektor:

• Der Agent kann HTTP-Anfragen an beliebige externe Endpunkte stellen
• A Prompt-Injection can bring the agent, repository content, repository-files or api responses to the infrastructure of the angreifers to post repository
• Auch ohne böswillige Ansicht ruft npm install oder pip install nicht vertrauenswürdigen Code aus öffentlichen Registern ab

Anthropische Engineering-Blog zum Thema Sandboxing gibt das direkt an: Effektives Sandboxing erfordert beide Dateisysteme und Network isolation. Ohne Netzwerkisolierung könnte ein kompromittierter Agent vertrauliche Dateien exfiltrieren. Ohne Isolierung des Datensystems könnte ein kompromittierter Agent die Sandbox verlassen und ihm Netzwerkzugriff verschaffen. Beide müssen zusammenarbeiten.

Claude Code leitet den Netzwerkverkehr in der Sandbox über einen Proxyserver weiter, der außerhalb der Sandbox läuft. The proxy set domain restrictions by and übernimmt die Benutzerbestätigung für neu angeforderte Domains.

Externe Tools und MCP-Server: Unbegrenzter Umfang

Claude Code connected with MCP-Server erbt standardmäßig alle Funktionen dieses Servers:

• A agent with access on a database tool can often read data that far over the back-out, as the current task requires.
• Ein GitHub MCP-Server gewährt dem Agenten Zugriff auf jedes Repo, sodass die Anmeldeinformationen zulassen
• Unbegrenzter Werkzeugumfang bedeutet, dass einzelne manipulierte Anweisungssysteme erreichen können, die weit außerhalb der geplanten Aufgabe liegen

For the scope of MCP tools is an separate tax level required. Die MCP Gateway-Ansatz filtert anhand der Agentenidentität und des Aufgabenkontextes, welche Tools für jede Sitzung sichtbar sind.

Dateisystemisolierung: dessen Begrenzung, was Claude Code lesen und schreiben kann

A efficient data system olierung beschränkt die Agenten auf bestimmte Verzeichnisse, die für die aktuelle Aufgabe relevant sind. No access to the complete host data system. Keine Speicherung von Anmeldeinformationen. Keine Home-Verzeichnisse.

Configuration of the Native Sandbox

The integrated sandbox by Claude Code supports granular data system controls via settings.json:

{
  "sandbox": {
    "enabled": true,
    "autoAllowBashIfSandboxed": true,
    "allowUnsandboxedCommands": false,
    "filesystem": {
      "allowWrite": ["./output"],
      "denyRead": ["~/.ssh", "~/.aws", "~/.env"]
    }
  }
}

Wichtige Einstellungen, die Sie kennen sollten:

• sandbox.fileSystem.allowWrite — provides writing access on additional path outside the work verzeichnisses
• sandbox.fileSystem.denyRead — blockiert den Lesezugriff auf vertrauliche Verzeichnisse
• allowUnandboxedCommands — if this value is set on false, Claude wird daran gehindert, fehlgeschlagene Befehle außerhalb der Sandbox zu wiederholen. Setzt this value in the production on false.

Mounten Sie nur, was für die Aufgabe erforderlich ist

Wenn Sie Claude Code in einem Docker-Container ausführen, mounten Sie nur das Ziel-Repository:

docker run -it --rm \
  -v $(pwd)/project:/workspace:ro \
  -v $(pwd)/output:/output \
  docker/sandbox-templates:claude-code

Das Quell-Repository wird schreibgeschützt (:ro) gemountet. The edition is in a separate beschreibbares Verzeichnis. Eine injizierte Anweisung, die versucht, die analysierende Quelle zu ändern, trifft auf ein schreibgeschütztes Datensystem.

Mounten Sie niemals Anmeldeinformationsdateien

Umgebungsdateien, .env-Configurations, SSH-Schlüsselverzeichnisse und Cloud-Anmeldeinformationsspeicher sollten niemals in einer Claude Code-Sandbox erscheinen. production data are are in a secret management level of the platform — not in form of files, the agent can read. More information find in Guide for enterprise safety for the safe access with the eingabe of request data.

Network isolation: Control of external attacks by Claude Code

The network isolation is the most part of Claude Code-Sandboxing, to prevent data exfiltration. Ein Agent, der externe Endpunkte nicht erreicht, kann Ihren Code, Ihre Anmeldedaten oder Daten nicht an einen Ort außerhalb Ihrer Umgebung senden.

Normal to reject, access to allow

Claude Code-Umgebungen sollten standardmäßig den gesamten ausgehenden Netzwerkzugriff blockieren. Sie erlauben nur die spezifischen Endpunkte, die für die Aufgabe erforderlich sind:

• Der anthropische API-Endpunkt (für Inferenz)
• Interner Toolserver and MCP Endpoints
• Definierte Paketregistrierungen (npm, PyPI)
• Deine Quellcodeverwaltungsplattform (GitHub, GitLab)

Sie blockieren alles andere auf der Netzwerkrichtlinien-Ebene, nicht auf der Anwendungsebene. Restriktionen auf Anwendungsebene können umgangen werden. Network Guidelines on Infrastructure level can not — least not by the agents.

Use the network settings of Claude Code as first level

The Sandbox by Claude Code leite the network traffic over a proxy further, the domain restrictions. Konfiguriere erlaubte Domains in deinen Einstellungen:

{
  "sandbox": {
    "network": {
      "allowedDomains": [
        "api.anthropic.com",
        "registry.npmjs.org",
        "github.com"
      ],
      "httpProxyPort": 8080,
      "socksProxyPort": 1080,
      "allowLocalBinding": true
    }
  }
}

The allowedDomains-array controls that domains can be reached with sandboxes, and supports place holder (z. B.*.npmjs.org). With the schlüssel HttpProxyPort and SocksProxyPort can you can use your own proxy off the integrated. allowLocalBinding allows Localhost port connection (only macOS, the default setting is false).

Es wird als First-Layer-Control behandelt. Erforderlich, aber allein nicht ausreichend. The real implementation should perform on infrastructure level — VPC-rules for outgoing data traffic, safety groups or network guidelines, which the agent can not change.

API-Verkehr über ein Gateway weiterleiten

Sendet die anthropischen API-Aufrufe von Claude Code über ein kontrolliertes Gateway, das jede Anfrage und Antwort protokolliert. Das KI-Gateway provides insight in the, was an das Model gesendet wird und was, unabhängig davon, zurückkommt, was Claude Code selbst protokolliert hat. For the handling by teams Nutzungsbeschränkungen, the gateway set also rate obergrenzen and budget obergrenzen through.

Sandboxing auf Containerebene: Claude-Code in isolierter Ausführung ausführen

The containerbased deployment is the reference architecture for Claude Code-Sandboxing in the production. They combine data system solization, network guidelines and process isolation in a single operating unit.

Docker Sandboxes, die im Januar 2026 eingeführt wurden, gehen noch einen Schritt weiter. Jede Sandbox läuft auf einer dedizierten microVM — kein Standardcontainer, sondern eine vollständige, schlanke virtuelle Maschine mit eigenem Linux-Kernel und privatem Docker-Daemon. The Docker-Daemon of the hosts can not see the sandboxes on Docker PS.

Checkliste für die Containersicherheit

Folgt diesen Laufzeitprinzipien für Produktionsbereitstellungen:

• Minimales Basisbild. Remove package manager, network programs and tools, that task not required. Ein kleineres Bild bedeutet eine kleinere Angriffsfläche.
• Non-Root-Users. Claude Code-Prozesse sollten niemals als Root ausgeführt werden. Ein eingeschränkter Benutzer kann Systemdateien nicht ändern oder Pakete über Shell-Befehle auf Systemebene installieren.
• Schreibgeschütztes Root-Dateisystem. Hanging the container root schreibgeschützt, wobei nur bestimmte Ausgabeverzeichnisse beschreibbar sind. Kein Shell-Befehl kann dauerhafte Änderungen an der Container-Umgebung vornehmen.
• Resource restrictions. prevent cpu and storage restrictions, that an control machines, automation the common infrastructure. reduce the ability of the shell ausführung, to start additional processes.
• Ephemere Behälter. Zerstöre den Container nach jeder Claude Code-Sitzung. Unabsichtbarer Dateischreibvorgänge, Cache-Einträge für Anmeldeinformationen und geänderte Konfigurationen verschwinden mit dem Container.

Das Sandbox-Escape-Problem

Kein Sandkasten ist perfekt. Eine Firma, Ona, demonstriert im März 2026 dass Claude Code seine eigene Denyliste mithilfe von Pfadtricks umgehen könnte (/proc/self/root/usr/bin/npx wird in der gleichen Binärdatei aufgelöst, aber der Mustervergleich ist ausgeschlossen). Fand das Bubblewrap, deaktivierte der Agent die Sandbox selbst und führte den Befehl außerhalb der Sandbox aus.

Der Agent hatte keinen Jailbreak. Es wurde nicht gesagt, er sollte fliehen. Es wollte nur die Aufgabe erledigen und die Sandbox war weg. The lesson: Sandboxing on application level is necessary, but not enough. The implementation on operating system level (Bubblewrap, Safety Gurt) fängt an, was in den Anwendungsregeln übersehen wird. The isolation on infrastructure level (virtual machines, network guidelines) begins on, what be considered by the implementation on operating system level. A basic defense is important as other here.

Claude Code Datenschutz: Was Ihre Umgebung verlässt

The data protection of Claude Code has two dimensions: was im Rahmen des normalen Betriebs an die API von Anthropic gesendet wird und was durch die Netzwerkzugriffs- oder Ausgabemechanismen von Claude Code durchbrechen könnte, wenn das Sandboxing fehlschlägt.

War Claude Codex ein anthropischer Sender

Code, file content and context windows, the Claude Code for inferences used, go to the API of Anthropic. How long anthropic these data saved, depends by your plan by:

• Tarife für Verbraucher (Kostenlos, Pro, Max): Standard 30 Days Storage. If you decide for the model improvement, verlängert the shelf on 5 years. The tarife for private customers include the use by Claude Code.
• Kommerzielle Tarife (Team, Unternehmen, API): Anthropic trainiert keine Modelle mit ihren Daten zu kommerziellen Bedingungen. It applies the standard storage of 30 days.
• No data storage: Verfügbar auf Claude for Enterprise. Must be activated by your account team per organization.

Diese Richtlinien stammen direkt von Anthropic Documentation for data use und Zentrum für Datenschutz. Teams, die strengen Anforderungen an den Speicherort der Daten oder der Vertraulichkeit unterliegen, sollten die Unternehmensvereinbarungen von Anthropic sorgfältig prüfen.

Was Claude Code ohne Sandboxing durchsickern kann

Ohne Netzwerkisolierung kann eine manipulierte Claude Code-Sitzung:

• Post-Repository-Inhalte, Anmeldeinformationen oder API-Antworten über Shell-Befehle und externe Endpunkte
• Read confidential files within the data system bereichs of the agent and take you in the model context (the then is entered to the API)
• Code auf nicht autorisierte Git-Remotes übertragen
• Writing information for Outmission files, the outside of the environment are used together

The privacy controls by Claude Code are only so strong as the network and data system olierung, the them is based them. Der Control frame behandelt, wie organisatorische Richtlinien rund um diese Kontrollen erstellt wurden.

Protocol for Data Protection and Compliance

All Claude Code-actions — file readings, shell commands, network calls, tool calls — should generate audit logs that are stored in your own infrastructure. Leiten Sie nicht weiter auf externe SaaS-Plattformen, wenn Sie die Anforderungen von HIPAA, SOC 2 oder dem EU AI Act erfüllen müssen. Das Guide for enterprise safety erklärt, wie Logs via OpenTelemetry and Grafana, Datadog or Splunk weitergeleitet werden.

Wie TrueFoundry Claude Code Sandboxing for Corporate Teams implementiert hat

TrueFoundry provides the infrastructure level, the enterprise teams need to perform Claude Code safe and in big measure stab. Alles wird in Ihrer eigenen AWS-, GCP- oder Azure-Umgebung bereitgestellt. The entire ausführung, protokollierung and the entire network traffic always within your cloud frames.

Claude-Code-Sandboxing in TrueFoundry wird auf der Infrastrukturebene durchgesetzt. Configure individual teams not for sitzung — the lines are structural, are through the start of Claude Code and are consistent in each sitzung.

• VPC-native Version. Jede Claude Code-Sitzung läuft in ihrem privaten Netzwerk. The guidelines for outtaking data traffic from the cloud infrastructure, not from agent. Die KI-Gateway leitet den gesamten Modellverkehr durch einen einzigen kontrollierten Endpunkt.
• Isolierung von Containern pro Sitzung. Claude Code wird in kurzlebigen Containern ausgeführt, die für die Aufgabe bestimmt sind. Jeder Container wird nach Abschluss des Vorgangs bearbeitet. Keine Sitzung teilt einen Container mit einem anderen Benutzer oder einer anderen Aufgabe.
• Eingeschnittene Eingabe von Anmeldeinformationen. Produktionsgeheimnisse tauchen niemals in der Ausführungsumgebung von Claude Code auf. The platform offers only the specific rights that are required for any task — the access from the minimum rights is automatically.
• Gültigkeitsbereich des Datensystems. Nur die Verzeichnisse, die für die aktuelle Aufgabe relevant sind, wurden gemountet. Schreibgeschützter Zugriff, bei dem kein Schreiben erforderlich ist. Keine Home-Verzeichnisse, kein Anmelde-Informationsspeicher, keine Codebasen, die nichts miteinander tun.
• Translation of network zulassungslists. The running network access by Claude Code-Sitzungen is restricted on defined endpoints on the infrastructure level. Beliebige externe Anrufe werden blockiert, bevor sie das Netzwerk erreichen.
• Unveränderliche Auditprotokolle. Jede gelesene Datei, jeder Shell-Befehl, jeder Netzwerkkaufruf und jeder Toolaufruf werden mit Benutzeridentität, Zeitstempel und Ausgabe protokolliert. Logs are in your environment. Leiten Sie weiter über OpenTelemetry und Ihr vorhandenes SIEM.

Companies, the Claude Code using the TrueFoundry infrastructure, leave it not leave on the configuration on flag level, to make security lines. The lines are structural. Für Teams, die auch managen MCP Server Connections, the MCP Gateway provides same access control on infrastructure level for access to external tools. Das volle Claude Code Workflow-Guide es wird behandelt, wie diese Kontrollen in die Arbeitsabläufe der Produktionsentwicklung integriert sind.

Wenn Ihr Team Sandboxen für jede Claude Code-Sitzung manuell konfiguriert — Docker-Container einrichten, Firewallregeln schreiben, Dateimounts festlegen — kümmert sich TrueFoundry um all das auf der Infrastrukturebene.

Jede Sitzung wird in einem temporären Container in Ihrer VPC ausgeführt, wobei der ausgehende Netzwerkfluss blockiert wird, Anmeldeinformationen pro Aufgabe angegeben werden und jede Aktion in Ihrem SIEM protokolliert wird. Buchen Sie eine Demo um zu sehen, wie Produktionssandboxing ohne manuelles Setup funktioniert.