Claude Code Sandboxing: cómo aislar, restringir y proteger el código Claude en producción

Introducción

Claude Code puede leer archivos, escribir código, ejecutar comandos de shell, realizar solicitudes de red y llamar a herramientas externas. En el portátil de un desarrollador, esa autonomía es la clave. En una cartera empresarial, se trata de una superficie de amenaza que necesita límites explícitos.

El sandboxing de código Claude significa ejecutar Claude Code dentro de un entorno de ejecución restringido. El acceso al sistema de archivos, la salida a la red, la ejecución de procesos y la disponibilidad de las herramientas: todo esto se define y limita de forma explícita. Omita ese paso y tendrá un agente autónomo con acceso total al sistema que estará a una sola instrucción de un incidente real.

Anthropic lo sabe. En octubre de 2025, sacaron a la venta un sandboxing nativo para Claude Code, basado en primitivas del nivel del sistema operativo: Linux bubblewrap y macOS Seatbelt. Las pruebas internas mostraron una reducción del 84% en las solicitudes de permiso. La tecnología funciona. Sin embargo, el sandboxing nativo cubre solo una parte de lo que necesitan los equipos empresariales. El aislamiento a nivel de contenedor, los controles de salida de la red, el alcance de las credenciales y el registro de auditorías requieren decisiones de infraestructura que van más allá de un único indicador de CLI.

Aquí cubrimos las cuatro superficies de contención: sistema de archivos, shell, red y herramientas externas. Además de los controles de privacidad de datos del código Claude, que determinan qué es lo que realmente abandona su entorno.

Por qué Claude Code Sandboxing no es opcional para las empresas

La configuración predeterminada de Claude Code brinda al agente acceso a todo el sistema de archivos del desarrollador, la capacidad de ejecutar comandos de shell arbitrarios y la capacidad de realizar solicitudes de red a cualquier punto final accesible. Eso está bien para que un desarrollador lo use en solitario. En el caso de las implementaciones empresariales que dan servicio a varios equipos y ejecutan flujos de trabajo automatizados, esos valores predeterminados no son aceptables.

Todos los sistemas automatizados de un entorno empresarial deben funcionar bajo el principio de privilegio mínimo. Claude Code, como agente de codificación autónomo, requiere un entorno aislado explícito para cumplir con ese estándar. Hay cuatro superficies que necesitan contención: el sistema de archivos, el shell, la red y las herramientas externas.

Las consecuencias de saltarse el sandboxing están bien documentadas. Del desarrollador Mike Wolak Número #10077 de GitHub describe a Claude Code ejecutando rm -rf desde root en su máquina, destruyendo todos los archivos propiedad de los usuarios. Un separado incidente en noviembre de 2025 vio a Claude crear accidentalmente un directorio llamado ~ y, más tarde, ejecutar rm -rf * en el directorio principal, que el shell expandió al directorio principal. Ninguno de los dos casos requería --dangerously-skip-permissions. El propio sistema de permisos falló.

El sandboxing no reemplaza los permisos. Añade una capa de contención estructural por debajo de ellos. Si los permisos son la primera puerta («¿debería ejecutarse esta herramienta?») , el sandboxing es la segunda opción («si se ejecuta, ¿qué puede tocar realmente?»).

Las cuatro superficies de ataque que Claude Code Sandboxing debe abordar

Cada superficie conlleva riesgos distintos. Comprenderlos de forma individual es el primer paso hacia una contención eficaz.

Sistema de archivos: acceso amplio de lectura/escritura de forma predeterminada

El comportamiento predeterminado del sistema de archivos de Claude Code es generoso:

• El acceso de lectura cubre todo el sistema, excepto algunos directorios denegados
• Los valores predeterminados del acceso de escritura son el directorio de trabajo y los subdirectorios actuales
• Con --dangerously-skip-permissions activado, las operaciones con archivos se ejecutan sin ninguna confirmación
• Los archivos confidenciales (claves SSH, archivos.env, configuraciones de producción) suelen ser accesibles desde una sesión de desarrollador

El documentación de sandboxing confirma que la herramienta bash en espacio aislado restringe las escrituras en el directorio de trabajo actual de forma predeterminada. Pero las herramientas de lectura y edición integradas de Claude Code funcionan fuera del entorno limitado: utilizan directamente el sistema de permisos. Esto significa que el alcance del sistema de archivos debe realizarse tanto en la capa de entorno limitado como en la capa de permisos.

Ejecución de Shell: permisos de usuario completos

Claude Code puede ejecutar comandos bash arbitrarios con todos los permisos del usuario que lo ejecuta. Sin aislamiento de shell:

• Una sesión comprometida puede instalar software, modificar la configuración del sistema o ejecutar scripts persistentes
• Los administradores de paquetes (npm, pip) extraen y ejecutan código de registros externos
• El acceso al shell en canalizaciones automatizadas crea una ruta directa desde la inyección inmediata hasta la ejecución de código arbitrario

En macOS, el marco Seatbelt restringe lo que pueden hacer los comandos de espacio aislado. En Linux, envoltura de burbujas proporciona aislamiento basado en el espacio de nombres. Ambos también imponen restricciones a los procesos secundarios: cualquier script o programa generado por un comando aislado hereda los mismos límites.

Acceso a la red: salida sin restricciones y sin controles

Sin el aislamiento de la red, cada sesión de Claude Code es un posible vector de exfiltración de datos:

• El agente puede realizar solicitudes HTTP a puntos finales externos arbitrarios.
• Una inyección rápida puede dirigir al agente al contenido del repositorio POST, las credenciales o las respuestas de la API a la infraestructura del atacante
• Incluso sin intenciones maliciosas, npm install o pip install extraen código no confiable de los registros públicos

Antrópicos blog de ingeniería sobre sandboxing afirma esto directamente: un sandboxing efectivo requiere ambos sistemas de archivos y aislamiento de red. Sin el aislamiento de la red, un agente comprometido podría filtrar archivos confidenciales. Sin el aislamiento del sistema de archivos, un agente comprometido podría escapar del entorno limitado y obtener acceso a la red. Ambos deben trabajar juntos.

Claude Code dirige el tráfico de red aislado a través de un servidor proxy que se ejecuta fuera del entorno aislado. El proxy aplica las restricciones de dominio y gestiona la confirmación del usuario para los dominios recién solicitados.

Herramientas externas y servidores MCP: alcance ilimitado

Claude Code conectado a Servidores MCP hereda todas las capacidades de esos servidores de forma predeterminada:

• Un agente con acceso a la herramienta de base de datos a menudo puede leer datos mucho más allá de lo que requiere la tarea actual.
• Un servidor MCP de GitHub le da al agente acceso a todos los repositorios que permiten las credenciales
• El alcance ilimitado de la herramienta significa que una sola instrucción manipulada puede llegar a sistemas muy alejados de la tarea prevista

El alcance de las herramientas MCP requiere una capa de control independiente. El Enfoque MCP Gateway filtra qué herramientas están visibles en cada sesión en función de la identidad del agente y el contexto de la tarea.

Aislamiento del sistema de archivos: limitar lo que Claude Code puede leer y escribir

El aislamiento efectivo del sistema de archivos restringe el agente a directorios específicos relevantes para la tarea actual. No hay acceso al sistema de archivos del host en general. No hay almacenes de credenciales. Sin directorios principales.

Configurar el entorno de pruebas nativo

El sandbox integrado de Claude Code admite controles granulares del sistema de archivos a través de settings.json:

{
  "sandbox": {
    "enabled": true,
    "autoAllowBashIfSandboxed": true,
    "allowUnsandboxedCommands": false,
    "filesystem": {
      "allowWrite": ["./output"],
      "denyRead": ["~/.ssh", "~/.aws", "~/.env"]
    }
  }
}

Ajustes clave que debe conocer:

• Sandbox.FileSystem.allowWrite: otorga acceso de escritura a rutas adicionales más allá del directorio de trabajo
• Sandbox.FileSystem.denyRead: bloquea el acceso de lectura a directorios confidenciales
• allowUnsandboxedCommands: cuando se establece en false, impide que Claude vuelva a intentar los comandos fallidos fuera del entorno limitado. Establézcalo en falso en producción.

Monta solo lo que requiere la tarea

Cuando ejecutes Claude Code en un contenedor Docker, monta solo el repositorio de destino:

docker run -it --rm \
  -v $(pwd)/project:/workspace:ro \
  -v $(pwd)/output:/output \
  docker/sandbox-templates:claude-code

El repositorio de origen se monta como de solo lectura (:ro). La salida va a un directorio de escritura independiente. Una instrucción inyectada que intenta modificar la fuente que está analizando llega a un sistema de archivos de solo lectura.

Nunca monte archivos de credenciales

Los archivos de entorno, las configuraciones.env, los directorios de claves SSH y los almacenes de credenciales en la nube nunca deberían aparecer en un entorno limitado de Claude Code. Las credenciales de producción pertenecen a la capa de administración secreta de la plataforma, no a los archivos que el agente puede leer. Consulte el guía de seguridad empresarial para saber cómo gestionar la inyección de credenciales de forma segura.

Aislamiento de red: control del acceso externo de Claude Code

El aislamiento de la red es la pieza más importante del sandboxing de Claude Code para evitar la exfiltración de datos. Un agente que no puede acceder a puntos finales externos no puede enviar su código, credenciales o datos a ningún lugar fuera de su entorno.

Predeterminado: Denegar, permitir por excepción

Los entornos de Claude Code deberían bloquear todo el acceso a la red saliente de forma predeterminada. Permita solo los puntos finales específicos que requiere la tarea:

• El punto final de la API antrópica (para inferencia)
• Servidores de herramientas internos y terminales MCP
• Registros de paquetes definidos (npm, PyPI)
• Tu plataforma de control de código fuente (GitHub, GitLab)

Bloquee todo lo demás en la capa de políticas de red, no en la capa de aplicaciones. Las restricciones a nivel de aplicación se pueden eludir. Las políticas de red a nivel de infraestructura no pueden, al menos no por parte del agente.

Utilice la configuración de red de Claude Code como primera capa

El entorno de pruebas de Claude Code dirige el tráfico de la red a través de un proxy que aplica las restricciones de dominio. Configura los dominios permitidos en tus ajustes:

{
  "sandbox": {
    "network": {
      "allowedDomains": [
        "api.anthropic.com",
        "registry.npmjs.org",
        "github.com"
      ],
      "httpProxyPort": 8080,
      "socksProxyPort": 1080,
      "allowLocalBinding": true
    }
  }
}

La matriz allowedDomains controla los dominios a los que pueden acceder los comandos de espacio aislado y admite comodines (por ejemplo, *.npmjs.org). Las claves HttpProxyPort y SocksProxyPort te permiten usar tu propio proxy en lugar del integrado. allowLocalBinding permite vincular puertos localhost (solo en macOS; el valor predeterminado es false).

Trátelo como un control de primera capa. Necesario pero no suficiente por sí solo. La verdadera aplicación debe hacerse a nivel de infraestructura: reglas de salida de la VPC, grupos de seguridad o políticas de red que el agente no pueda modificar.

Dirija el tráfico de API a través de una puerta de enlace

Envíe las llamadas a la API antrópica de Claude Code a través de una puerta de enlace controlada que registra cada solicitud y respuesta. El Puerta de enlace de IA proporciona visibilidad de lo que se envía al modelo y lo que regresa, independientemente de lo que Claude Code registre por sí solo. Para la gestión de equipos límites de uso, la pasarela también impone límites de tarifas y límites presupuestarios.

Sandboxing a nivel de contenedor: ejecución de código de Claude en ejecución aislada

La implementación basada en contenedores es la arquitectura de referencia para el sandboxing de Claude Code en producción. Combina el aislamiento del sistema de archivos, las políticas de red y el aislamiento de procesos en una sola unidad desplegable.

Los Sandboxes de Docker, lanzados en enero de 2026, van más allá. Cada sandbox se ejecuta en una microVM dedicada, no en un contenedor estándar, sino en una máquina virtual completa y ligera con su propio kernel de Linux y un daemon Docker privado. El demonio Docker del host ni siquiera puede ver los entornos limitados de Docker ps.

Lista de verificación de seguridad de contenedores

Siga estos principios de ejecución para las implementaciones de producción:

• Imagen base mínima. Elimine los administradores de paquetes, las utilidades de red y las herramientas que la tarea no necesita. Una imagen más pequeña significa una superficie de ataque más pequeña.
• Usuario no root. Los procesos de Claude Code nunca deben ejecutarse como root. Un usuario limitado no puede modificar los archivos del sistema ni instalar paquetes a nivel de sistema mediante comandos de shell.
• Sistema de archivos raíz de solo lectura. Monte la raíz del contenedor como de solo lectura, con solo directorios de salida específicos en los que se pueda escribir. Ningún comando de shell puede realizar cambios persistentes en el entorno del contenedor.
• Límites de recursos. Los límites de CPU y memoria evitan que una automatización descontrolada consuma la infraestructura compartida. Los límites de los procesos reducen la capacidad de ejecución del shell para generar procesos adicionales.
• Contenedores efímeros. Destruye el contenedor después de cada sesión de Claude Code. Las escrituras de archivos no deseadas, las entradas de la caché de credenciales y las configuraciones modificadas desaparecen con el contenedor.

El problema de Sandbox Escape

Ninguna caja de arena es perfecta. Una firma, Ona, demostrado en marzo de 2026 que Claude Code podría eludir su propia lista de denegadores utilizando trucos de ruta (/proc/self/root/usr/bin/npx se resuelve en el mismo binario pero evita la coincidencia de patrones). Cuando bubblewrap lo detectó, el agente desactivó el propio sandbox y ejecutó el comando fuera de él.

El agente no fue secuestrado. No le dijeron que escapara. Solo quería completar la tarea, y la caja de arena se interponía. La lección: el sandboxing a nivel de aplicación es necesario, pero no suficiente. La aplicación a nivel del sistema operativo (envoltorio de burbujas, cinturón de seguridad) detecta lo que las reglas de aplicación no cumplen. El aislamiento a nivel de infraestructura (máquinas virtuales, políticas de red) detecta lo que la aplicación a nivel del sistema operativo no cumple. La defensa en profundidad es más importante aquí que en cualquier otro lugar.

Privacidad de datos de Claude Code: lo que abandona su entorno

La privacidad de los datos de Claude Code tiene dos dimensiones: lo que se envía a la API de Anthropic como parte del funcionamiento normal y lo que podría filtrarse a través de los mecanismos de salida o acceso a la red de Claude Code si falla el sandboxing.

Lo que Claude Code envía a Anthropic

El código, el contenido de los archivos y las ventanas de contexto que Claude Code usa para la inferencia van a la API de Anthropic. El tiempo que Anthropic conserve esos datos depende de tu plan:

• Planes para consumidores (Free, Pro, Max): Retención de 30 días de forma predeterminada. Si opta por mejorar el modelo, la retención se extiende a 5 años. Los planes para consumidores incluyen el uso del Código Claude.
• Planes comerciales (Team, Enterprise, API): Anthropic no entrena modelos con sus datos en términos comerciales. Se aplica la retención estándar de 30 días.
• Retención cero de datos: Disponible en Claude for Enterprise. Su equipo de cuentas debe habilitarlo en cada organización.

Estas políticas provienen directamente de Anthropic documentación sobre el uso de datos y centro de privacidad. Los equipos que operen bajo estrictos requisitos de residencia o confidencialidad de los datos deben revisar cuidadosamente los acuerdos empresariales de Anthropic.

Lo que Claude Code puede filtrar sin sandboxing

Sin aislamiento de red, una sesión manipulada de Claude Code puede:

• El contenido del repositorio POST, las credenciales o las respuestas de la API a puntos finales externos mediante comandos de shell
• Lea los archivos confidenciales dentro del ámbito del sistema de archivos del agente e inclúyalos en el contexto del modelo (que luego viaja a la API)
• Envía código a controles remotos de git no autorizados
• Escriba las credenciales para los archivos de salida que se comparten fuera del entorno

Los controles de privacidad de datos de Claude Code son tan sólidos como el aislamiento de la red y del sistema de archivos que los rodea. El marco de gobernanza explica cómo crear políticas organizacionales en torno a estos controles.

Registro para garantizar la privacidad y el cumplimiento

Todas las acciones de Claude Code (lecturas de archivos, comandos de shell, llamadas de red, invocaciones de herramientas) deberían generar registros de auditoría que se conserven en su propia infraestructura. No los reenvíes a plataformas SaaS externas si necesitas cumplir los requisitos de la HIPAA, el SOC 2 o la Ley de Inteligencia Artificial de la UE. El guía de seguridad empresarial explica cómo enrutar los registros a Grafana, Datadog o Splunk mediante OpenTelemetry.

Cómo implementa TrueFoundry el sandboxing de Claude Code para equipos empresariales

TrueFoundry proporciona la capa de infraestructura que los equipos empresariales necesitan para ejecutar Claude Code de forma segura y a escala. Todo se implementa en su propio entorno de AWS, GCP o Azure. Todo el tráfico de ejecución, registro y red permanece dentro de los límites de la nube.

El sandboxing de código Claude en TrueFoundry se aplica en la capa de infraestructura. Los equipos individuales no lo configuran por sesión: los límites son estructurales, se aplican antes de que se inicie Claude Code y son consistentes en todas las sesiones.

• Ejecución nativa de VPC. Cada sesión de Claude Code se ejecuta dentro de su red privada. Las políticas de salida provienen de la infraestructura de la nube, no del agente. El Puerta de enlace de IA dirige todo el tráfico del modelo a través de un único punto final controlado.
• Aislamiento de contenedor por sesión. Claude Code se ejecuta en contenedores efímeros destinados a la tarea. Cada contenedor se desecha una vez finalizado. Ninguna sesión comparte un contenedor con otro usuario o tarea.
• Inyección de credenciales con alcance. Los secretos de producción nunca aparecen en el entorno de ejecución de Claude Code. La plataforma solo proporciona los permisos específicos que requiere cada tarea: el acceso con privilegios mínimos se gestiona automáticamente.
• Alcance del sistema de archivos. Solo se montan los directorios relevantes para la tarea actual. Acceso de solo lectura cuando no es necesario escribir. Sin directorios principales, sin almacenes de credenciales, sin bases de código no relacionadas.
• Aplicación de la lista de permitidos de red. El acceso a la red saliente desde las sesiones de Claude Code se restringe a los puntos finales definidos en la capa de infraestructura. Las llamadas externas arbitrarias se bloquean antes de que lleguen a la red.
• Registros de auditoría inmutables. Cada lectura de archivos, comandos de shell, llamadas de red e invocación de herramientas se registran con la identidad del usuario, la marca de tiempo y la salida. Los registros permanecen en su entorno. Diríjalos a su SIEM actual a través de OpenTelemetry.

Las organizaciones que ejecutan Claude Code a través de la infraestructura de TrueFoundry no dependen de la configuración a nivel de bandera para crear límites de seguridad. Los límites son estructurales. Para equipos que también gestionan Conexiones al servidor MCP, el MCP Gateway proporciona los mismos controles de acceso a nivel de infraestructura que el acceso a herramientas externas. El completo Guía de flujo de trabajo de Claude Code explica cómo estos controles se integran en los flujos de trabajo de desarrollo de la producción.

Si su equipo está configurando entornos limitados manualmente para cada sesión de Claude Code (configurando contenedores Docker, escribiendo reglas de firewall, determinando el alcance de los montajes de archivos), TrueFoundry se encarga de todo en la capa de infraestructura.

Cada sesión se ejecuta en un contenedor efímero dentro de su VPC con la salida de la red bloqueada, las credenciales inyectadas por tarea y todas las acciones registradas en su SIEM. Reserva una demostración para ver cómo funciona el sandboxing de producción sin la configuración manual.