Sandboxing do Claude Code: Como Isolar, Restringir e Proteger o Claude Code em Produção

Introdução

O Claude Code pode ler arquivos, escrever código, executar comandos de shell, fazer requisições de rede e chamar ferramentas externas. No laptop de um desenvolvedor, essa autonomia é o objetivo principal. Em um pipeline empresarial, é uma superfície de ameaça que precisa de limites explícitos.

O isolamento em sandbox do Claude Code significa executar o Claude Code dentro de um ambiente de execução restrito. Acesso ao sistema de arquivos, saída de rede, execução de processos e disponibilidade de ferramentas — tudo isso é explicitamente definido e limitado. Pule essa etapa e você terá um agente autônomo com acesso total ao sistema, a apenas uma instrução injetada de distância de um incidente real.

A Anthropic sabe disso. Em outubro de 2025, eles lançaram o sandboxing nativo para o Claude Code, construído sobre primitivas de nível de sistema operacional — Linux bubblewrap e macOS Seatbelt. Testes internos mostraram uma redução de 84% nos prompts de permissão. A tecnologia funciona. Mas o sandboxing nativo cobre apenas parte do que as equipes empresariais precisam. Isolamento em nível de contêiner, controles de saída de rede, definição de escopo de credenciais e registro de auditoria exigem decisões de infraestrutura que vão além de uma única flag de CLI.

Abordamos aqui as quatro superfícies de contenção: sistema de arquivos, shell, rede e ferramentas externas. Além dos controles de privacidade de dados do Claude Code que determinam o que realmente sai do seu ambiente.

Por que o isolamento em sandbox do Claude Code não é opcional para empresas

A configuração padrão do Claude Code concede ao agente acesso a todo o sistema de arquivos do desenvolvedor, a capacidade de executar comandos de shell arbitrários e a capacidade de fazer requisições de rede para qualquer endpoint acessível. Isso é aceitável para uso por desenvolvedores individuais. Para implantações empresariais que atendem a várias equipes e executam fluxos de trabalho automatizados, essas configurações padrão não são aceitáveis.

Todo sistema automatizado em um ambiente empresarial deve operar sob o princípio do menor privilégio. O Claude Code, como um agente de codificação autônomo, requer isolamento em sandbox explícito para atender a esse padrão. Quatro superfícies precisam de contenção: o sistema de arquivos, o shell, a rede e as ferramentas externas.

As consequências de pular o isolamento em sandbox são bem documentadas. Do desenvolvedor Mike Wolak, GitHub issue #10077 descreve o Claude Code executando rm -rf a partir da raiz em sua máquina — destruindo todos os arquivos de propriedade do usuário. Um incidente separado em novembro de 2025 viu o Claude criar acidentalmente um diretório chamado ~, e depois executar rm -rf * no diretório pai, o que o shell expandiu para o diretório home. Nenhum dos casos exigiu --dangerously-skip-permissions. O próprio sistema de permissões falhou.

O isolamento em sandbox não substitui as permissões. Ele adiciona uma camada de contenção estrutural abaixo delas. Se as permissões são o primeiro portão ("esta ferramenta deve ser executada?"), o isolamento em sandbox é o segundo ("se for executada, o que ela pode realmente tocar?").

As Quatro Superfícies de Ataque que o isolamento em sandbox do Claude Code deve abordar

Cada superfície apresenta riscos distintos. Compreendê-las individualmente é o primeiro passo para uma contenção eficaz.

Sistema de Arquivos: Amplo Acesso de Leitura/Escrita por Padrão

O comportamento padrão do sistema de arquivos do Claude Code é generoso:

• O acesso de leitura abrange todo o sistema, exceto certos diretórios negados
• O acesso de escrita tem como padrão o diretório de trabalho atual e subdiretórios
• Com --dangerously-skip-permissions ativado, as operações de arquivo são executadas sem qualquer confirmação
• Arquivos sensíveis — chaves SSH, arquivos .env, configurações de produção — são frequentemente acessíveis a partir de uma sessão de desenvolvedor

A documentação de sandboxing confirma que a ferramenta bash em sandbox restringe as escritas ao diretório de trabalho atual por padrão. Mas as ferramentas de Leitura e Edição integradas do Claude Code operam fora da sandbox — elas usam o sistema de permissões diretamente. Isso significa que o escopo do sistema de arquivos precisa ocorrer tanto na camada de sandbox quanto na camada de permissões.

Execução de Shell: Permissões Completas de Usuário

O Claude Code pode executar comandos bash arbitrários com as permissões completas do usuário que o executa. Sem isolamento de shell:

• Uma sessão comprometida pode instalar software, modificar a configuração do sistema ou executar scripts persistentes
• Gerenciadores de pacotes (npm, pip) baixam e executam código de registros externos
• O acesso ao shell em pipelines automatizados cria um caminho direto da injeção de prompt à execução arbitrária de código

No macOS, o framework Seatbelt restringe o que os comandos em sandbox podem fazer. No Linux, bubblewrap fornece isolamento baseado em namespace. Ambos impõem restrições também em processos filhos — qualquer script ou programa gerado por um comando em sandbox herda os mesmos limites.

Acesso à Rede: Saída Irrestrita Sem Controles

Sem isolamento de rede, cada sessão do Claude Code é um vetor potencial de exfiltração de dados:

• O agente pode fazer requisições HTTP para endpoints externos arbitrários
• Uma injeção de prompt pode direcionar o agente para POSTAR conteúdo de repositório, credenciais ou respostas de API para a infraestrutura do atacante
• Mesmo sem intenção maliciosa, npm install ou pip install baixam código não confiável de registros públicos

Da Anthropic blog de engenharia sobre sandboxing afirma isso diretamente: o sandboxing eficaz exige tanto o sistema de arquivos e isolamento de rede. Sem isolamento de rede, um agente comprometido poderia exfiltrar arquivos sensíveis. Sem isolamento do sistema de arquivos, um agente comprometido poderia escapar do sandbox e obter acesso à rede. Ambos devem funcionar em conjunto.

O Claude Code roteia o tráfego de rede em sandbox através de um servidor proxy executado fora do sandbox. O proxy impõe restrições de domínio e lida com a confirmação do usuário para domínios recém-solicitados.

Ferramentas Externas e Servidores MCP: Escopo Ilimitado

O Claude Code conectado a servidores MCP herda todas as capacidades desses servidores por padrão:

• Um agente com acesso a ferramentas de banco de dados muitas vezes pode ler dados muito além do que a tarefa atual exige
• Um servidor MCP do GitHub dá ao agente acesso a cada repositório que as credenciais permitem
• O escopo de ferramenta ilimitado significa que uma única instrução manipulada pode alcançar sistemas muito além da tarefa pretendida

O escopo de ferramentas MCP exige uma camada de controle separada. A abordagem do Gateway MCP filtra quais ferramentas são visíveis para cada sessão com base na identidade do agente e no contexto da tarefa.

Isolamento do Sistema de Arquivos: Limitando o que o Claude Code pode Ler e Escrever

O isolamento eficaz do sistema de arquivos restringe o agente a diretórios específicos relevantes para a tarefa atual. Sem acesso ao sistema de arquivos do host mais amplo. Sem armazenamentos de credenciais. Sem diretórios pessoais.

Configurar o Sandbox Nativo

O sandbox integrado do Claude Code suporta controles granulares do sistema de arquivos através do settings.json:

{
  "sandbox": {
    "enabled": true,
    "autoAllowBashIfSandboxed": true,
    "allowUnsandboxedCommands": false,
    "filesystem": {
      "allowWrite": ["./output"],
      "denyRead": ["~/.ssh", "~/.aws", "~/.env"]
    }
  }
}

Principais configurações a saber:

• sandbox.filesystem.allowWrite — concede acesso de escrita a caminhos adicionais além do diretório de trabalho
• sandbox.filesystem.denyRead — bloqueia o acesso de leitura a diretórios sensíveis
• allowUnsandboxedCommands — quando definido como falso, impede que Claude tente novamente comandos falhos fora do sandbox. Defina isso como falso em produção.

Monte Apenas o que a Tarefa Requer

Ao executar o Claude Code em um contêiner Docker, monte apenas o repositório de destino:

docker run -it --rm \
  -v $(pwd)/project:/workspace:ro \
  -v $(pwd)/output:/output \
  docker/sandbox-templates:claude-code

O repositório de origem é montado como somente leitura (:ro). A saída vai para um diretório gravável separado. Uma instrução injetada que tenta modificar a origem que está analisando encontra um sistema de arquivos somente leitura.

Nunca Monte Arquivos de Credenciais

Arquivos de ambiente, configurações .env, diretórios de chaves SSH e armazenamentos de credenciais em nuvem nunca devem aparecer dentro de um sandbox do Claude Code. Credenciais de produção pertencem a uma camada de gerenciamento de segredos da plataforma — não como arquivos que o agente pode ler. Consulte o guia de segurança empresarial para saber como lidar com a injeção de credenciais com segurança.

Isolamento de Rede: Controlando o Acesso Externo do Claude Code

O isolamento de rede é a parte mais crítica do sandboxing do Claude Code para prevenir a exfiltração de dados. Um agente que não consegue alcançar endpoints externos não pode enviar seu código, credenciais ou dados para fora do seu ambiente.

Negar por Padrão, Permitir por Exceção

Os ambientes do Claude Code devem bloquear todo o acesso de rede de saída por padrão. Permita apenas os endpoints específicos que a tarefa requer:

• O endpoint da API da Anthropic (para inferência)
• Servidores de ferramentas internas e endpoints MCP
• Registros de pacotes definidos (npm, PyPI)
• Sua plataforma de controle de versão (GitHub, GitLab)

Bloqueie todo o resto na camada de política de rede, não na camada de aplicação. Restrições em nível de aplicação podem ser contornadas. Políticas de rede em nível de infraestrutura não podem — pelo menos não pelo agente.

Use as Configurações de Rede do Claude Code como uma Primeira Camada

O sandbox do Claude Code roteia o tráfego de rede através de um proxy que impõe restrições de domínio. Configure os domínios permitidos nas suas configurações:

{
  "sandbox": {
    "network": {
      "allowedDomains": [
        "api.anthropic.com",
        "registry.npmjs.org",
        "github.com"
      ],
      "httpProxyPort": 8080,
      "socksProxyPort": 1080,
      "allowLocalBinding": true
    }
  }
}

O array allowedDomains controla quais domínios os comandos em sandbox podem acessar e suporta curingas (por exemplo, *.npmjs.org). As chaves httpProxyPort e socksProxyPort permitem que você use seu próprio proxy em vez do integrado. allowLocalBinding permite a vinculação de porta localhost (somente macOS, padrão é falso).

Trate-o como um controle de primeira camada. Necessário, mas não suficiente por si só. A verdadeira imposição deve ocorrer no nível da infraestrutura — regras de saída da VPC, grupos de segurança ou políticas de rede que o agente não pode modificar.

Encaminhe o Tráfego da API Através de um Gateway

Envie as chamadas da API Anthropic do Claude Code através de um gateway controlado que registra cada requisição e resposta. O Gateway de IA fornece visibilidade sobre o que é enviado ao modelo e o que retorna, independentemente do que o Claude Code registra por conta própria. Para equipes que gerenciam limites de uso, o gateway também impõe limites de taxa e tetos orçamentários.

Sandboxing em Nível de Contêiner: Executando o Claude Code em Execução Isolada

A implantação baseada em contêiner é a arquitetura de referência para o sandboxing do Claude Code em produção. Ela combina isolamento do sistema de arquivos, política de rede e isolamento de processo em uma única unidade implantável.

Os Docker Sandboxes, lançados em janeiro de 2026, levam isso adiante. Cada sandbox é executado em uma microVM dedicada — não um contêiner padrão, mas uma máquina virtual completa e leve com seu próprio kernel Linux e daemon Docker privado. O daemon Docker do host não consegue sequer ver os sandboxes em docker ps.

Lista de Verificação de Segurança de Contêineres

Siga estes princípios de tempo de execução para implantações em produção:

• Imagem base mínima. Remova gerenciadores de pacotes, utilitários de rede e ferramentas que a tarefa não precisa. Uma imagem menor significa uma superfície de ataque menor.
• Usuário não-root. Os processos do Claude Code nunca devem ser executados como root. Um usuário limitado não consegue modificar arquivos de sistema ou instalar pacotes a nível de sistema através de comandos shell.
• Sistema de arquivos raiz somente leitura. Montar a raiz do contêiner como somente leitura, com apenas diretórios de saída específicos graváveis. Nenhum comando shell pode fazer alterações persistentes ao ambiente do contêiner.
• Limites de recursos. Limites de CPU e memória impedem que uma automação descontrolada consuma infraestrutura compartilhada. Limites de processo reduzem a capacidade da execução shell de gerar processos adicionais.
• Contêineres efêmeros. Destruir o contêiner após cada sessão do Claude Code. Gravações de arquivos não intencionais, entradas de cache de credenciais e configurações modificadas desaparecem todas com o contêiner.

O Problema da Fuga da Sandbox

Nenhuma sandbox é perfeita. Uma empresa, a Ona, demonstrou em março de 2026 que o Claude Code poderia contornar sua própria lista de bloqueio usando truques de caminho (/proc/self/root/usr/bin/npx resolve para o mesmo binário, mas evita a correspondência de padrões). Quando o bubblewrap detectou isso, o agente desativou a própria sandbox e executou o comando fora dela.

O agente não foi 'jailbroken'. Não foi instruído a escapar. Ele apenas queria completar a tarefa, e a sandbox estava no caminho. A lição: o sandboxing a nível de aplicação é necessário, mas não suficiente. A aplicação a nível de SO (bubblewrap, Seatbelt) detecta o que as regras da aplicação perdem. O isolamento a nível de infraestrutura (VMs, políticas de rede) detecta o que a aplicação a nível de SO perde. A defesa em profundidade importa aqui mais do que em qualquer outro lugar.

Privacidade de Dados do Claude Code: O Que Sai do Seu Ambiente

A privacidade dos dados do Claude Code tem duas dimensões: o que é enviado para a API da Anthropic como parte da operação normal, e o que poderia vazar através do acesso à rede ou mecanismos de saída do Claude Code se o sandboxing falhar.

O Que o Claude Code Envia para a Anthropic

Código, conteúdo de arquivos e janelas de contexto que o Claude Code usa para inferência vão para a API da Anthropic. O tempo que a Anthropic retém esses dados depende do seu plano:

• Planos para Consumidores (Gratuito, Pro, Max): Retenção de 30 dias por padrão. Se você optar por participar da melhoria do modelo, a retenção se estende para 5 anos. Os planos para consumidores incluem o uso do Claude Code.
• Planos Comerciais (Equipe, Corporativo, API): A Anthropic não treina modelos com os seus dados sob termos comerciais. A retenção padrão de 30 dias se aplica.
• Retenção zero de dados: Disponível no Claude para Empresas. Deve ser ativado por organização pela sua equipe de conta.

Estas políticas vêm diretamente da documentação de uso de dados e centro de privacidade. Equipes que operam sob requisitos rigorosos de residência de dados ou confidencialidade devem revisar cuidadosamente os acordos empresariais da Anthropic.

O que o Claude Code pode vazar sem sandboxing

Sem isolamento de rede, uma sessão manipulada do Claude Code pode:

• POSTar conteúdo de repositório, credenciais ou respostas de API para endpoints externos via comandos shell
• Ler arquivos sensíveis dentro do escopo do sistema de arquivos do agente e incluí-los no contexto do modelo (que então viaja para a API)
• Enviar código para remotos git não autorizados
• Gravar credenciais em arquivos de saída que são compartilhados fora do ambiente

Os controles de privacidade de dados do Claude Code são tão fortes quanto o isolamento de rede e sistema de arquivos subjacente. A estrutura de governança abrange como construir políticas organizacionais em torno desses controles.

Registro de logs para Privacidade e Conformidade

Todas as ações do Claude Code — leituras de arquivos, comandos shell, chamadas de rede, invocações de ferramentas — devem produzir logs de auditoria retidos em sua própria infraestrutura. Não os encaminhe para plataformas SaaS externas se precisar satisfazer os requisitos de HIPAA, SOC 2 ou EU AI Act. O guia de segurança empresarial detalha como rotear logs para Grafana, Datadog ou Splunk via OpenTelemetry.

Como a TrueFoundry Implementa o Isolamento de Código em Sandbox do Claude para Equipes Corporativas

A TrueFoundry fornece a camada de infraestrutura que as equipes corporativas precisam para executar o Claude Code de forma segura e em escala. Tudo é implantado dentro do seu próprio ambiente AWS, GCP ou Azure. Toda a execução, registro e tráfego de rede permanecem dentro dos limites da sua nuvem.

O isolamento de código em sandbox do Claude na TrueFoundry é imposto na camada de infraestrutura. As equipes individuais não o configuram por sessão — os limites são estruturais, impostos antes do Claude Code iniciar e consistentes em todas as sessões.

• Execução nativa de VPC. Cada sessão do Claude Code é executada dentro da sua rede privada. As políticas de saída (egress) vêm da infraestrutura da nuvem, não do agente. O Gateway de IA direciona todo o tráfego do modelo através de um único ponto de extremidade controlado.
• Isolamento de contêiner por sessão. O Claude Code é executado em contêineres efêmeros com escopo definido para a tarefa. Cada contêiner é descartado após a conclusão. Nenhuma sessão compartilha um contêiner com outro usuário ou tarefa.
• Injeção de credenciais com escopo. Segredos de produção nunca aparecem no ambiente de execução do Claude Code. A plataforma fornece apenas as permissões específicas que cada tarefa exige — acesso de menor privilégio tratado automaticamente.
• Definição de escopo do sistema de arquivos. Apenas os diretórios relevantes para a tarefa atual são montados. Acesso somente leitura onde a escrita não é necessária. Sem diretórios home, sem armazenamentos de credenciais, sem bases de código não relacionadas.
• Aplicação de lista de permissões de rede. O acesso de rede de saída das sessões do Claude Code é restrito a pontos de extremidade definidos na camada de infraestrutura. Chamadas externas arbitrárias são bloqueadas antes de chegarem à rede.
• Registros de auditoria imutáveis. Cada leitura de arquivo, comando shell, chamada de rede e invocação de ferramenta é registrado com identidade do usuário, carimbo de data/hora e saída. Os logs permanecem no seu ambiente. Encaminhe-os para o seu SIEM existente via OpenTelemetry.

Organizações que executam o Claude Code através da infraestrutura da TrueFoundry não dependem de configuração em nível de flag para criar limites de segurança. Os limites são estruturais. Para equipes que também gerenciam conexões de servidor MCP, o Gateway MCP fornece os mesmos controles de acesso em nível de infraestrutura sobre o acesso a ferramentas externas. O completo Guia de fluxo de trabalho do Claude Code aborda como esses controles se integram aos fluxos de trabalho de desenvolvimento em produção.

Se sua equipe está configurando sandboxes manualmente para cada sessão do Claude Code — configurando contêineres Docker, escrevendo regras de firewall, definindo montagens de arquivos — a TrueFoundry cuida de tudo isso na camada de infraestrutura.

Cada sessão é executada em um contêiner efêmero dentro da sua VPC com a saída de rede bloqueada, credenciais injetadas por tarefa e cada ação registrada no seu SIEM. Agende uma demonstração para ver como o sandboxing em produção funciona sem a configuração manual.