# 安全模型

自托管沙箱环境的共享责任模型。

---

Anthropic 在所有环境中保护控制平面：会话和工作队列完整性、多租户隔离和智能体上下文最小化。当您自托管时，以下责任由您承担。

## 您拥有的职责

- **容器镜像质量和运行时加固。** Anthropic 不会检查或验证您的容器镜像。请遵循最佳实践，例如删除不必要的 Linux 功能、以非 root 用户身份运行，以及使用只读根文件系统。
- **网络出口控制。** 您容器的网络访问由您的 VPC 和防火墙规则确定。如果没有出口限制，受损的工具执行可以访问任意外部主机。将出站流量限制为仅工具所需的端点。
- **服务密钥存储和轮换。** 环境服务密钥（`ANTHROPIC_ENVIRONMENT_KEY`）授权轮询环境的工作队列并向会话提交结果。将其存储在密钥管理器中，而不是环境文件或容器镜像中。如果怀疑泄露，请立即轮换。
- **隔离不受信任的工作负载。** 环境服务密钥的作用域是一个环境的工作队列。如果您在容器内运行不受信任的代码，请考虑为每个信任边界配置单独的工作区和环境。这将限制任何单个密钥对单个用户会话的访问，而不是共享池。
- **工具执行影响范围。** 工具在您的容器内以您的进程具有的任何权限运行。对进程用户应用最小权限原则，并仅挂载工具所需的目录。
- **日志保留和会话内容。** 您的工作者处理的对话内容和工具输出在您的环境中。您有责任根据您自己的政策保留、编辑或删除该数据。Anthropic 无法看到您的工作者在交付后如何处理会话内容。

## Anthropic 无法为您做的事情

- **比您更快地撤销泄露的密钥。** Anthropic 可以检测异常使用模式，但无法立即失效密钥。像对待数据库密码一样对待 `ANTHROPIC_ENVIRONMENT_KEY`：如果泄露，请快速轮换。
- **验证您的工作者构建。** Anthropic 不会检查您的容器镜像或运行时。镜像中的供应链攻击无法从控制平面检测到。
- **在您的容器内沙箱化工具。** Anthropic 的安全边界止于容器。您如何在该边界内隔离各个工具执行完全由您负责。
- **在您的环境中强制执行数据保留。** 一旦会话内容到达您的工作者，它就超出了 Anthropic 的数据生命周期控制范围。