English ← MyDocs

文档索引

在此获取完整文档索引:https://code.claude.com/docs/llms.txt 使用此文件发现所有可用页面,然后再进一步探索。

安全性

了解 Claude Code 的安全保障和安全使用的最佳实践。

我们如何处理安全

安全基础

您的代码安全至关重要。Claude Code 以安全为核心构建,根据 Anthropic 的综合安全计划开发。在 Anthropic 信任中心 了解更多信息并获取资源(SOC 2 Type 2 报告、ISO 27001 证书等)。

基于权限的架构

Claude Code 默认使用严格的只读权限。当需要额外操作(编辑文件、运行测试、执行命令)时,Claude Code 会请求明确的许可。用户可以控制是批准一次操作还是自动允许。

我们设计 Claude Code 使其透明且安全。例如,我们要求在执行 bash 命令之前获得批准,让您直接控制。这种方法使用户和组织能够直接配置权限。

有关详细的权限配置,请参阅权限

内置保护

为了降低智能体系统中的风险:

  • 沙盒化 bash 工具:通过文件系统和网络隔离对 bash 命令进行沙盒化,在保持安全性的同时减少权限提示。使用 /sandbox 启用以定义 Claude Code 可以自主工作的边界
  • 写入访问限制:Claude Code 只能写入其启动文件夹及其子文件夹——未经明确许可无法修改父目录中的文件。虽然 Claude Code 可以读取工作目录之外的文件(用于访问系统库和依赖项),但写入操作严格限制在项目范围内,创建清晰的安全边界
  • 提示疲劳缓解:支持按用户、按代码库或按组织对频繁使用的安全命令进行白名单设置
  • 接受编辑模式:自动批准工作目录中路径的文件编辑和一组固定的文件系统 Bash 命令,如 mkdirtouchrmmvcpsed。其他 Bash 命令和超出范围的路径仍会提示

用户责任

Claude Code 仅拥有您授予的权限。您有责任在批准前审查建议的代码和命令的安全性。

防范提示注入

提示注入是一种攻击者试图通过插入恶意文本来覆盖或操纵 AI 助手指令的技术。Claude Code 包含多种针对这些攻击的保护措施:

核心保护

  • 权限系统:敏感操作需要明确批准
  • 上下文感知分析:通过分析完整请求来检测潜在有害指令
  • 输入净化:通过处理用户输入来防止命令注入
  • 命令黑名单:默认阻止从网络获取任意内容的高风险命令,如 curlwget。当明确允许时,请注意权限模式限制

隐私保护

我们实施了多项保护措施来保护您的数据,包括:

  • 敏感信息的有限保留期(请参阅隐私中心了解更多信息)
  • 对用户会话数据的受限访问
  • 用户对数据训练偏好的控制。消费者用户可以随时更改其隐私设置

有关完整详情,请查看我们的商业服务条款(适用于 Team、Enterprise 和 API 用户)或消费者条款(适用于 Free、Pro 和 Max 用户)以及隐私政策

额外保护

  • 网络请求批准:发起网络请求的工具默认需要用户批准
  • 隔离的上下文窗口:Web Fetch 使用单独的上下文窗口以避免注入潜在恶意提示
  • 信任验证:首次运行代码库和新的 MCP 服务器需要信任验证
    • 注意:使用 -p 标志非交互式运行时,信任验证被禁用。例外是 --worktree,它仍然需要目录已被接受信任
    • 注意:当您直接在主目录中启动 Claude Code 时,信任接受仅对当前会话有效,不会写入磁盘,因此每次启动都会重新出现提示。没有设置可以持久化它。请改从项目子目录启动 Claude Code,那里信任接受会按目录保存
  • 命令注入检测:即使之前已列入白名单,可疑的 bash 命令也需要手动批准
  • 失败关闭匹配:未匹配的命令默认需要手动批准
  • 自然语言描述:复杂的 bash 命令包含解释以帮助用户理解
  • 安全凭据存储:API 密钥和令牌已加密。请参阅凭据管理
Warning

Windows WebDAV 安全风险:在 Windows 上运行 Claude Code 时,我们建议不要启用 WebDAV 或允许 Claude Code 访问可能包含 WebDAV 子目录的路径(如 \\*)。WebDAV 已被 Microsoft 弃用,因为存在安全风险。启用 WebDAV 可能让 Claude Code 触发对远程主机的网络请求,从而绕过权限系统。

处理不受信任内容的最佳实践

  1. 在批准前审查建议的命令
  2. 避免将不受信任的内容直接管道传输给 Claude
  3. 验证对关键文件的建议更改
  4. 使用虚拟机 (VM) 运行脚本和进行工具调用,尤其是在与外部 Web 服务交互时
  5. 使用 /feedback 报告可疑行为
Warning

虽然这些保护措施显著降低了风险,但没有任何系统能完全免疫所有攻击。在使用任何 AI 工具时,请始终保持良好的安全实践。

MCP 安全

Claude Code 允许用户配置模型上下文协议 (MCP) 服务器。允许的 MCP 服务器列表在您的源代码中配置,作为工程师签入源代码控制的 Claude Code 设置的一部分。

我们鼓励编写自己的 MCP 服务器或使用您信任的提供商的 MCP 服务器。您可以为 MCP 服务器配置 Claude Code 权限。Anthropic 在将连接器添加到 Anthropic 目录 之前会根据其上市标准审查连接器,但不审计或管理任何 MCP 服务器的安全性。

IDE 安全

有关在 IDE 中运行 Claude Code 的更多信息,请参阅 VS Code 安全和隐私

云执行安全

使用网页版 Claude Code 时,会实施额外的安全控制:

  • 隔离的虚拟机:每个云会话在隔离的、由 Anthropic 管理的 VM 中运行
  • 网络访问控制:网络访问默认受限,可配置为禁用或仅允许特定域
  • 凭据保护:认证通过安全代理处理,在沙盒内使用范围限定的凭据,然后转换为您实际的 GitHub 认证令牌
  • 分支限制:Git 推送操作限制为当前工作分支
  • 审计日志:云环境中的所有操作都会被记录,用于合规和审计目的
  • 自动清理:云环境在会话完成后自动终止

有关云执行的更多详情,请参阅网页版 Claude Code

远程控制 会话的工作方式不同:Web 界面连接到在您本地机器上运行的 Claude Code 进程。所有代码执行和文件访问都保持在本地,在任何本地 Claude Code 会话期间流动的相同数据通过 Anthropic API 经 TLS 传输。不涉及云 VM 或沙盒化。该连接使用多个短期、范围限定的凭据,每个凭据仅限于特定用途且独立过期,以限制任何单个泄露凭据的影响范围。

安全最佳实践

处理敏感代码

  • 在批准前审查所有建议的更改
  • 为敏感存储库使用项目特定的权限设置
  • 考虑使用 dev containers 以获得额外隔离
  • 使用 /permissions 定期审核您的权限设置

团队安全

  • 使用托管设置强制执行组织标准
  • 通过版本控制共享已批准的权限配置
  • 培训团队成员安全最佳实践
  • 通过 OpenTelemetry 指标监控 Claude Code 使用情况
  • 使用 ConfigChange 钩子审核或阻止会话期间的设置更改

报告安全问题

如果您发现 Claude Code 中的安全漏洞:

  1. 请不要公开披露
  2. 通过我们的 HackerOne 计划 报告
  3. 包含详细的重现步骤
  4. 在公开披露之前留出时间让我们处理该问题

相关资源