{/* TRANSLATED — 已翻译为中文 */}

> ## 文档索引
> 在此获取完整文档索引：https://code.claude.com/docs/llms.txt
> 使用此文件发现所有可用页面，然后再进一步探索。

# 安全性

> 了解 Claude Code 的安全保障和安全使用的最佳实践。

## 我们如何处理安全

### 安全基础

您的代码安全至关重要。Claude Code 以安全为核心构建，根据 Anthropic 的综合安全计划开发。在 [Anthropic 信任中心](https://trust.anthropic.com) 了解更多信息并获取资源（SOC 2 Type 2 报告、ISO 27001 证书等）。

### 基于权限的架构

Claude Code 默认使用严格的只读权限。当需要额外操作（编辑文件、运行测试、执行命令）时，Claude Code 会请求明确的许可。用户可以控制是批准一次操作还是自动允许。

我们设计 Claude Code 使其透明且安全。例如，我们要求在执行 bash 命令之前获得批准，让您直接控制。这种方法使用户和组织能够直接配置权限。

有关详细的权限配置，请参阅[权限](/en/permissions)。

### 内置保护

为了降低智能体系统中的风险：

* **沙盒化 bash 工具**：通过文件系统和网络隔离对 bash 命令进行[沙盒化](/en/sandboxing)，在保持安全性的同时减少权限提示。使用 `/sandbox` 启用以定义 Claude Code 可以自主工作的边界
* **写入访问限制**：Claude Code 只能写入其启动文件夹及其子文件夹——未经明确许可无法修改父目录中的文件。虽然 Claude Code 可以读取工作目录之外的文件（用于访问系统库和依赖项），但写入操作严格限制在项目范围内，创建清晰的安全边界
* **提示疲劳缓解**：支持按用户、按代码库或按组织对频繁使用的安全命令进行白名单设置
* **接受编辑模式**：自动批准工作目录中路径的文件编辑和一组固定的文件系统 Bash 命令，如 `mkdir`、`touch`、`rm`、`mv`、`cp` 和 `sed`。其他 Bash 命令和超出范围的路径仍会提示

### 用户责任

Claude Code 仅拥有您授予的权限。您有责任在批准前审查建议的代码和命令的安全性。

## 防范提示注入

提示注入是一种攻击者试图通过插入恶意文本来覆盖或操纵 AI 助手指令的技术。Claude Code 包含多种针对这些攻击的保护措施：

### 核心保护

* **权限系统**：敏感操作需要明确批准
* **上下文感知分析**：通过分析完整请求来检测潜在有害指令
* **输入净化**：通过处理用户输入来防止命令注入
* **命令黑名单**：默认阻止从网络获取任意内容的高风险命令，如 `curl` 和 `wget`。当明确允许时，请注意[权限模式限制](/en/permissions#tool-specific-permission-rules)

### 隐私保护

我们实施了多项保护措施来保护您的数据，包括：

* 敏感信息的有限保留期（请参阅[隐私中心](https://privacy.anthropic.com/en/articles/10023548-how-long-do-you-store-my-data)了解更多信息）
* 对用户会话数据的受限访问
* 用户对数据训练偏好的控制。消费者用户可以随时更改其[隐私设置](https://claude.ai/settings/privacy)。

有关完整详情，请查看我们的[商业服务条款](https://www.anthropic.com/legal/commercial-terms)（适用于 Team、Enterprise 和 API 用户）或[消费者条款](https://www.anthropic.com/legal/consumer-terms)（适用于 Free、Pro 和 Max 用户）以及[隐私政策](https://www.anthropic.com/legal/privacy)。

### 额外保护

* **网络请求批准**：发起网络请求的工具默认需要用户批准
* **隔离的上下文窗口**：Web Fetch 使用单独的上下文窗口以避免注入潜在恶意提示
* **信任验证**：首次运行代码库和新的 MCP 服务器需要信任验证
  * 注意：使用 `-p` 标志非交互式运行时，信任验证被禁用。例外是 [`--worktree`](/en/worktrees)，它仍然需要目录已被接受信任
  * 注意：当您直接在主目录中启动 Claude Code 时，信任接受仅对当前会话有效，不会写入磁盘，因此每次启动都会重新出现提示。没有设置可以持久化它。请改从项目子目录启动 Claude Code，那里信任接受会按目录保存
* **命令注入检测**：即使之前已列入白名单，可疑的 bash 命令也需要手动批准
* **失败关闭匹配**：未匹配的命令默认需要手动批准
* **自然语言描述**：复杂的 bash 命令包含解释以帮助用户理解
* **安全凭据存储**：API 密钥和令牌已加密。请参阅[凭据管理](/en/authentication#credential-management)

<Warning>
  **Windows WebDAV 安全风险**：在 Windows 上运行 Claude Code 时，我们建议不要启用 WebDAV 或允许 Claude Code 访问可能包含 WebDAV 子目录的路径（如 `\\*`）。[WebDAV 已被 Microsoft 弃用](https://learn.microsoft.com/en-us/windows/whats-new/deprecated-features#:~:text=The%20Webclient%20\(WebDAV\)%20service%20is%20deprecated)，因为存在安全风险。启用 WebDAV 可能让 Claude Code 触发对远程主机的网络请求，从而绕过权限系统。
</Warning>

**处理不受信任内容的最佳实践**：

1. 在批准前审查建议的命令
2. 避免将不受信任的内容直接管道传输给 Claude
3. 验证对关键文件的建议更改
4. 使用虚拟机 (VM) 运行脚本和进行工具调用，尤其是在与外部 Web 服务交互时
5. 使用 `/feedback` 报告可疑行为

<Warning>
  虽然这些保护措施显著降低了风险，但没有任何系统能完全免疫所有攻击。在使用任何 AI 工具时，请始终保持良好的安全实践。
</Warning>

## MCP 安全

Claude Code 允许用户配置模型上下文协议 (MCP) 服务器。允许的 MCP 服务器列表在您的源代码中配置，作为工程师签入源代码控制的 Claude Code 设置的一部分。

我们鼓励编写自己的 MCP 服务器或使用您信任的提供商的 MCP 服务器。您可以为 MCP 服务器配置 Claude Code 权限。Anthropic 在将连接器添加到 [Anthropic 目录](https://claude.ai/directory) 之前会根据其[上市标准](https://claude.com/docs/connectors/building/review-criteria)审查连接器，但不审计或管理任何 MCP 服务器的安全性。

## IDE 安全

有关在 IDE 中运行 Claude Code 的更多信息，请参阅 [VS Code 安全和隐私](/en/vs-code#security-and-privacy)。

## 云执行安全

使用[网页版 Claude Code](/en/claude-code-on-the-web) 时，会实施额外的安全控制：

* **隔离的虚拟机**：每个云会话在隔离的、由 Anthropic 管理的 VM 中运行
* **网络访问控制**：网络访问默认受限，可配置为禁用或仅允许特定域
* **凭据保护**：认证通过安全代理处理，在沙盒内使用范围限定的凭据，然后转换为您实际的 GitHub 认证令牌
* **分支限制**：Git 推送操作限制为当前工作分支
* **审计日志**：云环境中的所有操作都会被记录，用于合规和审计目的
* **自动清理**：云环境在会话完成后自动终止

有关云执行的更多详情，请参阅[网页版 Claude Code](/en/claude-code-on-the-web)。

[远程控制](/en/remote-control) 会话的工作方式不同：Web 界面连接到在您本地机器上运行的 Claude Code 进程。所有代码执行和文件访问都保持在本地，在任何本地 Claude Code 会话期间流动的相同数据通过 Anthropic API 经 TLS 传输。不涉及云 VM 或沙盒化。该连接使用多个短期、范围限定的凭据，每个凭据仅限于特定用途且独立过期，以限制任何单个泄露凭据的影响范围。

## 安全最佳实践

### 处理敏感代码

* 在批准前审查所有建议的更改
* 为敏感存储库使用项目特定的权限设置
* 考虑使用 [dev containers](/en/devcontainer) 以获得额外隔离
* 使用 `/permissions` 定期审核您的权限设置

### 团队安全

* 使用[托管设置](/en/settings#settings-files)强制执行组织标准
* 通过版本控制共享已批准的权限配置
* 培训团队成员安全最佳实践
* 通过 [OpenTelemetry 指标](/en/monitoring-usage)监控 Claude Code 使用情况
* 使用 [`ConfigChange` 钩子](/en/hooks#configchange)审核或阻止会话期间的设置更改

### 报告安全问题

如果您发现 Claude Code 中的安全漏洞：

1. 请不要公开披露
2. 通过我们的 [HackerOne 计划](https://hackerone.com/4f1f16ba-10d3-4d09-9ecc-c721aad90f24/embedded_submissions/new) 报告
3. 包含详细的重现步骤
4. 在公开披露之前留出时间让我们处理该问题

## 相关资源

* [安全指导插件](/en/security-guidance)：让 Claude 在会话期间审查和修复其自身代码更改中的漏洞
* [沙盒环境](/en/sandbox-environments)：比较隔离方法并为您的威胁模型选择一种
* [沙盒化](/en/sandboxing)：Bash 命令的文件系统和网络隔离
* [权限](/en/permissions)：配置权限和访问控制
* [监控使用情况](/en/monitoring-usage)：跟踪和审核 Claude Code 活动
* [开发容器](/en/devcontainer)：安全、隔离的环境
* [Anthropic 信任中心](https://trust.anthropic.com)：安全认证和合规