claude-code/docs/safety/sandbox.mdx

---
title: "沙箱机制 - 权限系统之外的第二道防线"
description: "系统性梳理 Claude Code 的沙箱设计：什么时候会进沙箱、什么时候不会、如何与权限系统联动、默认限制了什么、不同平台下行为有什么差异，以及用户在被拦截时会看到什么。"
keywords: ["沙箱", "sandbox", "权限", "Bash", "PowerShell", "bubblewrap", "sandbox-exec", "纵深防御"]
---

## 一句话结论

这个项目里的沙箱不是用来替代权限系统，而是用来给 **shell 命令** 再套一层 OS 级能力边界：

- 权限系统决定：这次工具调用要不要执行
- 沙箱决定：就算执行了，这个子进程最多能碰到哪些文件、哪些网络目标

两者组合起来，才构成真正的 Defense-in-Depth。

## 实现分层：仓库里的适配器，加底层运行时

这个项目的“沙箱实现”其实分成两层：

- 这一层仓库自己负责：策略、配置转换、启停判断、命令包裹、清理和权限联动
- 真正做 OS 级隔离的是外部运行时 `@anthropic-ai/sandbox-runtime`

在 `src/utils/sandbox/sandbox-adapter.ts` 里，可以很清楚地看到这条边界：项目导入 `SandboxManager as BaseSandboxManager`、`SandboxViolationStore` 等运行时对象，然后在外面再包一层符合 Claude Code 自身权限模型的适配器。

底层隔离在不同平台上的落地也不是同一套实现：

- macOS 走 `sandbox-exec`
- Linux / WSL2 走 `bubblewrap + seccomp`
- Windows 原生不支持这套 shell 沙箱

所以如果只看这个仓库，容易误以为“沙箱都是它自己做的”。更准确的说法是：这个仓库决定**该不该启、该怎么配、该怎么接进工具链**，真正的 OS 级约束由外部 runtime 执行。

## 它到底解决什么问题

如果只有应用层权限系统，Claude Code 需要在命令执行前尽量判断：

- 这条命令是不是只读
- 会不会写危险路径
- 会不会连到外网
- 会不会通过复合命令、重定向、子进程、解释器脚本绕过检查

这些检查都很有价值，但它们本质上仍然是“执行前推断”。而 shell 命令的真实副作用经常取决于运行时行为：

- `bash script.sh`
- `python -c "..."`
- `make`
- `npm install`
- 某个命令再启动另一个子进程

沙箱的作用，就是把这些运行时行为的能力范围压缩到一个明确边界内。即使应用层检查漏了，命令也不能随意写系统目录或访问不允许的网络目标。

## 为什么“拦住它”本身就是价值

很多人第一次看到沙箱会直觉觉得：

> 如果连 `/etc/hosts` 这种文件都默认不让我改，那沙箱是不是没什么用？

这个项目的答案正好相反。沙箱不是为了让 `/etc/...` 这种系统路径也能随便改，而是为了把 shell 命令的能力压缩到一个可接受的安全边界里：

- 权限系统负责判断“要不要执行”
- 沙箱负责限制“就算执行了，最多能做到什么”

`/etc/...` 被默认拦住，说明这条边界真的在生效，而不是说明沙箱没价值。更具体地说，沙箱至少补上了 4 件权限系统单独做不好的事。

### 1. 给 shell 一个 OS 级兜底

`src/utils/bash/ast.ts` 开头就写得很明确：Bash AST 分析不是沙箱，它只是在判断我们能不能可靠地理解命令结构，不能阻止危险命令真的运行。

这就是为什么应用层再聪明，也很难仅靠“执行前推断”覆盖完整风险面。像下面这些命令，真实副作用都要到运行时才完全展开：

- `bash script.sh`
- `python -c "..."`
- `make`
- `npm install`
- 一个命令再起新的子进程

沙箱的价值就在这里。即使前面的分析漏了，进程到了 OS 层以后，仍然只能写允许目录、访问允许域名，真正把 shell 的能力压缩进运行时边界。

### 2. 让“安全边界内”的命令可以少弹窗甚至自动放行

默认沙箱白名单里就包含当前工作目录和 Claude 临时目录，这也是为什么工作区内的大多数开发命令都能顺畅运行：

- `npm test`
- `rg`
- `git status`
- 工作区内的构建、测试和生成文件

项目专门提供了 `autoAllowBashIfSandboxed`。它的核心思路不是“更大胆地信任模型”，而是“既然命令已经被 OS 级边界收紧，就没必要再让用户为大量低风险 Bash 命令反复点确认”。

换句话说，没有沙箱的话，系统通常只剩两种都不太理想的选择：

- 频繁弹窗，让工作流很碎
- 更激进地信任应用层判断，把风险全压在静态分析上

### 3. 把“出错”的后果从系统级破坏，降成一次受限失败

这也是 Defense-in-Depth 最实际的一层收益。模型偶尔会出错，应用层规则也可能有漏判。沙箱的意义不是假设前面永远正确，而是即使前面偶尔判错，后果也尽量可控。

例如这类命令：

- `sudo tee /etc/hosts`
- `mv ... ~/.ssh/...`
- `curl 外网 | bash`

如果它们发生在没有运行时约束的环境里，可能就是直接修改系统、用户配置或把未知脚本落到机器上。放进沙箱之后，更常见的结果会变成：因为写权限或网络权限不满足而失败。它不是“什么都没发生”，而是把一次潜在的系统级破坏降成一次受限失败。

### 4. 拦截运行时绕过和逃逸路径

这个仓库在 `src/utils/sandbox/sandbox-adapter.ts` 里专门把一些高风险路径额外加入 `denyWrite`，例如：

- `settings.json`
- `.claude/skills`
- 一些 bare git repo 相关路径

它还专门处理 bare git repo 逃逸这一类攻击面。它们的意义不是“让更多命令通过”，而是“即使命令已经执行，也别让它顺手把护栏本身拆掉”，避免通过改配置、改技能、改 git 结构来扩大后续权限。

所以更准确的表述不是：

- “沙箱把 `/etc` 拦了，所以没用”

而是：

- “沙箱把 shell 的默认权限收缩到工作区和白名单里，因此系统级路径默认写不了；正因为这样，项目才敢把一大批工作区内命令自动放行。”

## 设计边界：它保护什么，不保护什么

### 保护对象

- Bash / shell 命令执行
- 在支持平台上的 PowerShell 执行
- shell 子进程的文件系统写入范围
- shell 子进程的网络访问范围
- 一些已知的高风险路径和沙箱逃逸向量

### 不直接保护的对象

- `FileEditTool` / `FileWriteTool` 这类直接文件工具
- 纯应用层的权限弹窗和规则匹配
- Bash AST 解析本身

尤其要注意一点：Bash AST 分析不是沙箱。源码自己写得很明确，它只回答“我们能不能可信地提取 argv 结构”，并不负责阻止危险命令真正运行。

## 哪些场景会走沙箱

### 1. 启动阶段先判断“沙箱能不能用”

沙箱不是等到第一条命令执行时才临时判断的。REPL / CLI 启动时，就会先检查当前环境是否真的具备沙箱条件。核心判断包括：

1. 当前平台是否受底层 runtime 支持
2. 依赖是否齐全
3. `sandbox.enabled` 是否打开
4. 当前平台是否落在 `enabledPlatforms` 范围内

如果用户显式开启了沙箱，但当前环境不满足条件，启动期会先给出 warning；如果同时配置了 `sandbox.failIfUnavailable`，则会直接拒绝启动，而不是悄悄降级成无沙箱模式。

另外，启动时不只是“看一眼能不能用”，而是真的会调用初始化流程，把当前设置转换成 runtime 配置并交给底层 `BaseSandboxManager.initialize(...)`。后续如果设置变化，还会通过 `updateConfig(...)` 热更新，而不是要求重启整个会话。

### 2. BashTool 默认会走

只要满足下面条件，Bash 命令默认会进入沙箱：

1. 当前平台支持沙箱
2. 沙箱依赖齐全
3. `sandbox.enabled` 打开
4. 当前平台在 `enabledPlatforms` 范围内
5. 这条命令没有被显式排除
6. 这次调用没有被允许以 `dangerouslyDisableSandbox` 绕过

对应入口在 `src/tools/BashTool/shouldUseSandbox.ts` 和 `src/utils/sandbox/sandbox-adapter.ts`。

### 3. PowerShell 只在支持平台上走

PowerShell 的处理要更细一点：

- Linux / macOS / WSL2：可以走沙箱
- Windows 原生：不支持沙箱，直接返回 `shouldUseSandbox: false`

也就是说，Windows 原生上的 PowerShell 只能依赖权限系统，不会有 OS 级沙箱兜底。

### 4. Hook 命令会复用“网络专用沙箱”

Hook 不是完整复用 Bash 那套文件系统限制，而是额外套了一层 **network-only sandbox**：

- 重点拦网络访问
- 文件系统不额外收紧到 Bash 那个程度

这是因为 Hook 往往不是模型直接下发的 Bash 工具调用，而是系统/插件的外部扩展点。

## 哪些场景不会走沙箱

### 1. FileEditTool / FileWriteTool

这类工具不是靠 shell 修改文件，而是直接在应用层做文件 I/O，所以它们不通过 `Shell.exec()`，自然也不会被 `wrapWithSandbox()` 包裹。

它们走的是另一条链路：

- `checkWritePermissionForTool()`
- `checkPathSafetyForAutoEdit()`
- 工作目录检查
- allow/ask/deny 规则

因此：

- “shell 改 `/etc/hosts`”通常是沙箱在 OS 层拦
- “FileEdit 改 `/etc/hosts`”通常是权限系统在应用层拦

### 2. 明确排除的命令

如果命中 `sandbox.excludedCommands`，这条命令会直接跳过沙箱。

支持三类模式：

- 精确匹配
- 前缀匹配
- 通配符匹配

### 3. 允许 unsandboxed fallback 的命令

如果：

- 这次调用显式设置了 `dangerouslyDisableSandbox: true`
- 并且策略允许 `allowUnsandboxedCommands`

那它也可以不进沙箱。

这个设计是有意保留的，但命名也故意写得很重：`dangerouslyDisableSandbox`，提醒这是例外路径，不应当成为默认习惯。

## 完整执行链路

可以把整个过程拆成两段来看：启动期先把沙箱准备好，命令期再决定“这条命令要不要进去”。

### 启动期链路

```text
REPL / CLI 启动
  -> isSandboxingEnabled()
  -> convertToSandboxRuntimeConfig(settings)
  -> BaseSandboxManager.initialize(runtimeConfig, callback)
  -> 设置变化时 BaseSandboxManager.updateConfig(newConfig)
```

这一段回答的是：当前会话里有没有一个可用、已初始化、能处理网络授权回调的沙箱 runtime。

### 命令期链路

典型 Bash 执行链路如下：

```text
用户请求
  -> BashTool.checkPermissions()
  -> shouldUseSandbox(input)
  -> Shell.exec(command, { shouldUseSandbox: true/false })
  -> SandboxManager.wrapWithSandbox(...)
  -> spawn(wrapped command)
  -> 运行结束后 cleanupAfterCommand()
```

这里真正把命令“包进沙箱”的关键点是 `Shell.exec()`。它会在真正 `spawn(...)` 之前调用 `SandboxManager.wrapWithSandbox(...)`，把原始命令改写成底层 runtime 可执行的沙箱命令串。命令结束后如果本次是 sandboxed execution，再调用 `cleanupAfterCommand()` 清理运行时残留。

其中有两个容易混淆的判定点：

### 判定点 A：要不要进沙箱

这是 `shouldUseSandbox()` 的职责。

它回答的是：

> 这条命令要不要被 OS 级沙箱包起来执行？

### 判定点 B：这条命令要不要弹权限确认

这是权限系统和 Bash 权限检查的职责。

它回答的是：

> 这条命令在应用层看来，是 `allow`、`ask` 还是 `deny`？

这两个判定点是并列协作的，不是互相替代的。

## 默认沙箱到底限制了什么

沙箱运行时配置最终由 `convertToSandboxRuntimeConfig()` 生成。它会把项目自己的设置、权限规则和安全加固逻辑，转换成底层运行时需要的配置。

这一步很关键，因为这个项目的沙箱配置不是一份静态表，而是从 Claude Code 自己的权限系统里“翻译”出来的。

### 这些限制是怎么从权限系统推导出来的

- `WebFetch(domain:...)` 和 `sandbox.network.allowedDomains` 会被合并成网络白名单
- `Edit(...)` / `Read(...)` 这类权限规则会被翻译成文件系统读写限制
- `sandbox.filesystem.allowWrite` / `allowRead` / `denyWrite` / `denyRead` 会继续叠加到最终 runtime 配置上

也就是说，沙箱不是独立维护另一套完全平行的安全策略，而是把“Claude 认为哪些路径或域名应该被允许”落地成 OS 级约束。

### 文件系统默认写入范围

默认 `allowWrite` 只有两类：

- 当前工作目录 `.`
- Claude 的临时目录

这意味着：

- 工作区内的构建、测试、生成临时文件通常能正常运行
- 根路径如 `/etc/...`、`/usr/...`、`/var/...` 默认不在写白名单里

### 文件系统额外写入来源

额外允许写入的路径，主要来自这些来源：

- `sandbox.filesystem.allowWrite`
- `Edit(...)` 规则推导出的路径
- `/add-dir` 或 `--add-dir` 增加的目录
- git worktree 主仓库所需路径

这里还有一个很容易漏掉的细节：适配层会专门处理 worktree 主仓库和 bare git repo 这种仓库级特殊路径，避免在隔离后把正常开发流程误伤，或者反过来留下逃逸面。

### 强制 deny 的路径

即使有别的配置，项目还会额外加固一些高风险路径，例如：

- settings 文件
- `.claude/skills`
- 一些 bare git repo 相关路径

这样做的原因是：这些路径一旦可写，攻击者可能反过来修改 Claude Code 自己的配置、技能或 git 行为，从而扩大权限。

### 网络限制

网络白名单来自两部分：

- `sandbox.network.allowedDomains`
- `WebFetch(domain:...)` 这类权限规则

被允许的域名会进入沙箱网络配置；不在白名单里的访问，在运行时会被拦截或触发额外的网络授权流程。

## `autoAllowBashIfSandboxed` 的真实意义

这是沙箱设计里最值得注意的开关之一。

它表达的是这样一个信任假设：

> 如果命令已经被 OS 级沙箱约束在安全边界内，那么应用层就没有必要再对大量低风险 Bash 命令逐条弹确认框。

因此，当这个开关开启时：

- 命令会先检查显式 `deny` / `ask` 规则
- 如果没有命中这些硬规则
- 且命令确实会在沙箱里执行
- 那么 BashTool 可以直接自动允许它运行

这里还有一个边界条件特别值得写清楚：它只对“真正会进沙箱的命令”生效。像这些情况，仍然不能直接吃到这个 shortcut：

- 命中了 `excludedCommands`
- 显式使用了 `dangerouslyDisableSandbox: true`
- 当前平台根本不支持沙箱

这些命令依然要遵守正常的 `ask` 规则，因为它们没有拿到 OS 级约束带来的那层安全兜底。

这也是沙箱存在的一个核心产品价值：不是让更多危险操作通过，而是让更多**受限范围内的常规命令**可以无感运行。

## 为什么“沙箱把 `/etc` 拦了”反而说明它有用

前面的“四个核心价值”解释的是原理，这里把结论再落回最常见的直觉疑问上：为什么一个默认不让你写 `/etc` 的系统，反而更值得信任？

因为 Claude Code 日常最常跑的不是系统管理命令，而是开发命令。例如：

- `npm test`
- `npm install`
- `cargo build`
- `pytest`
- `rg`
- `git status`

这些命令本来就应该只在工作区和少量临时目录里活动。沙箱把 shell 的默认能力收缩到这个范围后，项目才敢在应用层减少弹窗、启用 `autoAllowBashIfSandboxed`、提高自动化程度。

所以这个问题的正确落点不是“它为什么不帮我改 `/etc`”，而是“它能不能在不碰 `/etc` 的前提下，让大量正常开发命令更安全、更顺滑地运行”。从这个角度看，`/etc` 默认写不了并不是缺点，而是整个自动化体验成立的前提。

## 平台差异

### macOS

- 底层使用 `sandbox-exec`
- 路径和网络规则通过 Seatbelt profile 落地
- 属于原生 OS 级进程隔离

### Linux

- 底层使用 `bubblewrap + seccomp`
- 会建立 mount / PID / network 等隔离
- Linux 上对 glob 路径的支持比 macOS 弱一些
- 某些运行后残留需要在 `cleanupAfterCommand()` 中清理

### WSL

- 只支持 WSL2
- WSL1 视为不支持平台

### Windows 原生

- 原生 PowerShell/Bash 不支持这个沙箱体系
- 因此只能依赖权限系统和工具级检查

这也是为什么你前面问“改 C 盘文件会不会走沙箱”时，答案会分成：

- Windows 原生：通常不走
- Linux/macOS/WSL2：shell 才可能走

## 工作区内外：应用层与沙箱层如何配合

### 工作区内路径

工作区内路径通常有两层保护：

1. 应用层权限检查
2. 沙箱默认允许写当前工作目录

这使得“工作区内构建/测试/格式化/生成文件”成为最顺滑的一条路径。

### 工作区外路径

工作区外路径则更严格：

- 应用层通常会视为高风险，要求确认或阻止
- 即使应用层允许，如果不在沙箱白名单里，运行时也会失败

这就形成了双保险。

### Linux 根路径 `/etc/...`

对于 Linux 上的根路径文件，通常会出现两种情况：

- **shell 路径**：命令会进沙箱，但沙箱默认没有 `/etc` 写权限，所以运行时被拦
- **文件工具路径**：不走沙箱，而是在应用层直接被文件权限检查拦住

## 用户真的会看到什么

被拦截并不是同一种体验，至少有三类。

### 1. 执行前的权限确认

如果应用层在执行前就判定为 `ask`，用户会看到标准权限对话框：

- Bash 权限确认
- FileEdit / FileWrite 权限确认
- 其他工具自己的权限确认 UI

这种提示发生在命令还没真正运行之前。

### 2. 执行中的沙箱违规

如果命令已经进入沙箱，运行时才触发违规：

- 命令会失败
- stderr 会被附加 `<sandbox_violations>` 标签供模型理解
- UI 会清理这些标签再显示给用户
- 同时 `SandboxViolationStore` 会记录违规事件

这意味着用户通常能看到：

- 命令失败本身
- 以及“最近有多少次 sandbox blocked”之类的界面提示

### 3. 网络越界请求

网络是个特例。

当沙箱外的 host 访问需要额外确认时，项目会弹出一个专门的网络授权对话框，例如：

- `Network request outside of sandbox`

这里和文件系统运行时拦截不同，它有明确的交互式授权 UI。

## 为什么文件系统越界通常不弹“再放行一次”

这是一个非常有意的设计选择。

对文件系统来说，项目更倾向于：

- 执行前在应用层 ask
- 或者执行后让命令直接因沙箱失败

而不是在运行到一半时再弹出一个“是否允许写这个系统路径”的新对话框。

这样做的好处是：

- 边界更稳定
- 用户心智更清晰
- 不容易把 shell 运行时逐步升级成越来越宽松的环境

网络访问则更适合做按 host 的临时授权，因此单独做了授权对话框。

## 常见误区

### 误区 1：沙箱会保护所有文件修改

不是。它主要保护 **shell 子进程**。

直接文件编辑工具走的是应用层权限系统，不是 shell 沙箱。

### 误区 2：只要启用了沙箱，就不会再需要权限系统

不是。沙箱只限制进程能力，不负责解释用户意图、路径安全语义、工具模式、审批体验。

项目之所以还保留复杂的 `allow / ask / deny` 体系，就是因为两者职责不同。

### 误区 3：如果某个危险操作被沙箱拦住，就说明应用层检查没价值

不是。应用层检查的价值在于：

- 更早提示
- 更好的用户体验
- 更细的语义判断
- 对不走 shell 的工具同样生效

而沙箱负责的是最终兜底。

## 推荐的阅读路径

如果你想继续顺着源码深入，推荐按下面顺序看：

1. `src/tools/BashTool/shouldUseSandbox.ts`
2. `src/utils/Shell.ts`
3. `src/utils/sandbox/sandbox-adapter.ts`
4. `src/utils/permissions/permissions.ts`
5. `src/tools/BashTool/bashPermissions.ts`
6. `src/utils/permissions/pathValidation.ts`
7. `src/utils/permissions/filesystem.ts`

按这条线读，会更容易把“权限系统”和“沙箱系统”在脑中拆开。

## FAQ

### Q1：Linux 下 `echo hi > /etc/hosts` 会怎样？

如果是 BashTool：

- 通常会进沙箱
- 默认沙箱不允许写 `/etc`
- 所以命令会在运行时失败

如果是 FileEditTool：

- 不进沙箱
- 通常会在应用层文件权限检查里先被拦下

### Q2：Windows 下改 `C:\Windows\System32\drivers\etc\hosts` 会怎样？

在 Windows 原生环境里，通常没有这套 shell 沙箱兜底，所以主要依赖应用层权限系统和工具自己的检查逻辑。

### Q3：既然沙箱这么强，为什么还保留 `dangerouslyDisableSandbox`？

因为有些真实开发任务确实需要越过默认边界，例如：

- 访问未加入白名单的工具链目录
- 调试系统级环境
- 做管理员明确允许的例外操作

但项目把这个入口做得非常显眼，也允许管理员通过策略直接禁掉，避免它变成默认路径。

### Q4：什么时候最能感受到沙箱的价值？

当你开启 `autoAllowBashIfSandboxed` 时最明显。

这时大量工作区内命令可以少弹窗甚至不弹窗，但即使模型偶尔给出过界命令，系统级写入和网络能力仍然被边界限制住。