安全机制

核心安全架构

Claude Code 基于严格的最小权限原则设计：默认只读，需要额外操作时（编辑文件、运行命令等）才请求明确权限。

安全认证：Claude Code 依照 Anthropic 综合安全计划开发，SOC 2 Type 2 报告、ISO 27001 认证等资料可在 Anthropic Trust Center 查阅。

内置保护机制

保护措施	说明
沙箱 Bash 工具	用 `/sandbox` 开启文件系统和网络隔离，在安全边界内让 Claude 自主运行
写入权限限制	Claude Code 只能写入启动目录及其子目录，不能修改上级目录文件（可以读取，但不能写入）
权限疲劳缓解	支持按用户、代码库或组织对常用安全命令设置白名单
接受编辑模式	批量接受多个编辑，同时对有副作用的命令保留权限确认

防止提示注入攻击

提示注入是攻击者试图通过插入恶意文本来覆盖或操纵 AI 指令的技术。Claude Code 的主要防护措施：

核心防护

权限系统：敏感操作需要明确授权
上下文感知分析：分析完整请求，检测潜在有害指令
输入清理：防止命令注入
命令黑名单：默认阻止能从网络获取任意内容的高危命令（如 curl、wget）

隐私保护

敏感信息保留期有限制（参见隐私中心）
用户会话数据访问受限
用户可控制数据训练偏好（隐私设置）

其他保护

网络请求审批：发起网络请求的工具默认需要用户授权
隔离上下文窗口：WebFetch 使用独立上下文窗口，避免恶意内容污染主上下文
信任验证：首次运行代码库或使用新 MCP 服务器需要验证信任
- 注意：非交互模式（-p 标志）下信任验证被禁用
命令注入检测：可疑 Bash 命令即使已加入白名单也需要手动确认
默认拒绝：未匹配的命令默认要求手动审批
自然语言说明：复杂 Bash 命令附带人类可读的说明
凭证加密存储：API key 和 token 加密保存（参见凭证管理）

Windows WebDAV 安全警告：不建议在 Windows 上启用 WebDAV 或允许 Claude Code 访问 \\* 等路径。WebDAV 已被微软废弃，存在安全风险，可能让 Claude Code 绕过权限系统触发对远程主机的网络请求。

使用不可信内容时的最佳实践

审查命令后再批准
避免直接把不可信内容管道给 Claude
验证对关键文件的修改
处理外部 Web 服务时，使用虚拟机运行脚本和工具调用
发现可疑行为用 /feedback 报告

MCP 安全

用户可以配置 MCP 服务器列表，通常作为 Claude Code 设置的一部分提交到源代码控制。

建议：

编写自己的 MCP 服务器
或使用你信任的提供商的 MCP 服务器

Anthropic 不管理或审计任何第三方 MCP 服务器。

云端执行安全

使用 Claude Code on the web 时的额外安全控制：

措施	说明
隔离虚拟机	每个云端会话在 Anthropic 管理的独立 VM 中运行
网络访问控制	默认限制网络访问，可配置为禁用或只允许特定域名
凭证保护	认证通过安全代理处理，GitHub token 不进入沙箱
分支限制	Git push 只允许推送到当前工作分支
审计日志	云环境中所有操作都记录日志，用于合规和审计
自动清理	会话结束后云环境自动销毁

Remote Control 会话不同：Remote Control 通过 Web 界面连接到本地机器上的 Claude Code 进程。所有代码执行和文件访问都在本地，数据通过 TLS 加密传输到 Anthropic API——不涉及云 VM 或沙箱。连接使用多个短生命周期、范围受限的凭证，每个凭证独立过期。

安全最佳实践

个人开发者

批准前审查所有建议的改动
对敏感仓库使用项目级权限设置
考虑用 devcontainers 额外隔离
定期用 /permissions 审计权限设置

团队和企业

用托管设置强制实施组织标准
通过版本控制共享批准的权限配置
对团队成员进行安全最佳实践培训
通过 OpenTelemetry 指标监控 Claude Code 使用情况
用 ConfigChange hooks 审计或阻止会话中的设置变更

报告安全问题

发现安全漏洞时：

不要公开披露
通过 HackerOne 计划报告
提供详细的复现步骤
给我们时间处理问题再公开披露

安全机制 ​

核心安全架构 ​

内置保护机制 ​

防止提示注入攻击 ​

核心防护 ​

隐私保护 ​

其他保护 ​

使用不可信内容时的最佳实践 ​

MCP 安全 ​

云端执行安全 ​

安全最佳实践 ​

个人开发者 ​

团队和企业 ​

报告安全问题 ​

相关文档 ​