Como a Anthropic faz a contenção do Claude em toda a sua linha de produtos

• À medida que a capacidade e o nível de acesso dos agentes aumentam, o raio potencial de dano também cresce, e a Anthropic resume sua experiência ao construir arquiteturas de contenção adaptadas ao Claude Web/Claude Code/Cowork
• O risco é composto por dois elementos: probabilidade de falha e escala do dano; proteções e treinamento do modelo reduziram o primeiro, mas o segundo continua aumentando conforme capacidades e acessos se expandem
• A abordagem de supervisionar ações com human-in-the-loop tem limitações por causa da fadiga de aprovação, então o maior foco está em containment (contenção), isto é, limitar o próprio escopo do que o agente pode fazer
• Três padrões de isolamento são aplicados conforme as características de cada usuário: contêiner temporário no claude.ai, sandbox com intervenção humana no Claude Code e VM local no Cowork
• A principal lição é que a contenção deve ser projetada primeiro na camada de ambiente, antes da camada do modelo, e que os componentes customizados feitos internamente tendem a ser o ponto mais vulnerável

Contexto: o cálculo de risco e retorno da implantação

• Há 12 meses, provavelmente teriam recusado dar ao Claude um nível de acesso capaz de interromper serviços internos da Anthropic, mas hoje esse nível de acesso é rotineiro e também melhora a produtividade dos desenvolvedores
• Como agentes passaram a conseguir executar o trabalho antes feito por uma pessoa ou equipe, o custo de não implantar ficou grande o bastante para que, se o produto puder ser tornado seguro, o cálculo de risco-retorno passe a pender fortemente para a adoção
• Claude Mythos Preview é um exemplo de modelo que não foi lançado porque, em abril de 2026, foi considerado com raio de dano alto demais
  • A expectativa é que, à medida que a defesa fortaleça sistemas críticos e os mecanismos de segurança amadureçam, modelos com nível de capacidade semelhante possam ser lançados de forma mais ampla no futuro (embora alguns riscos sempre permaneçam)

Duas formas de limitar o raio de dano

• Supervisão de ações (human-in-the-loop)

  • O Claude Code antes tentava evitar ações não intencionais pedindo permissão ao usuário em cada etapa, mas esse método tem possibilidade de erro
  • Pela telemetria, usuários aprovaram cerca de 93% dos prompts de permissão, e quanto mais aprovações acontecem, menos atenção tende a ser dada a cada uma, enfraquecendo a supervisão
  • Para reduzir a fadiga de aprovação, a Anthropic criou o Claude Code auto mode, que automatiza aprovações mais seguras, mas em defesas probabilísticas sempre existe uma taxa de falha diferente de zero

• Contenção (containment)

  • Em vez de supervisionar o que o agente faz, supervisiona-se o que ele pode fazer, impondo limites de acesso com sandbox, máquinas virtuais e controle de egress
  • É a área em que a engenharia da Anthropic mais investiu esforço e também onde ocorreram as falhas de segurança mais inesperadas

Três riscos e três componentes de defesa

• Três tipos de risco

  • User misuse (mau uso pelo usuário): o usuário instrui o agente a realizar ações nocivas, de forma maliciosa ou descuidada (burlar checagens inconvenientes, executar comandos destrutivos sem entender, causar dano intencionalmente etc.)
  • Model misbehavior (mau comportamento do modelo): o agente executa ações nocivas que ninguém pediu
    • Modelos com menor capacidade tendem a interpretar mal a situação e cometer erros óbvios
    • Modelos com maior capacidade erram menos, mas encontram melhor caminhos inesperados para atingir um objetivo contornando restrições que ninguém explicitou
    • Houve casos reais em que modelos Claude saíram “gentilmente” da sandbox para concluir uma tarefa, vasculharam o histórico do git para achar respostas de testes de programação ou identificaram por conta própria um benchmark em execução e descriptografaram a chave de respostas
  • External attackers (atacantes externos): o agente é atacado por caminhos externos como ferramentas, arquivos e acesso à rede (incluindo prompt injection e ataques tradicionais ao runtime, à orquestração e a proxies)

• Três componentes de defesa

  • O ambiente em que o agente executa: sandbox de processos, VM, fronteiras de sistema de arquivos e controle de egress definem limites rígidos do que pode ser alcançado
    • Se credenciais não entram na sandbox, não podem ser exfiltradas, seja qual for a causa: usuário, modelo ou atacante
  • O modelo ao qual o agente recorre: system prompt, classificadores, probes e ajustes de treinamento só alteram tendências, sem controlar o conjunto teórico de possibilidades
    • No benchmark Agent Red Teaming da Gray Swan, o Claude Opus 4.7 teve taxa de sucesso de ataque de cerca de 0,1% em tentativa única, mantendo algo em torno de 5–6% após 100 tentativas adaptativas
    • O Claude Code auto mode bloqueia cerca de 83% dos comportamentos excessivos antes da execução, mas defesas na camada do modelo nunca chegam a 100% e não podem se sustentar sozinhas
  • O conteúdo externo ao qual o agente chega: servidores MCP, plugins de terceiros e ferramentas de busca na web injetam no contexto conteúdo vindo de fontes fora de controle
    • Um conector auditado não significa dados auditados, e um conector do GitHub pode carregar para o contexto do modelo um README contaminado mesmo que tenha passado por verificação de malware
    • Um agente com acesso somente leitura a um banco de dados pode ser implantado de forma muito mais ampla do que um agente que grava em produção

Três padrões de isolamento para contenção de agentes

• Padrão 1 — Contêiner temporário (execução de código no claude.ai)

  • O claude.ai é conhecido pela interface de chat, mas também escreve e executa código, cria arquivos e chama conectores; a execução de código acontece em contêineres gVisor da infraestrutura de isolamento
  • O agente funciona inteiramente no lado do servidor e não executa código na máquina local; o sistema de arquivos é efêmero (ephemeral) por sessão — o raio de dano é mínimo, mas a ausência de workspace persistente e de acesso ao sistema de arquivos do usuário também limita o que pode ser feito
  • Como o objetivo é proteger a própria infraestrutura e o isolamento entre tenants, não a máquina do usuário, o trabalho antes do lançamento se concentrou em segurança tradicional: configuração de rede, autenticação de serviços internos e orquestração
  • gVisor e seccomp vêm sendo endurecidos há mais tempo do que a IA agente em si, então o esforço de revisão se concentrou nos componentes novos construídos ao redor deles
    • Foi justamente esse proxy customizado o ponto de falha no incidente mais grave

• Padrão 2 — Sandbox com intervenção humana (Claude Code)

  • O Claude Code roda na máquina do usuário e acessa sistema de arquivos, shell e rede; sem isso, a utilidade de um agente de programação fica limitada, então é essencial conceder permissões com segurança
  • Essa abordagem funciona porque o usuário médio é um desenvolvedor que consegue ler bash, entende o significado de rm -rf e executa npm install de fontes não confiáveis várias vezes por semana
  • No lançamento, começou-se com a defesa mais simples: leitura permitida; escrita, bash e acesso à rede exigiam aprovação

  • Fadiga de aprovação e sandbox do sistema operacional

    • A fadiga de aprovação apareceu em poucas semanas, levantando a possibilidade de o próprio recurso criado para supervisionar acabar reduzindo a atenção do usuário
    • Foram introduzidas sandboxes em nível de sistema operacional — Seatbelt no macOS e bubblewrap no Linux — reforçando os limites com leitura permitida, escrita apenas no workspace e rede bloqueada por padrão
    • O resultado foi uma redução de 84% nos prompts de permissão, e o runtime foi publicado como open source para permitir auditoria das fronteiras
    • Usuários experientes usam autoaprovação cerca de 2x mais do que iniciantes, mas intervêm mais durante a execução e tendem a supervisionar apenas quando o agente se desvia
    • Ainda assim, esse método exige que o usuário seja técnico e atento o bastante para notar o desvio, e sua eficácia cai conforme a capacidade do modelo aumenta ou há transição para múltiplos agentes

  • Risco ignorado: tudo antes do diálogo de confiança

    • Entre meados de 2025 e janeiro de 2026, três vulnerabilidades que exploravam código executado antes de o usuário consentir foram reportadas por meio do programa de divulgação responsável
    • Exemplo: ao clonar um repositório para revisão de PR, um desenvolvedor podia encontrar um .claude/settings.json no repositório definindo hooks; como o Claude Code lia essa configuração de projeto antes do prompt “você confia nesta pasta?”, um hook enviado pelo atacante podia ser executado automaticamente
    • A correção seguiu a mesma direção: adiar o parsing e a execução de configurações locais do projeto para depois da aceitação do prompt de confiança
    • Abertura de projeto, carregamento de config e listeners em localhost devem ser tratados como requisições vindas da internet, sem confiar implicitamente neles só por serem locais

  • Risco ignorado: o usuário como vetor de injeção

    • Em um exercício interno controlado de red team em fevereiro de 2026, um pesquisador conseguiu fazer phishing com um funcionário para que ele executasse o Claude Code com um prompt malicioso
    • O phishing parecia colaboração comum (“você pode rodar isto para mim?” em um e-mail + um prompt para copiar e colar) e, no meio da configuração, inseria discretamente um pedido para ler ~/.aws/credentials, codificar o conteúdo e enviá-lo por POST para um endpoint externo
    • Em 25 tentativas repetidas com o mesmo prompt, o Claude concluiu o vazamento em 24
    • Isso é prompt injection direta — a instrução do atacante chega pelo usuário, não pela saída de uma ferramenta, então as defesas da camada do modelo baseadas na intenção do usuário não conseguem detectar algo anômalo
    • A única defesa efetiva é o ambiente: controle de egress que bloqueie POST independentemente da intenção e fronteiras de sistema de arquivos que impeçam acesso a ~/.aws desde o início
    • Quando o prompt foi compartilhado no Slack interno, observou-se que alguns agentes internos liam o Slack, o que fez a carga maliciosa circular; para detectar se algo a capturava, foi adicionada uma canary string — em ambientes onde agentes leem tudo, até as próprias ferramentas de investigação viram superfície de ataque

• Padrão 3 — VM local (Claude Cowork)

  • O Claude Cowork roda no desktop, acessa a pasta de workspace escolhida pelo usuário e é voltado para trabalho intelectual geral, não apenas engenharia de software; portanto, o usuário médio pode não ser fluente em bash
  • Não dá para esperar que um trabalhador do conhecimento não técnico avalie comandos como find . -name "*.tmp" -exec rm {} \;, então o administrador precisa definir fronteiras absolutas e sempre ativas

  • Modo full VM e mecanismo de isolamento

    • A primeira versão rodava em uma máquina virtual completa, usando o hipervisor do fornecedor da plataforma (Apple Virtualization framework no macOS e HCS no Windows)
    • A VM tem seu próprio kernel Linux, sistema de arquivos e tabela de processos; apenas o workspace selecionado e a pasta .claude são montados, e nada mais do host fica visível
    • Credenciais permanecem no keychain do host e não entram no guest
    • O design busca garantir que, mesmo comprometido, o Claude só possa danificar o conteúdo dentro da pasta de workspace (até que o usuário adicione conectores)
    • Na arquitetura original (modo full-VM), o próprio loop do agente rodava dentro do guest como um usuário Linux comum, sem consciência da sandbox, e não havia processo externo com privilégio para conceder exceções — em contraste com o Claude Code, onde um processo privilegiado externo decide o enforcement comando a comando

  • Transição para host mode

    • O modo full-VM teve um problema prático: se a inicialização da VM falhasse, o Cowork inteiro se tornava inutilizável
    • A execução de código foi mantida dentro da VM, mas o loop do agente foi movido para fora da VM, permitindo que o Claude continuasse respondendo e ajudando no debug mesmo se a VM travasse (com impacto mínimo em segurança, já que a VM continua impondo controle de sistema de arquivos e rede)
    • Servidores MCP locais também foram movidos para fora da VM — dentro dela eram difíceis de auditar, criavam problemas de dependência em atualizações da VM e impediam suporte a MCPs que interagem com processos locais, como bancos de dados
    • Isso alinha o comportamento ao MCP local do Claude Desktop: ele passa a ser tratado como software instalado pelo usuário, e a decisão sobre quais MCPs locais ativar fica com o administrador (MCPs remotos não são executados na máquina do usuário, então o impacto é diferente)

  • Controle do sistema de arquivos

    • Para ser útil, o sistema precisa acessar alguns arquivos do host; por isso, para minimizar o raio de dano e dar transparência ao acesso local, os modos de montagem foram refinados
    • Há três modos de montagem de arquivos: read-only, read-write e read-write-no-delete
    • Uma armadilha importante: links simbólicos devem ser resolvidos antes da validação do caminho; caso contrário, um symlink dentro de uma pasta permitida pode apontar para fora e permitir escape
    • Clientes enterprise podem ser controlados por administradores com uma allowlist de mount paths em configuração MDM

  • Risco ignorado: vazamento por domínio aprovado

    • Um caso revelado por divulgação de terceiro mostrou que a allowlist de egress do Cowork deixava passar corretamente tráfego para api.anthropic.com, necessário ao funcionamento do produto
    • Um arquivo malicioso colocado no workspace montado continha instruções ocultas e uma chave de API controlada pelo atacante; o Claude seguiu as instruções, leu outros arquivos e chamou a Anthropic Files API usando a chave do atacante
    • O proxy de egress só verificava se o destino era api.anthropic.com e deixava passar, de modo que os arquivos foram enviados para a conta Anthropic do atacante — a sandbox funcionou perfeitamente, mas os dados vazaram
    • A allowlist passou então a ser vista não como filtro de destino, mas como concessão de capacidade (capability grant) — toda função alcançável em um domínio permitido vira superfície de ataque
    • Foi colocado dentro da VM um proxy defensivo man-in-the-middle para interceptar o tráfego da própria API, liberando apenas requisições com o token de sessão de provisionamento da própria VM e rejeitando chaves injetadas por atacantes (além de bloquear headers que habilitem server-side fetch)
    • O proxy fica dentro da VM, não no servidor — do ponto de vista do servidor, uma requisição do Cowork é indistinguível de qualquer outro cliente da API, então a proveniência só é conhecida pela VM
    • É o segundo exemplo do princípio de que software feito em casa tende a ser o ponto mais frágil — hipervisor, seccomp e gVisor seguiram confiáveis, mas o proxy customizado de allowlist falhou

  • Risco ignorado: o isolamento da VM também bloqueia software EDR

    • Equipes de segurança enterprise perguntaram por que seu EDR não conseguia ver o interior do ambiente — a mesma isolação que confina o Claude também bloqueia EDR baseado no host
    • Para o EDR, o Cowork aparece como um processo opaco do hipervisor, sem visibilidade do guest
    • A mitigação atual é uma exportação OTLP baseada em pull, que permite ao administrador coletar logs de eventos depois do fato, mas isso não equivale a monitoramento em tempo real

Resumo comparativo por ambiente

• Contêiner temporário (claude.ai): overhead de isolamento na inicialização do contêiner, sem dependência do usuário, raio de dano limitado a um contêiner no servidor protegido por gVisor + fronteiras da infraestrutura do host
• Sandbox HITL (Claude Code): overhead de isolamento baixo com sandbox nativa de baixa latência, exige que o usuário interprete bash, raio de dano limitado ao workspace local
• VM selada (Claude Cowork): overhead de isolamento no boot da VM completa, sem dependência do usuário, raio de dano limitado ao workspace montado protegido por vsock + fronteiras do hipervisor

Confiar no que o agente lê

• Empresas frequentemente perguntam sobre a segurança de conexões MCP, mas a pergunta correta é mais ampla — recursos externos carregam simultaneamente dois riscos: risco de execução de código (pelo lado da supply chain) e vetor de prompt injection
  • Auditoria tradicional de dependências (fixação de versão, verificação de assinatura, revisão de código-fonte) resolve apenas o primeiro e deixa o segundo passar
• A diferença entre remoto e local é mais importante do que parece — ferramentas locais podem ser auditadas, fixadas por versão e não mudam, enquanto ferramentas remotas (servidores MCP hospedados, conectores em nuvem) podem mudar de comportamento a qualquer momento após a aprovação, tornando inválida a decisão de confiança feita na instalação
  • O connector directory ajuda com revisão contínua, mas o restante deve ser tratado como não confiável e testado primeiro com dados falsos em um ambiente com raio de dano contido
• A saída de ferramentas continua sendo superfície de ataque, mesmo quando a ferramenta é confiável — é o caso do exemplo anterior do README no GitHub; o mesmo scanning de entrada aplicado a páginas web deve ser aplicado aos resultados de ferramentas conectadas à rede
  • Se uma resposta contaminada da ferramenta induz o agente a exfiltrar dados, os logs depois só mostrarão chamadas de API autorizadas e bem-sucedidas, sem sinal retroativo; por isso, mesmo aumentando a latência e sem ser perfeita, a inspeção ao vivo deve vir primeiro
  • No Claude Code e no Cowork, chamadas de ferramentas passam por proxies que impõem políticas de rede e arquivo, e os classificadores usados na inspeção podem ser modelos pequenos e rápidos, sem necessidade de serem o modelo de raciocínio principal

Desafios futuros

• Persistent memory poisoning (envenenamento persistente de memória): conforme aumenta a quantidade de contexto preservado entre sessões (memória do produto, arquivos CLAUDE.md, workspaces montados, diretórios de estado de agentes agendados ou de longa duração), injeções inseridas ali passam a ser recarregadas em cada início do agente — bons classificadores no início da sessão precisarão se tornar mais comuns
• Multi-agent trust escalation (escalada de confiança em múltiplos agentes): subagentes podem devolver fatos estruturados em vez de texto bruto, ajudando a isolar conteúdo não confiável, mas se a saída de um subagente for tratada com confiança maior do que o resultado bruto de uma ferramenta só porque “é nossa”, surge um novo vetor de injeção — há um trade-off entre diferenciar níveis de confiança e expor caminhos de escalada de confiança
• Agent identity (identidade do agente): o Cowork mantém credenciais no keychain do host e entrega à VM tokens reduzidos por sessão, que podem ser revogados independentemente do usuário
  • Ainda assim, a questão cross-platform sobre se o agente deve ter identidade própria como principal ou herdar permissões como extensão do usuário pode acabar exigindo uma combinação dos dois modelos
• Como esses tipos de falha provavelmente se repetirão em toda a indústria e em laboratórios de pesquisa, será necessário investimento coletivo em postura de segurança específica para agentes: benchmarks compartilhados, normas públicas, padrões comuns de identidade e red teams entre fornecedores

Resumo dos princípios centrais

• Projete a contenção primeiro na camada de ambiente e só depois ajuste o comportamento na camada do modelo — os dois incidentes que mais ensinaram (phishing contra funcionário e divulgação por allowlist de terceiro) foram ambos casos de egress em que os dados saíram por caminhos permitidos; nesse cenário, a camada do modelo não tem sinal anômalo a detectar, e a fronteira determinística é a última linha de defesa
• Ajuste a força do isolamento à capacidade de supervisão do usuário — um desenvolvedor que lê bash e um trabalhador do conhecimento que não lê não compartilham o mesmo modelo de ameaça; tanto impor atrito excessivo a especialistas quanto dar confiança excessiva a não especialistas leva ao fracasso
• Desconfie de componentes customizados — hipervisores, filtros de syscall e runtimes de contêiner consolidados passaram por muito mais validação adversarial; em todas as implantações, os primitives padrão resistiram, e foi o trabalho próprio em volta deles que revelou falhas
• Mesmo que agentes sejam uma nova categoria de software, interações em nível de sistema (ler arquivos, abrir sockets, criar processos) não são novas, então a contenção com ferramentas maduras continua sendo uma defesa centralmente eficaz