/sandbox - 启用沙箱化 bash 工具
隔离文件系统与网络访问
概述
/sandbox 命令用于启用沙箱化 bash 工具,通过隔离文件系统与网络访问实现更安全的执行环境。
基本语法
/sandbox功能说明
执行 /sandbox 后,Claude Code 会:
- 启用沙箱化 bash 工具。
- 隔离文件系统访问。
- 限制网络访问。
- 控制系统资源使用。
- 提供更安全的执行环境。
沙箱特性
文件系统隔离
- 只能访问指定目录。
- 无法访问系统关键文件。
- 文件操作受限制。
网络隔离
- 限制网络访问。
- 控制网络连接。
- 防止未授权访问。
资源限制
- 限制 CPU 使用。
- 限制内存使用。
- 限制磁盘使用。
使用场景
1. 执行不可信代码
# 执行来自外部的代码
/sandbox
# 在沙箱中安全执行2. 测试脚本
# 测试未知脚本
/sandbox
# 隔离环境测试3. 自动化任务
# 执行自动化任务
/sandbox
# 安全地运行任务沙箱配置
配置文件
{
"sandbox": {
"enabled": true,
"allowedDirectories": [
"./project",
"./temp"
],
"networkAccess": "restricted",
"resourceLimits": {
"cpu": "50%",
"memory": "1GB",
"disk": "100MB"
}
}
}允许的目录
# 配置允许访问的目录
/sandbox --add-dir ./project
/sandbox --add-dir ./temp注意事项
- 沙箱会限制某些功能。
- 某些操作可能无法在沙箱中执行。
- 沙箱配置需合理设置。
- 沙箱不是完全隔离。
安全建议
最小权限原则
# 只允许必要的目录访问
/sandbox --add-dir ./project
# 限制网络访问
/sandbox --network restricted资源限制
# 限制资源使用
/sandbox --cpu-limit 50%
/sandbox --memory-limit 1GB与其他命令的配合使用
# 启用沙箱,然后执行命令
/sandbox
npm install
# 在沙箱中安全执行最佳实践
- 不确定时优先启用沙箱。
- 根据任务合理配置参数。
- 定期检查沙箱配置。
- 先在沙箱中测试再用于生产环境。
总结
/sandbox 命令提供更安全的执行环境,适合运行不可信脚本或高风险命令。