Análise revela sandbox gVisor e isolamento robusto em Claude Managed Agents, mas configuração padrão é permissiva

O gVisor não é um sandbox genérico: é uma camada de execução de código não confiável com 8 anos de maturidade em produção no Google, usada em Cloud Run, App Engine e GKE Sandbox. A Anthropic o adota como base estrutural, não como um adendo, para os Managed Agents. Isso significa que a proteção não depende só de seccomp ou namespaces Linux, mas de uma ABI reescrita em Go que intercepta ~70% das syscalls nativas. O fato de o PID 1 ser /process_api (não bash ou sh) e o uso de 9p filesystem confirmam que o runtime foi projetado desde o início para ser descartável e observável, não para rodar aplicações tradicionais.

O proxy de egresso com TLS inspection não é só um filtro: ele é o único caminho para saída, com firewall de rede bloqueando até mesmo conexões TCP diretas para 8.8.8.8. Mas o JWT exposto no ambiente é um risco operacional real, não teórico. Ele entrega ao agente, por padrão, o UUID da organização, o session_id e seis hosts adicionais não documentados (como api-staging.anthropic.com), mesmo em modo restrito. Isso viola o princípio de mínima divulgação: um atacante com prompt injection não precisa quebrar o sandbox, só extrair esse token e planejar exfiltração para um dos hosts permitidos.

Em 2026-05-21, a Anthropic corrigiu uma falha crítica de bypass no sandbox do Claude Code via null-byte SOCKS5, um problema de implementação de rede. Agora, nos Managed Agents (lançados em 2026-04-08), a rede é totalmente desacoplada do sandbox: nenhuma ferramenta de rede está instalada, /etc/resolv.conf está vazio e o próprio DNS é feito pelo proxy. A defesa mudou de 'filtrar tráfego' para 'eliminar a pilha de rede dentro do contêiner'. Também houve evolução na gestão de segredos: enquanto o Claude Code ainda dependia de variáveis de ambiente para algumas credenciais, os Managed Agents isolam vault secrets por design, elas nunca entram no sandbox. Essa mudança estrutural foi confirmada pela Pluto Security em abril de 2026 e agora está em produção.

Agentes autônomos não são apenas mais rápidos, são superfícies de ataque novas. Um agente com always_allow habilitado e rede irrestrita pode, em segundos, ler todos os arquivos, executar comandos shell, fazer buscas web e enviar dados para qualquer endpoint autorizado. A segurança não está na inteligência do modelo, mas na rigidez da infraestrutura que o contém. Se sua equipe usa Managed Agents em produção sem hardening, está rodando código não confiável com privilégios root, acesso total à rede e visibilidade de todos os tokens não vault, tudo isso por padrão. E isso não é um bug: é a configuração inicial documentada pela Anthropic no quickstart.