Sandbox Isolation

定义

操作系统级别的隔离机制，即便 Permission Engine 放行了某些操作，仍需假设代码可能存在未知风险或误操作。

在 Linux 环境下，通常基于 bubblewrap (bwrap) 构建轻量级沙箱（对应代码中约 986 行的 sandbox-adapter.ts）。

通过只读挂载根目录和白名单目录机制，防止 Agent 随意篡改系统关键文件。

利用独立的 Network 和 PID 命名空间，限制网络访问范围，防止进程逃逸。

强制以非 root 用户身份运行，从源头上杜绝提权风险。

沙箱并非"一刀切"。系统内部维护了一套智能决策逻辑（如 shouldUseSandbox 函数），它会检测命令特征。

对于那些需要交互式终端（TTY）、特殊网络设备或不兼容沙箱环境的命令，系统会自动识别并将其排除在沙箱之外，转为直接执行（当然，这通常会配合更严格的权限校验）。

这种"按需隔离"的策略，在安全性和兼容性之间找到了最佳平衡点。

Permission Engine 和 Sandbox Isolation 构成了 Claude Code 从规则驱动的权限控制，到环境级的沙箱隔离的安全防御体系。