name: sandbox-configuration description: Claude Code 沙盒化和隔离的中央权威。涵盖沙盒化 bash 工具、/sandbox 命令、文件系统隔离(阻止访问、自定义路径)、网络隔离(域名限制、代理支持)、操作系统级强制执行(Linux 上的 bubblewrap、macOS 上的 Seatbelt)、沙盒配置选项、逃生舱口(dangerouslyDisableSandbox、allowUnsandboxedCommands)以及沙盒安全限制。协助配置沙盒设置、理解隔离机制和故障排除沙盒问题。100% 委托给 docs-management 技能以获取官方文档。 user-invocable: false allowed-tools: Read, Glob, Grep, Skill
沙盒配置技能
强制:首先调用 docs-management
停止 - 在提供任何关于 Claude Code 沙盒化的响应之前:
- 调用
docs-management技能- 查询 用户的特定主题
- 基于 所有响应 EXCLUSIVELY 于加载的官方文档
跳过此步骤会导致过时或不正确的信息。
验证检查点
在响应之前,验证:
- [ ] 我是否调用了 docs-management 技能?
- [ ] 官方文档是否加载?
- [ ] 我的响应是否基于 EXCLUSIVELY 官方文档?
如果 ANY 复选框未勾选,停止并首先调用 docs-management。
概述
Claude Code 沙盒化和隔离的中央权威。此技能使用 100% 委托给 docs-management - 它不包含任何重复的官方文档。
架构: 纯委托与关键词注册表。所有官方文档通过 docs-management 技能查询访问。
何时使用此技能
关键词: sandboxing, sandbox, /sandbox, filesystem isolation, network isolation, bubblewrap, Seatbelt, dangerouslyDisableSandbox, allowUnsandboxedCommands, excludedCommands, httpProxyPort, socksProxyPort, domain restrictions, sandbox configuration, blocked access
在以下情况下使用此技能:
- 配置沙盒设置
- 理解文件系统隔离
- 设置网络隔离
- 故障排除沙盒阻止命令
- 理解操作系统级强制执行
- 配置逃生舱口
- 设置代理支持
用于 docs-management 查询的关键词注册表
当查询 docs-management 技能以获取官方文档时,使用这些关键词:
沙盒概述
| 主题 | 关键词 |
|---|---|
| 概述 | “sandboxing”, “sandboxed bash tool”, “/sandbox command” |
| 为什么沙盒 | “why sandboxing”, “approval fatigue”, “sandbox productivity” |
| 操作系统强制执行 | “bubblewrap”, “Seatbelt”, “OS-level enforcement” |
文件系统隔离
| 主题 | 关键词 |
|---|---|
| 默认行为 | “filesystem isolation”, “sandbox filesystem”, “default writes” |
| 阻止访问 | “blocked access”, “sandbox blocked patterns” |
| 自定义路径 | “custom allowed paths”, “custom denied paths” |
| 保护 | “critical file modification”, “filesystem protection” |
网络隔离
| 主题 | 关键词 |
|---|---|
| 域名限制 | “network isolation”, “domain restrictions”, “sandbox network” |
| 代理支持 | “httpProxyPort”, “socksProxyPort”, “custom proxy” |
| 用户确认 | “user confirmation domains”, “new domain approval” |
配置选项
| 主题 | 关键词 |
|---|---|
| 设置 | “sandbox configuration”, “sandbox settings” |
| 逃生舱口 | “dangerouslyDisableSandbox”, “allowUnsandboxedCommands” |
| 排除命令 | “excludedCommands”, “sandbox exclusions” |
| 安全限制 | “sandbox security limitations”, “domain fronting” |
快速决策树
你想做什么?
- 启用/禁用沙盒 -> 查询 docs-management: “sandboxing”, “/sandbox command”
- 配置文件系统访问 -> 查询 docs-management: “filesystem isolation”, “sandbox filesystem”
- 配置网络访问 -> 查询 docs-management: “network isolation”, “domain restrictions”
- 允许特定命令 -> 查询 docs-management: “excludedCommands”, “allowUnsandboxedCommands”
- 设置代理 -> 查询 docs-management: “httpProxyPort”, “socksProxyPort”
- 理解限制 -> 查询 docs-management: “sandbox security limitations”
主题覆盖
沙盒系统
- 沙盒化 bash 工具概述
- /sandbox 斜杠命令
- 为什么沙盒重要(批准疲劳、生产力、自主性)
- 操作系统级强制执行(Linux 上的 bubblewrap、macOS 上的 Seatbelt)
- 开源沙盒运行时
文件系统隔离主题
- 默认写入行为
- 默认读取行为
- 阻止访问模式
- 自定义允许和拒绝路径
- 防止关键文件修改
网络隔离主题
- 域名限制
- 新域名的用户确认
- 自定义代理支持
- 子进程的全面覆盖
- httpProxyPort 和 socksProxyPort 设置
配置选项主题
- dangerouslyDisableSandbox 逃生舱口
- allowUnsandboxedCommands 配置
- excludedCommands 列表
- 安全限制和考虑
故障排除快速参考
| 问题 | docs-management 的关键词 |
|---|---|
| 沙盒阻止命令 | “excludedCommands”, “allowUnsandboxedCommands” |
| 网络请求被阻止 | “network isolation”, “domain restrictions” |
| 文件系统访问被拒绝 | “filesystem isolation”, “blocked access” |
| 代理不工作 | “httpProxyPort”, “socksProxyPort” |
相关技能
- permission-management - 用于允许/拒绝/询问规则
- enterprise-security - 用于管理策略
- settings-management - 用于一般配置
版本历史
- v1.0.0 (2025-11-30): 初始发布(从 security-meta 拆分)
- 专注于沙盒化和隔离
- 纯委托架构
- 全面的关键词注册表
最后更新
日期: 2025-11-30 模型: claude-opus-4-5-20251101