Claude Cage: Sandbox Docker para Segurança de Código Claude
O que o Claude Cage faz
Um desenvolvedor no r/ClaudeAI criou um contêiner Docker chamado Claude Cage para abordar preocupações de segurança ao usar o Claude Code. A ferramenta bloqueia o Claude em uma única pasta de trabalho, impedindo que ele acesse arquivos sensíveis fora desse diretório.
Problema de segurança identificado
O desenvolvedor percebeu que cada comando de shell que o Claude Code executa tem as mesmas permissões da conta do usuário. Isso significa que o Claude pode ler:
- Diretório ~/.ssh
- Credenciais ~/.aws
- Perfis do navegador
- Arquivos pessoais
- Arquivos .env de outros projetos
Como o Claude Cage funciona
O contêiner Docker restringe o Claude a ver apenas seu código e nada mais. Ele inclui:
- Um claude md que carrega cada sessão com regras de segurança incluindo:
- Não escrever segredos em arquivos
- Não fazer push forçado
- Não executar comandos destrutivos sem confirmação
- Um settings.json que bloqueia padrões bash perigosos
Configuração e desenvolvimento
A configuração leva cerca de 2 minutos se você tiver o Docker instalado. O desenvolvedor usou o Claude Code para ajudar a construir e aprimorar a ferramenta, e está aberto a sugestões para regras de segurança adicionais.
O repositório GitHub está disponível em: https://github.com/jcdentonintheflesh/claude-cage
📖 Read the full source: r/ClaudeAI
👀 See Also
ThornGuard: Um Gateway Proxy para Proteger Conexões de Servidores MCP contra Injeção de Prompt
ThornGuard é um proxy que fica entre clientes MCP e servidores upstream, escaneando o tráfego em busca de padrões de injeção, removendo PII e registrando em um painel. Foi desenvolvido após testes revelarem vulnerabilidades em que servidores poderiam incorporar instruções ocultas em respostas de ferramentas.
Cavalo de Troia encontrado nos arquivos skill.md do repositório Claude Flow
Um repositório do GitHub contendo arquivos de habilidades do Claude Flow foi encontrado contendo um Trojan identificado como JS/CrypoStealz.AE!MTB. O malware foi ativado automaticamente quando uma IDE baseada em IA abriu a pasta para ler os arquivos markdown.
Três alternativas de código aberto ao litellm após o ataque à cadeia de suprimentos do PyPI
As versões 1.82.7 e 1.82.8 do litellm no PyPI foram comprometidas com malware que rouba credenciais. Três alternativas de código aberto incluem Bifrost (baseado em Go, ~50x mais rápido na latência P99), Kosong (orientado a agentes do Kimi) e Helicone (gateway de IA com análises).
A ferramenta de busca de conversas do Claude ainda retorna chats excluídos
Um usuário do Claude Pro descobriu que conversas excluídas permanecem recuperáveis através da ferramenta de busca de conversas do Claude, retornando conteúdo substantivo incluindo títulos, contagens de mensagens e trechos, apesar dos links do chat estarem inativos.