Anthropicが提供するClaude Coworkは、安全性を確保するためにサンドボックス環境で動作しています。しかし、開発者のAaron Walker氏が、このサンドボックスの制限を回避する「Bridge」プロトコルを公開しました。ファイルシステムを介したRPC(リモートプロシージャコール)という独創的なアプローチで、制限された環境から外部リソースへのアクセスを可能にするこの手法は、技術的に興味深いハックです。
この記事のポイント
- Claude Coworkのサンドボックス制限をファイルベースのRPCで回避する手法
- JSONリクエスト/レスポンスファイルを使った「Bridge」プロトコルの仕組み
- セキュリティとユーザーコントロールのトレードオフについての考察
Bridgeプロトコルの仕組み
このシステムは、VM側(Cowork)とホスト側(Mac)の間でファイルを介して通信を行います。具体的には、共有ディレクトリ構造内の.bridge/requests/フォルダにJSONリクエストファイルを書き込み、ホスト側のウォッチャーがそれを監視・実行し、レスポンスを返すという流れです。
著者は「マウントされたフォルダ上のRPC」と表現しており、ネットワーク呼び出しの代わりにファイルをトランスポート層として使用するという発想が特徴的です。これにより、通常のネットワークベースの制限を迂回しつつ、比較的シンプルな実装で双方向の通信を実現しています。
解放される主要機能
このBridgeプロトコルを使用することで、以下のような制限された機能にアクセスできるようになります:
- 無制限のAPI呼び出し: 許可リストに載っていないドメインへのcurl/HTTPリクエスト
- 認証付きGit操作: 資格情報を使用したGitコマンドの実行
- Dockerの実行: ホストマシン上でのDockerコンテナの操作
- Claude間の委譲: ホストCLIを経由したClaude同士の連携
- 直接ファイルシステムアクセス: サンドボックス外のファイルへのアクセス
リクエストタイプとしては、exec、http、git、node、docker、prompt、env、fileなどが定義されており、生のシェルアクセスではなく、型付けされた操作として安全な境界が設けられています。
自動化レイヤー
単なるプロトコルだけでなく、実用的な自動化スクリプトも提供されています。バックグラウンドデーモンによるセッションの自動検出とブリッジ接続、システムプロンプトのインジェクションによる「ガードレール儀式」の削除、そしてモデル切り替えやツールのトグルなど、セッション設定をインフラストラクチャとして扱えるようになっています。
これらの自動化により、開発者は毎回手動で設定を行う必要がなくなり、より効率的なワークフローを構築できます。
セキュリティモデルについて
著者は、このアプローチについて「正式なサンドボックス保護をユーザーコントロールと交換する」と述べています。「SSHキーのように扱ってください:便利で強力、そして尊重する価値がある」という表現は、このツールの性質をよく表しています。
つまり、サンドボックスを無効化することで得られる自由度と引き換えに、セキュリティの責任はユーザー自身が負うことになります。これは上級ユーザー向けのアプローチであり、何をしているか理解した上で使用する必要があります。
知っておくと便利なTips
- このような制限回避手法は、公式にサポートされていないため、アップデートで動作しなくなる可能性がある
- 本番環境での使用は推奨されず、あくまで開発・実験目的での利用を想定
- セキュリティリスクを理解した上で、自己責任で使用すること
まとめ
Aaron Walker氏が公開したClaude Coworkの「Bridge」プロトコルは、ファイルシステムを介したRPCという独創的なアプローチでサンドボックスの制限を回避する手法です。技術的には非常に興味深いハックですが、セキュリティとのトレードオフが存在することを忘れてはいけません。公式機能ではないため、使用する場合はリスクを十分に理解した上で、開発環境での実験目的に限定することをお勧めします。Claude Coworkの今後のアップデートで、このような制限回避が難しくなる可能性もあるため、動向を注視しておくと良いでしょう。
📎 元記事: https://dev.to/eric_spector_f7653b21c7b1/this-is-sick-4p74
コメント