Anthropic'in yapay zeka asistanı Claude'un "Cowork modu"nu destekleyen Linux kapsayıcı ortamı detaylandırıldı. Bu ortam, ARM64 mimarisi üzerinde çalışan hafif ve yüksek düzeyde sanallaştırılmış bir Ubuntu 22.04 LTS sanal makinesidir. Temel amacı, ana sistemden katı bir izolasyon sağlayarak güvenli kod yürütme yetenekleri sunmaktır. Sanal makine, 4 ARM64 CPU çekirdeği, 3.8 GiB RAM ve 10 GB'lık iki NVMe diski gibi kaynaklarla donatılmıştır. Güvenliği artırmak için donanımsal kriptografik hızlandırma ve pointer authentication gibi gelişmiş ARM64 özellikleri kullanılmaktadır.
Ortamın güvenlik mimarisi oldukça sağlamdır. Bubblewrap, ağ ve PID izolasyonu sağlayarak birincil sandboxing mekanizması olarak görev yapar. Ayrıca, ayrıcalık yükseltmelerini önleyen NoNewPrivs etkinleştirilmiş ve tüm yetenekler düşürülmüş (capabilities dropped) katı seccomp filtrelemesi uygulanmıştır. Sistem çağrısı kısıtlamalarını zorlamak için özel bir BPF programı da kullanılmaktadır. Tüm ağ trafiği, yerel tüneller aracılığıyla proxy'lenir ve socat süreçleri, Unix soketleri üzerinden ana sisteme iletimi gerçekleştirir. Bu detaylı izolasyon ve güvenlik önlemleri, kullanıcı kodunun güvenli bir şekilde çalıştırılmasını garanti ederken, ana sistemin bütünlüğünü korur.
Dosya sistemi yapısı da dikkat çekicidir; /sessions dizini kullanıcı oturumlarına ayrılmıştır ve .claude, .skills, outputs ve uploads gibi önemli dizinleri içerir. Özellikle .skills ve outputs dizinleri, ana sistemdeki dosya sistemi konumlarını kontrollü izinlerle eşlemek için bindfs kullanır. Bu yapı, Claude'un farklı beceri modüllerini ve kullanıcı tarafından oluşturulan çıktıları güvenli bir şekilde yönetmesine olanak tanır. Bu sayede, yapay zeka asistanının karmaşık görevleri yerine getirirken hem performans hem de güvenlik açısından optimize edilmiş bir çalışma ortamı sunulmaktadır.
Claude AI'ın Cowork modu için geliştirilen bu sanal makine ortamı, yapay zeka uygulamalarında güvenli kod yürütme ve izolasyonun nasıl sağlanabileceğine dair kapsamlı bir örnek sunuyor.