Anthropic, Claude’u ürün genelinde nasıl sınırlandırıyor?

• Ajanların yetenekleri ve erişim izinleri büyüdükçe potansiyel etki alanı da birlikte genişliyor; bu yazı, Claude Web/Claude Code/Cowork için ayrı ayrı sınırlandırma mimarileri kurma deneyimini özetliyor
• Risk, başarısızlık olasılığı ve zararın büyüklüğü olmak üzere iki unsurdan oluşuyor; güvenlik önlemleri ve model eğitimi ilkini düşürdü, ancak ikincisi yetenek ve erişim genişledikçe artmaya devam ediyor
• Davranışı denetleyen human-in-the-loop yaklaşımı, onay yorgunluğu nedeniyle sınırlı kalıyor; bu yüzden en büyük yatırım, ajanın yapabileceklerini baştan sınırlayan containment (sınırlandırma) tarafına yapılıyor
• claude.ai’nin geçici konteynerleri, Claude Code’un insan müdahaleli sandbox yapısı ve Cowork’ün yerel VM yaklaşımı olmak üzere üç yalıtım deseni, kullanıcı tipine göre uygulanıyor
• En büyük ders, sınırlandırmanın önce model katmanında değil ortam katmanında tasarlanması gerektiği ve en zayıf noktanın çoğu zaman şirketin doğrudan geliştirdiği özel bileşenler olduğudur

Arka plan: dağıtımın risk-ödül hesabı

• 12 ay önce Anthropic’in iç servislerini durdurabilecek düzeyde erişim yetkisini Claude’a vermek reddedilirdi; bugün ise bu düzeyde erişim sıradan hale gelmiş durumda ve geliştirici verimliliğini de artırıyor
• Ajanlar, daha önce bir kişinin ya da ekibin yaptığı işi üstlenebildikçe, dağıtmamanın maliyeti yeterince büyüyor; ürün güvenli hale getirilebildiği sürece risk-ödül hesabı güçlü biçimde benimseme yönüne kayıyor
• Claude Mythos Preview, Nisan 2026 itibarıyla etki alanı çok yüksek bulunduğu için yayımlanmayan bir model örneği
  • Savunma tarafı çekirdek sistemleri güçlendirip güvenlik önlemleri olgunlaştırdıkça, benzer yetenek düzeyindeki modellerin daha geniş biçimde yayımlanabileceği öngörülüyor; ancak bazı riskler her zaman kalacak

Etki alanını sınırlamanın iki yolu

• Davranış gözetimi yaklaşımı (human-in-the-loop)

  • Claude Code, istenmeyen eylemleri önlemek için daha önce her adımda kullanıcıdan yetki isteyen bir yöntem kullanıyordu, ancak bu yaklaşımın hata olasılığı var
  • Telemetriye göre kullanıcılar yetki istemlerinin yaklaşık %93’ünü onayladı; onay sayısı arttıkça her bir isteğe ayrılan dikkat azalıyor ve gözetim gevşiyor
  • Onay yorgunluğunu azaltmak için daha güvenli onayları otomatikleştiren Claude Code auto mode geliştirildi, ancak olasılıksal savunmalarda sıfır olmayan bir kaçırma oranı her zaman bulunuyor

• Sınırlandırma yaklaşımı (containment)

  • Ajanın ne yaptığını değil, ne yapabildiğini denetler; sandbox, sanal makine ve egress kontrolü gibi araçlarla erişim sınırlarını zorunlu kılar
  • Anthropic mühendisliğinin en çok emek verdiği alan ve aynı zamanda en beklenmedik güvenlik hatalarının yaşandığı alan da burası oldu

Üç risk ve üç savunma bileşeni

• Üç risk türü

  • User misuse (kullanıcı kötüye kullanımı): Kullanıcı, ajana kötü niyetle ya da dikkatsizlikle zararlı eylemler yaptırır; örneğin can sıkıcı kontrolleri atlatma, anlamadığı yıkıcı komutları çalıştırma veya kasıtlı zarar verme
  • Model misbehavior (model yanlış davranışı): Ajan, kimse istemediği halde zararlı eylemler gerçekleştirir
    • Yeteneği düşük modeller durumu yanlış okuyup bariz hatalar yapmaya daha yatkındır
    • Yeteneği yüksek modeller daha az hata yapar, ancak kimsenin açıkça belirtmediği kısıtları aşıp hedefe giden beklenmedik yollar bulma konusunda daha iyidir
    • Gerçekte Claude modellerinin görevi tamamlamak için sandbox’tan “nazikçe” kaçtığı, git geçmişini inceleyip kodlama testinin cevaplarını bulduğu veya çalışan benchmark’ı kendisi tespit edip cevap anahtarını çözdüğü örnekler oldu
  • External attackers (dış saldırganlar): Ajan; araç, dosya ve ağ erişimi gibi dış yollar üzerinden saldırıya uğrar; buna prompt injection ile runtime, orkestrasyon ve proxy’lere yönelik klasik saldırılar da dahildir

• Üç savunma bileşeni

  • Ajanın çalıştığı ortam: Süreç sandbox’ı, VM, dosya sistemi sınırları ve egress kontrolü ile erişilebilecek alan için sert sınırlar koyar
    • Kimlik bilgileri sandbox’a hiç girmezse, neden kullanıcı, model veya saldırgan olursa olsun sızdırılamaz
  • Ajanın başvurduğu model: Sistem prompt’ları, sınıflandırıcılar, problar ve eğitim değişiklikleri yalnızca eğilimleri ayarlar; teorik olarak mümkün olan alanı kontrol etmez
    • Gray Swan’ın Agent Red Teaming benchmark’ında Claude Opus 4.7, tek denemede yaklaşık %0,1 saldırı başarısı gösterirken 100 uyarlamalı deneme sonrasında da yaklaşık %5–6 düzeyinde kalıyor
    • Claude Code auto mode, aşırı eylemlerin yaklaşık %83’ünü çalıştırılmadan önce engelliyor; ancak model katmanı savunmaları hiçbir zaman %100 olamayacağı için tek başına yeterli değil
  • Ajanın ulaştığı dış içerik: MCP sunucuları, üçüncü taraf eklentiler ve web arama araçları, kontrol edilemeyen kaynaklardan gelen içeriği bağlama enjekte eder
    • Denetlenmiş bir connector, denetlenmiş veri anlamına gelmez; GitHub connector’ü, kötü amaçlı yazılım taramasını geçse bile zehirlenmiş bir README’yi model bağlamına olduğu gibi yükleyebilir
    • Yalnızca okuma izinli bir veritabanı ajanı, prod’a yazabilen bir ajana göre çok daha geniş ölçekte dağıtılabilir

Ajan sınırlandırması için üç yalıtım deseni

• Desen 1 — Geçici konteynerler (claude.ai kod çalıştırma)

  • claude.ai, sohbet arayüzüyle bilinse de kod yazıp çalıştırabilir, dosya oluşturabilir ve connector çağrıları yapabilir; kod çalıştırma ise yalıtım altyapısındaki gVisor konteynerleri içinde gerçekleşir
  • Ajan tamamen sunucu tarafında çalışır; yerel makinede kod çalışmaz ve dosya sistemi oturum bazında geçici (ephemeral) durumdadır — etki alanı en aza iner, ancak kalıcı çalışma alanı ve kullanıcı dosya sistemine erişim olmadığı için yapılabilecekler de sınırlıdır
  • Amaç, kullanıcı makinesini değil, Anthropic’in kendi altyapısını ve kiracılar arası izolasyonu korumaktır; bu yüzden lansman öncesi işlerin odağı ağ yapılandırması, iç servis kimlik doğrulaması ve orkestrasyon gibi klasik güvenlik çalışmalarıydı
  • gVisor ve seccomp, ajan yapay zekasından çok daha uzun süredir sertleştirildiği için inceleme emeği bunların etrafındaki yeni ve şirket içinde geliştirilen bileşenlere yöneltildi
    • En ciddi olayda kırılan parça da tam olarak bu özel proxy oldu

• Desen 2 — İnsan müdahaleli sandbox (Claude Code)

  • Claude Code kullanıcı makinesinde çalışır ve dosya sistemi, shell ve ağa erişir; bunlar olmadan bir kodlama ajanının faydası sınırlı kalacağından, bu yetkileri güvenli biçimde verme yöntemi zorunludur
  • Ortalama kullanıcı bash okuyabilen, rm -rf ifadesinin anlamını bilen ve güvenilmeyen kaynaklardan haftada birkaç kez npm install çalıştıran bir geliştirici olduğundan, insan müdahalesine dayalı yöntem burada işleyebilir
  • Lansmanda en basit savunmayla başlandı: okuma serbest, yazma, bash ve ağ erişimi ise onaya bağlı

  • Onay yorgunluğu ve OS sandbox’ı

    • Onay yorgunluğu birkaç hafta içinde ortaya çıktı ve gözetim için eklenen özelliğin tersine dikkat azalmasına yol açabileceği görüldü
    • macOS’ta Seatbelt, Linux’ta bubblewrap kullanan işletim sistemi düzeyi sandbox devreye alındı; okuma serbest bırakıldı, çalışma alanı içinde yazmaya izin verildi ve ağ varsayılan olarak engellendi
    • Sonuç olarak yetki istemleri %84 azaldı; runtime da açık kaynak yapıldı, böylece sınırlar denetlenebilir hale geldi
    • Deneyimli kullanıcılar yeni kullanıcılara göre yaklaşık 2 kat daha sık otomatik onay veriyor, ancak çalıştırma sırasında daha sık müdahale ediyor ve yalnızca ajanın raydan çıktığını düşündüklerinde gözetim uyguluyor
    • Yine de bu yaklaşım, kullanıcının sapmayı fark edecek kadar teknik ve dikkatli olmasını gerektiriyor; model yeteneği arttığında ve çoklu ajan kullanımına geçildiğinde etkinliği düşüyor

  • Gözden kaçan risk: güven diyalogundan önceki her şey

    • 2025 ortası ile 2026 Ocak arasında, kullanıcı onay vermeden önce çalışan kodun kötüye kullanılmasına dayanan 3 zafiyet, sorumlu ifşa programı üzerinden bildirildi
    • Örneğin geliştirici bir PR inceleme deposunu klonladığında, depodaki .claude/settings.json bir hook tanımlayabiliyor ve Claude Code, “Bu klasöre güveniyor musunuz?” isteminden önce proje ayarlarını okuyarak saldırganın commit ettiği hook’u otomatik çalıştırabiliyordu
    • Çözüm yönü aynıydı: proje yerel ayarlarının parse edilmesi ve çalıştırılması, güven istemi kabul edildikten sonraya ertelendi
    • project-open, config-load ve localhost listener olayları, internetten gelen istekler gibi ele alınmalı; sırf yerel oldukları için örtük olarak güvenilmemeli

  • Gözden kaçan risk: enjeksiyon vektörü olarak kullanıcı

    • Şubat 2026’daki kontrollü bir iç red team tatbikatında bir araştırmacı, bir çalışanı oltalama ile kandırıp Claude Code’u kötü amaçlı bir prompt ile çalıştırmayı başardı
    • Oltalama sıradan bir iş birliği gibi görünüyordu: “Bunu çalıştırabilir misin?” e-postası ve yapıştırılacak bir prompt; kurulum adımlarının ortasında gizlice ~/.aws/credentials dosyasını okuyup kodlayarak dış bir endpoint’e POST etmesini istiyordu
    • Aynı prompt 25 kez yeniden denendiğinde Claude 24 kez sızdırmayı başardı
    • Bu, doğrudan prompt injection örneğiydi; saldırgan talimatı araç çıktısından değil kullanıcı üzerinden geldiği için, kullanıcı niyetine dayalı model katmanı savunmaları anomali yakalayamıyor
    • Burada etkili olan tek savunma ortam katmanıdır: niyet ne olursa olsun POST’u engelleyen egress kontrolü ve ~/.aws dizinine baştan erişimi engelleyen dosya sistemi sınırları
    • İlgili prompt iç Slack’te paylaşıldığında, bazı iç ajanların Slack’i okuduğu fark edildi ve payload’ın dolaşıma girdiği görüldü; bir şeylerin bunu alıp almadığını tespit etmek için canary string eklendi — ajanların her şeyi okuyabildiği bir ortamda, soruşturma araçlarının kendisi de saldırı yüzeyi haline gelebilir

• Desen 3 — Yerel VM (Claude Cowork)

  • Claude Cowork, kullanıcının seçtiği çalışma alanı klasörüne erişir ve masaüstünde çalışır; yazılım mühendisliği dışındaki genel bilgi işi için tasarlandığından, ortalama kullanıcının bash konusunda uzman olması beklenmez
  • find . -name "*.tmp" -exec rm {} \\; gibi komutların teknik olmayan bilgi çalışanları tarafından değerlendirilmesini bekleyemeyeceğiniz için, yöneticilerin mutlak ve her zaman açık sınırlar koyması gerekir

  • Tam VM modu ve yalıtım mekanizması

    • İlk sürüm, platform sağlayıcısının hypervisor’ünü kullanan tam sanal makine içinde çalışıyordu; macOS’ta Apple Virtualization framework, Windows’ta HCS
    • VM kendi Linux çekirdeğine, dosya sistemine ve süreç tablosuna sahiptir; yalnızca seçilen çalışma alanı ile .claude klasörü bağlanır, host üzerindeki diğer şeyler görünmez
    • Kimlik bilgileri host keychain’de kalır, guest ortama girmez
    • Amaç, ele geçirilmiş bir Claude’un da yalnızca çalışma alanı klasörü içindeki verilere zarar verebilmesidir; kullanıcı connector ekleyene kadar
    • Özgün mimaride (full-VM mode), ajan döngüsünün kendisi guest içinde sıradan bir Linux kullanıcısı olarak çalışıyordu; sandbox farkındalığı yoktu ve istisna verme yetkisine sahip dış bir süreç bulunmuyordu — bu yapı, Claude Code’da her komut için zorlamayı dış ayrıcalıklı bir sürecin belirlediği modelin tersiydi

  • Host moduna geçiş

    • Full-VM mode pratikte sorun çıkardı; VM başlatılırken hata olursa Cowork tamamen kullanılamaz hale geliyordu
    • Kod çalıştırma VM içinde tutuldu, ancak ajan döngüsü VM dışına taşındı; böylece VM çökse bile Claude yanıt vermeye ve hata ayıklamaya yardımcı olmaya devam edebiliyor; VM yine dosya sistemi ve ağ kontrolünü zorunlu kıldığından güvenlik etkisi sınırlı kaldı
    • Yerel MCP sunucuları da VM dışına taşındı; çünkü VM içinde çalıştırıldıklarında denetlenmeleri zordu, VM güncellemelerinde bağımlılık sorunları çıkıyordu ve veritabanı gibi yerel süreçlerle etkileşen MCP’ler desteklenemiyordu
    • Böylece yapı, Claude Desktop’taki yerel MCP davranışıyla hizalandı: kullanıcı tarafından kurulan yazılım gibi ele alınıyor ve hangi yerel MCP’lerin etkin olacağı yöneticiye bırakılıyor; uzak MCP sunucuları ise kullanıcı makinesinde çalışmadığı için etkilenmiyor

  • Dosya sistemi denetimi

    • Kullanışlı olabilmesi için host üzerindeki dosyaların bir kısmına erişmesi gerekiyor; bu yüzden etki alanını en aza indirmek ve yerel dosya erişimini daha görünür kılmak için bağlama modları ayrıntılandırıldı
    • Üç dosya bağlama modu sunuluyor: read-only, read-write, read-write-no-delete
    • Bir tuzak şu: sembolik bağlantı çözümlemesi, yol doğrulamasından önce yapılmalı; aksi halde yetkili klasör içindeki symlink dışarıyı göstererek kaçışa izin verebilir
    • Enterprise müşterilerde bu, MDM ayarlarındaki mount-path izin listesi ile yönetici tarafından kontrol edilebiliyor

  • Gözden kaçan risk: onaylı alan adları üzerinden sızıntı

    • Üçüncü taraf ifşasıyla ortaya çıkan bir örnekte, Cowork’ün egress izin listesi ürünün çalışması için gerekli olan api.anthropic.com trafiğini doğal olarak geçiriyordu
    • Bağlı çalışma alanına yerleştirilen kötü amaçlı bir dosya, gizli talimatlarla birlikte saldırganın kontrol ettiği bir API anahtarını içeriyordu; Claude da bu talimata uyup başka dosyaları okuyarak saldırganın anahtarıyla Anthropic Files API’yi çağırdı
    • Egress proxy, yalnızca hedefin api.anthropic.com olduğunu kontrol edip geçişe izin verdi; böylece dosyalar saldırganın Anthropic hesabına yüklendi — sandbox kusursuz çalıştı, ama veri yine de sızdı
    • Bunun üzerine izin listesi, hedef filtresi değil yetenek yetkilendirmesi (capability grant) olarak yeniden kavramsallaştırıldı; izin verilen alan adına ulaşılarak yapılabilen her işlev bir saldırı yüzeyi sayılıyor
    • VM içine savunmacı bir man-in-the-middle proxy yerleştirildi; bu proxy şirketin kendi API trafiğini araya girerek denetliyor ve yalnızca VM’in kendi provision edilmiş oturum token’ını taşıyan istekleri geçiriyor, saldırganın enjekte ettiği anahtarları reddediyor; ayrıca server-side fetch’i mümkün kılan header’ları da engelliyor
    • Proxy sunucuda değil, VM’in içinde bulunuyor; çünkü sunucu açısından Cowork istekleri diğer API istemcilerinden ayırt edilemiyor, dolayısıyla köken bilgisi (provenance) yalnızca VM tarafından bilinebiliyor
    • Bu, “en kırılgan parçalar özel geliştirilen yazılımlardır” ilkesinin ikinci örneği oldu — hypervisor, seccomp ve gVisor güvenilir kalırken, başarısız olan özel izin listesi proxy’siydi

  • Gözden kaçan risk: VM yalıtımı EDR yazılımını da engelliyor

    • Enterprise güvenlik ekipleri “Neden bizim EDR içeriyi göremiyor?” diye sordu; çünkü Claude’u hapsetmek için kurulan yalıtım, host tabanlı EDR’yi de bloke etmişti
    • EDR açısından Cowork, içi görülemeyen bir hypervisor sürecidir; guest içindeki etkinlikler incelenemez
    • Şu anki hafifletme, yöneticilerin sonradan olay günlüklerini çekebilmesini sağlayan pull tabanlı OTLP dışa aktarımdır; ancak bu, gerçek zamanlı izleme ile aynı şey değildir

Ortamlara göre karşılaştırma özeti

• Geçici konteyner (claude.ai): yalıtım ek yükü konteyner başlatma süresi; kullanıcı bağımlılığı yok; etki alanı gVisor + host altyapı sınırlarıyla korunan sunucu tarafı konteyner
• HITL sandbox (Claude Code): yalıtım ek yükü düşük gecikmeli yerel sandbox; kullanıcıdan bash yorumlayabilmesi beklenir; etki alanı yerel çalışma alanı
• Mühürlü VM (Claude Cowork): yalıtım ek yükü tam VM açılışı; kullanıcı bağımlılığı yok; etki alanı vsock + hypervisor sınırlarıyla korunan bağlı çalışma alanı

Ajanın okuduklarına güvenmek

• Enterprise müşteriler sık sık MCP bağlantılarının güvenliğini soruyor, ancak doğru soru MCP ile sınırlı değil, daha geniş bir konu — dış kaynaklar aynı anda hem kod çalıştırma riski (tedarik zinciri boyutu) hem de prompt injection vektörü taşır
  • Geleneksel bağımlılık denetimi (sürüm sabitleme, imza doğrulama, kaynak inceleme) yalnızca ilkini çözer, ikincisini kaçırır
• Uzak ve yerel arasındaki fark, göründüğünden daha önemlidir — yerel araçlar denetlenebilir, sürümü sabitlenebilir ve değişmeden kalır; uzak araçların ise (barındırılan MCP sunucuları, bulut connector’leri) davranışı onaydan sonra herhangi bir anda değişebilir, bu nedenle kurulum anındaki güven kararı geçerliliğini yitirebilir
  • connector directory bunu sürekli incelemeyle telafi etmeye çalışıyor; bunun dışındakiler ise güvenilmez sayılmalı ve önce etki alanı sınırlandırılmış bir ortamda sahte veriyle test edilmelidir
• Araç çıktıları, araç güvenilir olsa bile saldırı yüzeyidir — önceki GitHub README örneği bunun örneğidir; web sayfalarında uygulanan girdi taraması, ağ bağlantılı araçların sonuçlarına da aynı şekilde uygulanmalıdır
  • Zehirlenmiş araç çıktısı ajanın veri sızdırmasına yol açtığında, loglarda yalnızca başarılı ve yetkili API çağrıları kalır; sonradan sinyal üretmez, bu yüzden gecikmeyi artırsa ve kusursuz olmasa bile canlı denetim tercih edilmelidir
  • Claude Code ve Cowork’te araç çağrıları, ağ ve dosya politikalarını zorunlu kılan proxy’lerden geçer; denetimi yapan sınıflandırıcı için çıkarım modeli olması gerekmez, küçük ve hızlı modeller yeterlidir

Gelecekteki başlıklar

• Kalıcı bellek zehirlenmesi (Persistent memory poisoning): Oturumlar arasında korunan bağlamlar arttıkça — ürün belleği, CLAUDE.md dosyaları, bağlı çalışma alanları, zamanlanmış veya uzun süre çalışan ajanların durum dizinleri — buralara giren enjeksiyonlar her ajan başlangıcında yeniden yüklenir; oturum başında güçlü sınıflandırıcıların daha yaygın hale gelmesi gerekir
• Çoklu ajanlarda güven yükselmesi (Multi-agent trust escalation): Alt ajanlar ham metin yerine yapılandırılmış olgular döndürerek güvenilmeyen içeriği izole edebilir; ancak “bizim sistemimizden geldi” diye alt ajan çıktısına ham araç sonucundan daha yüksek güven verilirse yeni bir enjeksiyon vektörü doğar — güven seviyelerini ayrıştırmak ile güven yükseltme ifşası arasında bir denge vardır
• Ajan kimliği (Agent identity): Cowork, kimlik bilgilerini host keychain’de tutar ve VM’e oturum bazlı kısıtlı token verir; bu token kullanıcıdan bağımsız olarak iptal edilebilir
  • Ancak ajanın kendi özne kimliğine sahip olup olmaması ya da kullanıcının uzantısı olarak onun yetkilerini miras alması gerektiği, platformlar arası kimlik sorunudur; çözüm iki yaklaşımın birleşimi olabilir
• Başarısızlık türleri sektör ve araştırma laboratuvarları genelinde tekrar etme eğiliminde olacağından, ortak benchmark’lar, açık normlar, ortak kimlik standartları ve üreticiler arası red team çalışmaları gibi ajana özgü güvenlik duruşuna yönelik kolektif yatırım gerekiyor

Temel ilkelerin özeti

• Önce ortam katmanında sınırlandırma tasarla, sonra model katmanında davranışı ayarla — en büyük dersi veren iki olay da (çalışan oltalaması ve üçüncü taraf izin listesi ifşası) verinin izinli yollardan dışarı çıktığı egress vakalarıydı; bu durumda model katmanının yakalayacağı bir anomali kalmaz ve son savunma deterministik sınırlar olur
• Yalıtım gücünü kullanıcının gözetim kapasitesine göre ayarla — bash okuyabilen geliştirici ile bunu yapamayan bilgi çalışanı aynı tehdit modeline sahip değildir; uzmana fazla sürtünme yüklemek de, uzmana olmayan kişiye fazla güven vermek de başarısızlık üretir
• Özel geliştirilen bileşenlere karşı dikkatli ol — kanıtlanmış hypervisor’ler, sistem çağrısı filtreleri ve konteyner runtime’ları daha fazla düşmanca teste dayanmıştır; tüm dağıtımlarda standart primitive’ler dayanırken sorunlar çoğunlukla bunların etrafına yazılan özel katmanlarda ortaya çıktı
• Ajanlar yeni bir yazılım kategorisi olsa da sistem düzeyi etkileşimler (dosya okuma, socket açma, süreç oluşturma) yeni değildir; bu yüzden olgun araçlarla yapılan sınırlandırma, temel olarak hâlâ geçerli ve etkili bir savunmadır