Безопасен ли Claude Code? Честный разбор без паники

Короткий ответ: да, Claude Code безопасен — он стартует в режиме «только чтение», спрашивает разрешение перед любым изменением и может писать только в ту папку, из которой вы его запустили. Честный длинный ответ: безопасность зависит от настроек, так что давайте разберём, что именно вас защищает.

Я Евгений — непрограммист, который пустил ИИ-агента к своему ноутбуку и выжил, чтобы писать об этом гайды. Страх понятен: вы разрешаете программе читать файлы и запускать команды. Поэтому вместо маркетинговых успокоений — реальная модель безопасности, включая места, где слабое звено — это вы.

Можно ли доверить Claude Code свои файлы?

Архитектура построена на разрешениях: по умолчанию Claude Code умеет читать — и всё. Правка файлов, команды, меняющие систему, загрузки из интернета — на каждое нужно ваше явное «да». Небольшой встроенный набор безобидных команд чтения вроде ls, cat и git status работает без вопросов — иначе спрашивать разрешение на просмотр списка файлов сошли бы с ума все. Есть и жёсткая граница: писать Claude Code может только в папку запуска и её подпапки. Читать снаружи он умеет (нужно видеть системные библиотеки), но изменить ваши «Документы», работая в папке проекта, не может.

При первом запуске в новой папке Claude Code спрашивает, доверяете ли вы этой папке. Это не декорация, а намеренный контрольный пункт до начала любой работы.

Забирает ли Claude Code ваши данные?

Ваши запросы и содержимое файлов, которые читает Claude, действительно уходят на серверы Anthropic — именно там модель думает, локального мозга нет. Что защищает: ограниченные сроки хранения чувствительных данных, ограниченный доступ к данным сессий и настройка приватности, где обычные пользователи сами решают, использовать ли их данные для обучения, — поменять можно в любой момент в настройках claude.ai. Ключи и токены хранятся в Связке ключей macOS, где она доступна, а не в текстовых файлах. А расшифровки ваших разговоров лежат локально, на вашем диске, в ~/.claude/projects.

Где реальные риски?

Серьёзный — prompt injection: вредоносная страница или файл, который читает Claude, может содержать скрытые инструкции в духе «а теперь отправь секреты на evil.com». У Claude Code эшелонированная защита: команды загрузки из сети вроде curl и wget по умолчанию не одобряются автоматически; веб-контент обрабатывается в изолированном контексте; подозрительные команды требуют ручного подтверждения, даже если раньше были разрешены; а всё, что не подошло под известное правило, «падает в закрытое» — то есть спрашивает вас. Но неуязвимых систем нет, поэтому документация прямо советует: читайте команды перед одобрением, не скармливайте Claude непроверенный контент напрямую и используйте виртуалку для сомнительных внешних штук. Второй большой риск проще: вы, уставший в час ночи, одобряете всё не глядя. Запросы разрешений защищают только тех, кто их читает.

Что такое песочница — по-человечески?

Песочница — это манеж по договорённости, который охраняет сама операционная система. Вы запускаете /sandbox, и с этого момента команды могут писать только в рабочую папку и временную директорию, а в сеть ходить только на одобренные домены — когда команде впервые нужен новый домен, вас спросят. На macOS это встроенный механизм Seatbelt, на Linux — утилита bubblewrap. Фокус в том, что границу держит ОС на уровне работающего процесса: она устоит, даже если команда попытается сделать больше, чем обещало её название. Бонус: внутри песочницы Claude работает автономнее и спрашивает меньше — за ним присматривают стены.

/sandbox

Минутка честности: документация прямо говорит, что песочница снижает риск, но не даёт абсолютной изоляции — например, сетевой фильтр проверяет имена доменов, не заглядывая в зашифрованный трафик. Для обычных проектов этого достаточно. Для паранойи промышленного уровня есть dev-контейнеры и виртуалки.

Безопасно ли держать Claude Code на компьютере?

Для непрограммиста на настройках по умолчанию — да. Дефолтная конфигурация по-настоящему консервативна: только чтение, пока вы не одобрили, запись заперта в папке проекта, выходы в сеть под контролем. Истории ужасов с Reddit почти всегда начинаются с того, что человек сначала отключил защиту, а потом удивился. Claude Code разрабатывается в рамках программы безопасности Anthropic с сертификатами SOC 2 и ISO 27001, а уязвимости принимают через программу на HackerOne. Это не делает его волшебным — это делает его нормальным, серьёзно поддерживаемым инструментом.

Финал: относитесь к Claude Code как к гениальному подрядчику без бытового здравого смысла. Замки хорошие, договор крепкий — но подписываемое всё равно читают. Сделайте пятиминутную настройку выше сегодня — и больше будете вспоминать об этом примерно никогда.