Bezpečnostné odporúčania pre Windows & macOS — Interný dokument · Marec 2026
Tento dokument popisuje odporúčané postupy pre izoláciu procesov pri práci s Claude Code. Cieľom je obmedziť potenciálne škody v prípade neočakávaného správania AI nástroja – napríklad neúmyselného mazania súborov alebo neautorizovaného prístupu k citlivým dátam.
Claude Code nikdy nespúšťajte s admin/root právami.
—
Izolované jednorazové prostredie – po zatvorení všetko zmizne. Ideálne pre rýchle experimenty.
Vytvor dedikovaného linuxového usera len pre Claude sessions:
# Vytvor dedikovaného usera pre Claude sessions sudo useradd -m claude-user sudo chmod 700 /home/claude-user # Spúšťaj Claude Code len ako tento user su - claude-user
/etc/wsl.conf/mnt/c/claude-work/Dedikovaná virtuálna mašina len pre Claude Code prácu.
—
Vytvor sandbox profil /tmp/claude.sb a spusti Claude s obmedzeniami:
(version 1) (deny default) (allow process-exec) (allow file-read* (subpath "/usr/")) (allow file-read* (subpath "/Library/")) (allow file-read-write* (subpath "/Users/user/projects/")) (allow network-outbound (remote tcp "*:443")) (deny file-write* (subpath "/Users/user/Documents/")) (deny file-write* (subpath "/Users/user/Desktop/"))
# Spustenie s profilom sandbox-exec -f /tmp/claude.sb claude
Mountni len projektový adresár – nie celý domovský priečinok:
# Spustenie s mountom len na konkrétny projekt docker run -it \ -v ~/projects/moj-projekt:/workspace \ --network=host \ claude-sandbox
Vytvor separátny systémový účet bez admin práv:
—
| Scenár | Odporúčané riešenie | Platforma |
|---|---|---|
| Rýchle experimenty | WSL2 user isolation / sandbox-exec | Win / Mac |
| Produkčný kód | Docker s explicitným mount | Obe |
| Citlivé firemné projekty | Hyper-V VM / Mac VM so snapshotmi | Win / Mac |
| Maximálna izolácia | Windows Sandbox / nový Mac user account | Win / Mac |
—
🔑 Kľúčové pravidlo: Claude Code nikdy nespúšťaj s admin/root právami.
Vždy mountuj len konkrétny projektový adresár – nie~/ani/.