C.W.K.
Stream
More →
Lesson 03 of 06 · published

Security Sandbox 와 권한

~16 min · dispatch, security, sandbox, permissions

Level 0🌱 입문자
0 XP0/70 lessons0/11 achievements
0/120 XP to next level120 XP to go0% complete

사전-승인이 백지수표 신뢰 X

Dispatch 는 Cowork 보다 빡빡한 기본값 — present 하지 않으니까. 모델: Dispatch 가 허용된 모든 거가 글로 미리 declare 됨. 사전-declare 밖 모든 거 자동 거부 — Dispatch 가 "사용자한테 ask" 로 fallback X (사용자 기차에 있으니까).

세 레이어: filesystem allowlist (특정 경로, 경로별 read vs read+write), application allowlist (리스트된 앱만 열기/조작 가능), tool denylist (SendEmail, DeleteFiles, PostToSocialMedia 같은 작업이 기본 off, 명시적 grant 필요). 네트워크 access 가 이미 승인된 MCP connector 로 제약.

Audit: 모든 Dispatch 작업이 ~/Library/Logs/Claude/dispatch-audit.jsonl 에 write — 작업 id, timestamp, 쓴 도구, 만진 파일, 한 MCP 호출. 집 와서 끝난 일 더미 발견하면, audit 로그가 신뢰 검증.

Code

A locked-down dispatch-policy.json·json
{
  "dispatch": {
    "allowedPaths": {
      "~/DispatchWork":          ["read", "write"],
      "~/Documents/Finance":     ["read"],
      "~/Desktop":               ["write"]
    },
    "allowedApps":   ["Safari", "Finder", "TextEdit", "Preview"],
    "deniedTools":   ["SendEmail", "DeleteFiles", "PostToSocialMedia"],
    "network": {
      "mcpOnly":   true,
      "allowlist": ["api.anthropic.com", "mcp.notion.com"]
    },
    "auditLog": {
      "enabled": true,
      "path":    "~/Library/Logs/Claude/dispatch-audit.jsonl"
    }
  }
}
An audit log entry·json
// ~/Library/Logs/Claude/dispatch-audit.jsonl (one line per event)
{
  "ts": "2026-05-04T08:23:11Z",
  "task_id": "dsp_x7k9m2",
  "user": "you@example.com",
  "intent": "summarize Q4 earnings, save to ~/Desktop",
  "tools_used": ["Read", "Write"],
  "files_read": ["/Documents/Finance/q4-earnings.pdf"],
  "files_written": ["/Desktop/exec-summary-q4.pdf"],
  "mcp_calls": [],
  "duration_ms": 24818,
  "status": "completed"
}

External links

Exercise

Dispatch 정책 lock down: Dispatch 가 read 할 모든 경로, write 할 모든 경로, 조작할 모든 앱 리스트. 정직하게 가능한 한 deny 리스트 길게. 실패해야 할 작업 보내 (forbidden 경로에 write) — 거부되는지 확인.

Progress

Progress is local-only — sign in to sync across devices.
← Previous요구사항과 SetupNext →원격 작업 위임 패턴
이 페이지에서 버그를 발견하셨거나 피드백이 있으세요?문제 신고

댓글 0

🔔 답글 알림 (로그인 필요)
로그인댓글을 남기려면 로그인해 주세요.

아직 댓글이 없어요. 첫 댓글을 남겨보세요.