Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Claude Code se dote d’une sandbox, d’une version web et d’une ébauche mobile

Refuge sableux

Claude Code se dote d’une sandbox, d’une version web et d’une ébauche mobile

Anthropic

Le très populaire Claude Code se dote désormais d'une sandbox pour un fonctionnement isolé sur des dossiers et serveurs spécifiques. Parallèlement, Anthropic lance une version web de son outil, ainsi qu'une variante mobile, pour l'instant dans Claude pour iOS.

Le 21 octobre à 11h12

Claude Code, destiné au vibe coding, vient de recevoir de nouvelles moutures (en bêta) destinées à le rendre plus facilement utilisable partout. D’abord, une version web, qui permet de lancer plusieurs sessions « sans avoir à ouvrir le terminal », vante Anthropic.

Des préversions pour le web, iOS et Android

Cette mouture autorise la connexion à des dépôts GitHub et le lancement de tâches automatiques, comme avec l’application Claude Code. Comme l’explique l’entreprise, chaque session dispose de son propre environnement isolé avec suivi de la progression en temps réel, tout en laissant la possibilité d'aiguiller l’agent pendant qu’il travaille pour lui faire changer de « cap ». Si plusieurs tâches sont lancées simultanément, elles peuvent être consultées via la colonne de gauche.

« Avec Claude Code fonctionnant dans le cloud, vous pouvez désormais exécuter plusieurs tâches en parallèle sur différents référentiels à partir d’une seule interface et livrer plus rapidement grâce à la création automatique de pull requests et à des résumés de modifications clairs », déclare Anthropic dans son billet de blog.

Sur la version mobile, Anthropic en dit moins. Elle est davantage décrite comme un « avant-gout », l’entreprise promettant d’améliorer « rapidement l’expérience » en fonction des retours. Cette application semble surtout conçue pour explorer le développement avec Claude lors des déplacements qu’un outil de travail complet, du moins pour l’instant. En outre, elle n’est pour l’instant disponible que sous forme d’intégration dans l’application Claude pour iOS. Il n’est pas fait mention de la mouture Android.

L’introduction d’une sandbox

Moins visible et peut-être plus importante, l’annonce de la sandbox entraine des changements dans le fonctionnement interne de Claude Code, avec des conséquences pour ses fonctionnalités.

Comme Anthropic l’explique dans un billet dédié, « Claude écrit, teste et débogue le code à vos côtés, en naviguant dans votre base de code, en modifiant plusieurs fichiers et en exécutant des commandes pour vérifier son travail. Donner à Claude autant d’accès à votre base de code et à vos fichiers peut présenter des risques, notamment dans le cas d’une injection rapide ».

C’est pour réduire ces risques que deux fonctions, basées sur le sandboxing, sont introduites dans Claude. Première conséquence, une chute de 84 % dans les demandes d’autorisations, selon Anthropic. Jusqu’à présent, Claude Code travaillait uniquement en lecture seule, avec un modèle basé sur les permissions. Presque toutes les modifications ou exécutions de commandes demandent une autorisation.

Fonctionnement de la sandbox dans Claude Code, crédits : Anthropic

Anthropic indique cependant que les développeurs peuvent ressentir une « fatigue de l’approbation », avec pour conséquence des acceptations automatiques, sans vraiment prêter attention à ce qui est demandé. Pour contrer ce problème, le « bac à sable » crée des limites prédéfinies dans lesquelles Claude Code est libre, du moins dans la plupart des scénarios d'utilisation.

Quand la sandbox est activée, le système de fichiers et le réseau peuvent être isolés. Dans le premier cas, Claude ne peut alors accéder qu’aux dossiers spécifiquement pointés par les développeurs. Dans le second, Claude ne peut se connecter qu’à des serveurs approuvés, ce qui devrait notamment empêcher une instance contaminée par une injection « de divulguer des informations sensibles ou de télécharger des logiciels malveillants ».

Des fonctions pour l'instant optionnelles, sauf pour la version web

En cas d’activation de la sandbox, Anthropic recommande fortement les deux isolations. Une fois les dossiers et serveurs définis, Code peut évoluer presque librement dans l’espace ainsi configuré. Si une demande entraine un accès hors des conditions fixées pendant la configuration, une demande d’autorisation apparaitra.

Avec la sandbox vient un outil bash pour en manipuler les paramètres. Il permet notamment d’envoyer des processus spécifiques dans la sandbox, ainsi que des agents ou encore des serveurs MCP. Ces composants se servent de primitives natives au système d’exploitation.

Toutes ces fonctions sont fournies sous forme de préversions et peuvent donc changer. Notez que si la sandbox est une option dans l’application Claude Code, elle est nécessairement active pour sa version web, qui ne peut s’exécuter que dans ce contexte. En outre, le code du runtime de la sandbox est publié sur un dépôt GitHub sous licence Apache 2.0. Anthropic prévient que les API et formats de configuration peuvent évoluer pendant la phase de développement et donc casser la compatibilité.

Commentaires (13)

votre avatar
Un point absolument rédhibitoire de Claude Code est qu'il ne respecte pas les interdictions de lecture de fichier – typiquement, des fichiers contenant des variables sensibles (.env, fichiers de variables terraform, etc).
À voir si le sandboxing permet d'améliorer cela.
votre avatar
Pareil avec Cursor qui peut modifier un fichier contenant des credentials alors qu'on lui avait interdit l'accès...
votre avatar
Question d’amateur : c’est inclu dans l’abonnement de base à Claude ? Ça a un intérêt pour le dev de petits outils au format « page web » ?
votre avatar
Oui, Claude Code est inclus dans l'abonnement Pro.

Pour des petits outils, tout dépend du but :

- s'il est didactique, je le déconseille ; je trouve que l'utilisation d'IA générative a tendance à porter atteinte à la phase d'apprentissage, qui est nécessairement faite d'erreurs et de répétition ;
- s'il s'agit de créer rapidement des petits outils ad-hoc, oui, cela peut être pratique – la règle d'or restant de relire ce qui a été généré.

Après, nous sommes très (très) loin de ce qui est vendu par les bullshitteurs vibe-coders de LinkedIn. Mais entre les mains que quelqu'un sachant exactement quoi demander, et sachant surtout apprécier la pertinence de la réponse, Claude Code peut avoir un réel intérêt. Je l'utilise quotidiennement à titre professionnel, et je suis honnêtement agréablement surpris de l'aide qu'il peut m'apporter.
votre avatar
Claude Code, destiné au vibe coding
faut vraiment arrêter d'écrire ça
votre avatar
Pourquoi ?
votre avatar
parce que c'est faux ?
votre avatar
Nan mais c'était une vrai question :)
J'utilise Claude Code presque quotidiennement et pour moi cela ressemble à du vibe coding (écriture de fichiers basé sur des prompts) non ?
votre avatar
C'est ta définition du vibe coding qui est mauvaise.
votre avatar
Bon bah désolé mais je ne comprend toujours pas.
Pas grave.
votre avatar
Si j'ai bien compris, le vibe coding est une façon de travailler spéciale. La personne décrit ce qu'elle souhaite et l'IA fait tout. Il ne "reste plus" qu'à réagir en fonction du travail produit. Basiquement, on peut se voir comme un PO qui donne les specs et l'IA joue le rôle des développeurs. Le PO regarde le résultat et dit que ce n'est pas ça qu'il voulait…

Cursor et les autres IDE basés sur l'IA permettent plus de souplesse d'utilisation.
Par exemple, on peut l'imaginer en tant qu'assistant. Les règles du projet sont précisées dans des fichiers et l'IA peut être utilisé pour générer des alertes en cas de non-respect des règles, écrire des tests automatiques automatiquement…
On peut le voir comme un développeur junior. En tant que sénior, tu as fait l'architecture du projet, mis la fonction/classe au bon endroit et tu lui dis ce qu'elle doit contenir dedans, à lui de bosser.

Ce ne sont que quelques exemples d'utilisations. Il doit y en avoir bien d'autres.
votre avatar
C'est surtout une façon pour Next de dénigrer les assistants de code pour les faire passer pour des jouets servant uniquement au slop.
votre avatar
Je n'arrive pas à sentir de dénigrement de la part de Next.


Je trouve que c'est surtout le discours marketing des entreprises d'IA qui cible les PDGs et leur obsession :
chercher à augmenter le profit, résumé basiquement en "faire plus de vente avec moins de personnel"
donc, le discours va dire qu'un outil fait tout, tout seul, et super rapidement => le graal, voici mon argent !!!

C'est exactement ce que dit la vidéo ici.
Le manager signal qu'il y a 2 tickets à s'occuper dans les 90 minutes (comme si le développeur ne faisait rien…).
Le développeur a juste à dire à l'IA les deux soucis et tout est résolu immédiatement.
Suite logique : à quoi a servi le développeur ?
Corrolaire : générer du slop car ce n'est dit nulle part que le développeur va passer la plupart de son temps à lire la PR et tester pour s'assurer que ça fonctionne réellement si on utilise l'outil de cette manière.

Une fois ce constat posé, que pourrait faire un journaliste quand il retranscrit ce genre de communication ?
Pour moi, il vaudrait mieux faire d'autres articles narrant les utilisations avec les échecs, les réussites, les effets sur le travail et le travailleur…
Ce serait bien d'avoir également un article sur l'utilisation d'un outil se basant sur l'IA suivant le profil de l'utilisateur pour bien se rendre compte des différences potentielles.

Claude Code se dote d’une sandbox, d’une version web et d’une ébauche mobile

  • Des préversions pour le web, iOS et Android

  • L’introduction d’une sandbox

  • Des fonctions pour l'instant optionnelles, sauf pour la version web

Fermer