Zum Hauptinhalt springen

Documentation Index

Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt

Use this file to discover all available pages before exploring further.

Wenn Claude eine Datei bearbeiten, einen Shell-Befehl ausführen oder eine Netzwerkanfrage stellen möchte, pausiert es und fragt Sie um Genehmigung. Berechtigungsmodi steuern, wie oft diese Pause auftritt. Der Modus, den Sie wählen, prägt den Ablauf einer Sitzung: Der Standardmodus lässt Sie jede Aktion überprüfen, während lockerere Modi Claude in längeren ununterbrochenen Abschnitten arbeiten lassen und dann berichten, wenn es fertig ist. Wählen Sie mehr Überwachung für sensible Arbeiten oder weniger Unterbrechungen, wenn Sie der Richtung vertrauen.

Verfügbare Modi

Jeder Modus bietet einen anderen Kompromiss zwischen Komfort und Überwachung. Die folgende Tabelle zeigt, was Claude ohne Berechtigungsaufforderung in jedem Modus tun kann.
ModusWas ohne Nachfrage ausgeführt wirdAm besten für
defaultNur LesevorgängeErste Schritte, sensible Arbeiten
acceptEditsLesevorgänge, Dateibearbeitungen und häufige Dateisystem-Befehle (mkdir, touch, mv, cp usw.)Iteration über Code, den Sie überprüfen
planNur LesevorgängeErkunden einer Codebasis vor Änderungen
autoAlles, mit Hintergrund-SicherheitsprüfungenLange Aufgaben, Reduzierung von Aufforderungsmüdigkeit
dontAskNur vorab genehmigte ToolsGesperrte CI und Skripte
bypassPermissionsAllesNur isolierte Container und VMs
In jedem Modus außer bypassPermissions werden Schreibvorgänge zu geschützten Pfaden niemals automatisch genehmigt, um den Repository-Status und Claudes eigene Konfiguration vor versehentlicher Beschädigung zu schützen. Modi legen die Grundlage fest. Überlagern Sie Berechtigungsregeln darauf, um bestimmte Tools in jedem Modus außer bypassPermissions vorab zu genehmigen oder zu blockieren, der die Berechtigungsebene vollständig überspringt.

Berechtigungsmodi wechseln

Sie können Modi während einer Sitzung, beim Start oder als persistenter Standard wechseln. Der Modus wird über diese Steuerelemente festgelegt, nicht durch Fragen an Claude im Chat. Wählen Sie Ihre Schnittstelle unten aus, um zu sehen, wie Sie ihn ändern.
Während einer Sitzung: Drücken Sie Shift+Tab, um defaultacceptEditsplan zu durchlaufen. Der aktuelle Modus wird in der Statusleiste angezeigt. Nicht jeder Modus ist im Standard-Zyklus:
  • auto: wird angezeigt, wenn Ihr Konto die Auto-Modus-Anforderungen erfüllt; das Durchlaufen zu Auto zeigt eine Opt-in-Aufforderung an, bis Sie diese akzeptieren, oder wählen Sie Nein, nicht erneut fragen, um Auto aus dem Zyklus zu entfernen
  • bypassPermissions: wird angezeigt, nachdem Sie mit --permission-mode bypassPermissions, --dangerously-skip-permissions oder --allow-dangerously-skip-permissions starten; die --allow--Variante fügt den Modus zum Zyklus hinzu, ohne ihn zu aktivieren
  • dontAsk: wird niemals im Zyklus angezeigt; legen Sie ihn mit --permission-mode dontAsk fest
Aktivierte optionale Modi werden nach plan eingefügt, mit bypassPermissions zuerst und auto zuletzt. Wenn Sie beide aktiviert haben, durchlaufen Sie bypassPermissions auf dem Weg zu auto.Beim Start: Übergeben Sie den Modus als Flag.
claude --permission-mode plan
Als Standard: Legen Sie defaultMode in Einstellungen fest.
{
  "permissions": {
    "defaultMode": "acceptEdits"
  }
}
Das gleiche --permission-mode-Flag funktioniert mit -p für nicht-interaktive Läufe.

Dateibearbeitungen mit acceptEdits-Modus automatisch genehmigen

Der acceptEdits-Modus lässt Claude Dateien in Ihrem Arbeitsverzeichnis erstellen und bearbeiten, ohne zu fragen. Die Statusleiste zeigt ⏵⏵ accept edits on, während dieser Modus aktiv ist. Zusätzlich zu Dateibearbeitungen genehmigt der acceptEdits-Modus automatisch häufige Dateisystem-Bash-Befehle: mkdir, touch, rm, rmdir, mv, cp und sed. Diese Befehle werden auch automatisch genehmigt, wenn sie mit sicheren Umgebungsvariablen wie LANG=C oder NO_COLOR=1 oder Prozess-Wrappern wie timeout, nice oder nohup vorangestellt sind. Wie Dateibearbeitungen gilt die automatische Genehmigung nur für Pfade in Ihrem Arbeitsverzeichnis oder additionalDirectories. Pfade außerhalb dieses Bereichs, Schreibvorgänge zu geschützten Pfaden und alle anderen Bash-Befehle fordern weiterhin auf. Wenn das PowerShell-Tool aktiviert ist, genehmigt der acceptEdits-Modus auch automatisch Set-Content, Add-Content, Clear-Content und Remove-Item auf Pfaden im Gültigkeitsbereich, zusammen mit ihren häufigen Aliasen. Die gleichen Bereichs- und Schutzpfad-Regeln gelten. Verwenden Sie acceptEdits, wenn Sie Änderungen in Ihrem Editor oder über git diff überprüfen möchten, anstatt jede Bearbeitung inline zu genehmigen. Drücken Sie Shift+Tab einmal vom Standardmodus, um ihn zu betreten, oder starten Sie direkt damit: 
claude --permission-mode acceptEdits

Vor der Bearbeitung mit Planungsmodus analysieren

Der Planungsmodus weist Claude an, Änderungen zu recherchieren und vorzuschlagen, ohne sie vorzunehmen. Claude liest Dateien, führt Shell-Befehle aus, um zu erkunden, und schreibt einen Plan, bearbeitet aber nicht Ihren Quellcode. Berechtigungsaufforderungen gelten genauso wie im Standardmodus. Betreten Sie den Planungsmodus, indem Sie Shift+Tab drücken oder einer einzelnen Aufforderung /plan voranstellen. Sie können auch vom CLI aus im Planungsmodus starten: 
claude --permission-mode plan
Drücken Sie Shift+Tab erneut, um den Planungsmodus zu verlassen, ohne einen Plan zu genehmigen.

Überprüfen und genehmigen Sie einen Plan

Wenn der Plan fertig ist, präsentiert Claude ihn und fragt, wie es weitergehen soll. Von dieser Aufforderung aus können Sie:
  • Genehmigen und im Auto-Modus starten
  • Genehmigen und Bearbeitungen akzeptieren
  • Genehmigen und jede Bearbeitung manuell überprüfen
  • Mit Feedback weiterplanen
  • Mit Ultraplan für browsergestützte Überprüfung verfeinern
Das Genehmigen eines Plans beendet den Planungsmodus und wechselt die Sitzung in den Berechtigungsmodus, den jede Genehmigungsoption beschreibt, sodass Claude mit der Bearbeitung beginnt. Um erneut zu planen, kehren Sie mit Shift+Tab zum Planungsmodus zurück oder stellen Sie Ihrer nächsten Aufforderung /plan voran. Drücken Sie Ctrl+G, um den vorgeschlagenen Plan in Ihrem Standard-Texteditor zu öffnen und ihn direkt zu bearbeiten, bevor Claude fortfährt. Wenn showClearContextOnPlanAccept aktiviert ist, bietet jede Genehmigungsoption auch an, den Planungskontext zuerst zu löschen. Das Akzeptieren eines Plans benennt die Sitzung automatisch aus dem Planinhalt, es sei denn, Sie haben bereits einen Namen mit --name oder /rename festgelegt.

Legen Sie den Planungsmodus als Standard fest

Um den Planungsmodus als Standard für ein Projekt festzulegen, setzen Sie defaultMode in .claude/settings.json: 
{
  "permissions": {
    "defaultMode": "plan"
  }
}

Aufforderungen mit Auto-Modus eliminieren

Auto-Modus erfordert Claude Code v2.1.83 oder später.
Auto-Modus lässt Claude ohne Berechtigungsaufforderungen ausführen. Ein separates Klassifizierer-Modell überprüft Aktionen, bevor sie ausgeführt werden, und blockiert alles, das über Ihre Anfrage hinausgeht, auf nicht erkannte Infrastruktur abzielt oder von feindseligem Inhalt angetrieben zu sein scheint, den Claude gelesen hat. Auto-Modus weist Claude auch an, sofort auszuführen und Klarstellungsfragen zu minimieren. Um dieses Verhalten zu erhalten und gleichzeitig Berechtigungsaufforderungen beizubehalten, stellen Sie stattdessen den Proaktiven Ausgabestil ein.
Auto-Modus ist eine Forschungsvorschau. Er reduziert Aufforderungen, garantiert aber keine Sicherheit. Verwenden Sie ihn für Aufgaben, bei denen Sie der allgemeinen Richtung vertrauen, nicht als Ersatz für Überprüfung bei sensiblen Operationen.
Auto-Modus ist nur verfügbar, wenn Ihr Konto alle diese Anforderungen erfüllt:
  • Plan: Max, Team, Enterprise oder API. Nicht auf Pro verfügbar.
  • Admin: Bei Team und Enterprise muss ein Administrator ihn in Claude Code-Administratoreinstellungen aktivieren, bevor Benutzer ihn einschalten können. Administratoren können ihn auch sperren, indem sie permissions.disableAutoMode in verwalteten Einstellungen auf "disable" setzen.
  • Modell: Claude Sonnet 4.6, Opus 4.6 oder Opus 4.7 bei Team-, Enterprise- und API-Plänen; Claude Opus 4.7 nur bei Max-Plänen. Andere Modelle, einschließlich Haiku und claude-3-Modelle, werden nicht unterstützt.
  • Anbieter: Nur Anthropic API. Nicht auf Bedrock, Vertex oder Foundry verfügbar.
Wenn Claude Code Auto-Modus als nicht verfügbar meldet, ist eine dieser Anforderungen nicht erfüllt; dies ist kein vorübergehender Ausfall. Eine separate Nachricht, die ein Modell benennt und sagt, Auto-Modus “kann die Sicherheit” einer Aktion nicht bestimmen, ist ein vorübergehender Klassifizierer-Ausfall; siehe die Fehlerreferenz.

Was der Klassifizierer standardmäßig blockiert

Der Klassifizierer vertraut Ihrem Arbeitsverzeichnis und den konfigurierten Remotes Ihres Repositories. Alles andere wird als extern behandelt, bis Sie vertrauenswürdige Infrastruktur konfigurieren. Standardmäßig blockiert:
  • Herunterladen und Ausführen von Code, wie curl | bash
  • Senden sensibler Daten an externe Endpunkte
  • Produktionsbereitstellungen und Migrationen
  • Massenlöschung auf Cloud-Speicher
  • Gewährung von IAM- oder Repository-Berechtigungen
  • Änderung gemeinsamer Infrastruktur
  • Irreversibles Löschen von Dateien, die vor der Sitzung vorhanden waren
  • Force-Push oder direktes Pushen zu main
Standardmäßig zugelassen:
  • Lokale Dateioperationen in Ihrem Arbeitsverzeichnis
  • Installation von Abhängigkeiten, die in Ihren Lock-Dateien oder Manifesten deklariert sind
  • Lesen von .env und Senden von Anmeldedaten an ihre entsprechende API
  • Schreibgeschützte HTTP-Anfragen
  • Pushen zum Branch, auf dem Sie gestartet haben, oder zu einem, den Claude erstellt hat
Sandbox-Netzwerkzugriff-Anfragen werden durch den Klassifizierer geleitet, anstatt standardmäßig zugelassen zu werden. Führen Sie claude auto-mode defaults aus, um die vollständigen Regellisten zu sehen. Wenn Routineaktionen blockiert werden, kann ein Administrator vertrauenswürdige Repositories, Buckets und Dienste über die autoMode.environment-Einstellung hinzufügen: siehe Auto-Modus konfigurieren.

Grenzen, die Sie im Gespräch angeben

Der Klassifizierer behandelt Grenzen, die Sie im Gespräch angeben, als Blocksignal. Wenn Sie Claude sagen “nicht pushen” oder “warten Sie, bis ich überprüfe, bevor Sie bereitstellen”, blockiert der Klassifizierer übereinstimmende Aktionen, auch wenn die Standardregeln sie zulassen würden. Eine Grenze bleibt in Kraft, bis Sie sie in einer späteren Nachricht aufheben. Claudes eigenes Urteil, dass eine Bedingung erfüllt wurde, hebt sie nicht auf. Grenzen werden nicht als Regeln gespeichert. Der Klassifizierer liest sie bei jeder Prüfung aus dem Transkript erneut, daher kann eine Grenze verloren gehen, wenn Kontext-Komprimierung die Nachricht entfernt, die sie angegeben hat. Für eine harte Garantie fügen Sie stattdessen eine Deny-Regel hinzu.

Wenn Auto-Modus zurückfällt

Jede abgelehnte Aktion zeigt eine Benachrichtigung und wird in /permissions unter der Registerkarte “Kürzlich abgelehnt” angezeigt, wo Sie r drücken können, um sie mit manueller Genehmigung erneut zu versuchen. Wenn der Klassifizierer eine Aktion 3-mal hintereinander oder 20-mal insgesamt blockiert, pausiert der Auto-Modus und Claude Code setzt das Aufforderungen fort. Das Genehmigen der aufgeforderten Aktion setzt den Auto-Modus fort. Diese Schwellwerte sind nicht konfigurierbar. Jede zugelassene Aktion setzt den aufeinanderfolgenden Zähler zurück, während der Gesamtzähler für die Sitzung bestehen bleibt und nur zurückgesetzt wird, wenn sein eigenes Limit einen Fallback auslöst. Im nicht-interaktiven Modus mit dem -p-Flag bricht die Sitzung ab, da es keinen Benutzer gibt, der aufgefordert werden kann. Wiederholte Blockierungen bedeuten normalerweise, dass dem Klassifizierer der Kontext über Ihre Infrastruktur fehlt. Verwenden Sie /feedback, um falsch positive Ergebnisse zu melden, oder lassen Sie einen Administrator vertrauenswürdige Infrastruktur konfigurieren.
Jede Aktion durchläuft eine feste Entscheidungsreihenfolge. Der erste übereinstimmende Schritt gewinnt:
  1. Aktionen, die Ihren Allow- oder Deny-Regeln entsprechen, werden sofort gelöst
  2. Schreibgeschützte Aktionen und Dateibearbeitungen in Ihrem Arbeitsverzeichnis werden automatisch genehmigt, außer Schreibvorgänge zu geschützten Pfaden
  3. Alles andere geht an den Klassifizierer
  4. Wenn der Klassifizierer blockiert, erhält Claude den Grund und versucht eine Alternative
Beim Eintritt in den Auto-Modus werden breite Allow-Regeln, die willkürliche Code-Ausführung gewähren, gelöscht:
  • Blanko Bash(*)
  • Wildcard-Interpreter wie Bash(python*)
  • Paketmanager-Ausführungsbefehle
  • Agent-Allow-Regeln
Enge Regeln wie Bash(npm test) werden übernommen. Gelöschte Regeln werden wiederhergestellt, wenn Sie den Auto-Modus verlassen.Der Klassifizierer sieht Benutzernachrichten, Tool-Aufrufe und Ihren CLAUDE.md-Inhalt. Tool-Ergebnisse werden entfernt, daher kann feindselige Inhalte in einer Datei oder Webseite ihn nicht direkt manipulieren. Eine separate serverseitige Sonde scannt eingehende Tool-Ergebnisse und kennzeichnet verdächtige Inhalte, bevor Claude sie liest. Weitere Informationen darüber, wie diese Schichten zusammenarbeiten, finden Sie in der Auto-Modus-Ankündigung und dem Engineering Deep Dive.
Der Klassifizierer überprüft Subagenten-Arbeit an drei Punkten:
  1. Bevor ein Subagent startet, wird die delegierte Aufgabenbeschreibung bewertet, daher wird eine gefährlich aussehende Aufgabe beim Erzeugen blockiert.
  2. Während der Subagent läuft, durchläuft jede seiner Aktionen den Klassifizierer mit den gleichen Regeln wie die übergeordnete Sitzung, und jeder permissionMode im Frontmatter des Subagenten wird ignoriert.
  3. Wenn der Subagent fertig ist, überprüft der Klassifizierer seine vollständige Aktionshistorie; wenn diese Rückgabeprüfung ein Problem kennzeichnet, wird eine Sicherheitswarnung den Ergebnissen des Subagenten vorangestellt.
Der Klassifizierer läuft auf einem serverkonfigurierten Modell, das unabhängig von Ihrer /model-Auswahl ist, daher ändert das Wechseln von Modellen die Klassifizierer-Verfügbarkeit nicht. Klassifizierer-Aufrufe zählen zu Ihrer Token-Nutzung. Jede Prüfung sendet einen Teil des Transkripts plus die ausstehende Aktion, was einen Roundtrip vor der Ausführung hinzufügt. Lesevorgänge und Arbeitsverzeichnis-Bearbeitungen außerhalb geschützter Pfade überspringen den Klassifizierer, daher kommt der Overhead hauptsächlich von Shell-Befehlen und Netzwerkoperationen.

Nur vorab genehmigte Tools mit dontAsk-Modus zulassen

Der dontAsk-Modus lehnt automatisch jeden Tool-Aufruf ab, der sonst auffordern würde. Nur Aktionen, die Ihren permissions.allow-Regeln und schreibgeschützten Bash-Befehlen entsprechen, können ausgeführt werden; explizite ask-Regeln werden abgelehnt, anstatt aufzufordern. Dies macht den Modus vollständig nicht-interaktiv für CI-Pipelines oder eingeschränkte Umgebungen, in denen Sie genau vordefinieren, was Claude tun darf. Legen Sie ihn beim Start mit dem Flag fest: 
claude --permission-mode dontAsk

Alle Prüfungen mit bypassPermissions-Modus überspringen

Der bypassPermissions-Modus deaktiviert Berechtigungsaufforderungen und Sicherheitsprüfungen, damit Tool-Aufrufe sofort ausgeführt werden. Ab v2.1.126 umfasst dies auch Schreibvorgänge zu geschützten Pfaden, die frühere Versionen noch aufforderten. Löschvorgänge, die auf das Dateisystem-Root oder das Home-Verzeichnis abzielen, wie rm -rf / und rm -rf ~, fordern weiterhin auf als Schutzschalter gegen Modellfehler. Verwenden Sie diesen Modus nur in isolierten Umgebungen wie Containern, VMs oder Dev Containern ohne Internetzugang, wo Claude Code Ihr Host-System nicht beschädigen kann. Sie können nicht in bypassPermissions aus einer Sitzung eintreten, die ohne eines der aktivierenden Flags gestartet wurde; starten Sie neu mit einem, um es zu aktivieren: 
claude --permission-mode bypassPermissions
Das --dangerously-skip-permissions-Flag ist gleichbedeutend. Unter Linux und macOS weigert sich Claude Code, in diesem Modus zu starten, wenn es als Root oder unter sudo ausgeführt wird: 
--dangerously-skip-permissions cannot be used with root/sudo privileges for security reasons
Die Prüfung wird automatisch in einer erkannten Sandbox übersprungen. Um autonom in einem Container zu laufen, verwenden Sie die Dev-Container-Konfiguration, die Claude Code als Nicht-Root-Benutzer ausführt.
bypassPermissions bietet keinen Schutz vor Prompt-Injection oder unbeabsichtigten Aktionen. Verwenden Sie für Hintergrund-Sicherheitsprüfungen ohne Aufforderungen stattdessen Auto-Modus. Administratoren können diesen Modus blockieren, indem sie permissions.disableBypassPermissionsMode auf "disable" in verwalteten Einstellungen setzen.

Geschützte Pfade

Schreibvorgänge zu einer kleinen Menge von Pfaden werden niemals automatisch genehmigt, in jedem Modus außer bypassPermissions. Dies verhindert versehentliche Beschädigung des Repository-Status und Claudes eigener Konfiguration. In default, acceptEdits und plan fordern diese Schreibvorgänge auf; in auto werden sie an den Klassifizierer geleitet; in dontAsk werden sie abgelehnt; in bypassPermissions werden sie erlaubt. Geschützte Verzeichnisse:
  • .git
  • .vscode
  • .idea
  • .husky
  • .claude, außer für .claude/commands, .claude/agents, .claude/skills und .claude/worktrees, wo Claude routinemäßig Inhalte erstellt
Geschützte Dateien:
  • .gitconfig, .gitmodules
  • .bashrc, .bash_profile, .zshrc, .zprofile, .profile
  • .ripgreprc
  • .mcp.json, .claude.json

Siehe auch

  • Berechtigungen: Allow-, Ask- und Deny-Regeln; verwaltete Richtlinien
  • Auto-Modus konfigurieren: Teilen Sie dem Klassifizierer mit, welche Infrastruktur Ihre Organisation vertraut
  • Hooks: benutzerdefinierte Berechtigungslogik über PreToolUse- und PermissionRequest-Hooks
  • Ultraplan: Führen Sie den Planungsmodus in einer Claude Code im Web-Sitzung mit browsergestützter Überprüfung aus
  • Sicherheit: Sicherheitsvorkehrungen und Best Practices
  • Sandboxing: Dateisystem- und Netzwerkisolation für Bash-Befehle
  • Nicht-interaktiver Modus: Führen Sie Claude Code mit dem -p-Flag aus