Berechtigungsmodi steuern, ob Claude vor dem Handeln fragt. Verschiedene Aufgaben erfordern unterschiedliche Autonomiestufen: Sie möchten möglicherweise vollständige Überwachung für sensible Arbeiten, minimale Unterbrechungen für eine lange Umgestaltung oder schreibgeschützten Zugriff beim Erkunden einer Codebasis.
Diese Seite behandelt folgende Themen:
Modi für Berechtigungen wechseln
Sie können Modi jederzeit während einer Sitzung, beim Start oder als persistenter Standard wechseln. Der Mechanismus hängt davon ab, wo Sie Claude Code ausführen.
CLI
JetBrains
VS Code
Desktop
Web und Mobilgeräte
Während einer Sitzung: Drücken Sie Shift+Tab, um durch default → acceptEdits → plan → auto zu wechseln. Der aktuelle Modus wird in der Statusleiste angezeigt. auto wird erst in der Schleife angezeigt, wenn Sie beim Start --enable-auto-mode übergeben. Auto erfordert auch einen Team-Plan (oder Enterprise/API, sobald verfügbar) und Claude Sonnet 4.6 oder Opus 4.6, daher bleibt die Option möglicherweise auch mit dem Flag nicht verfügbar. Wenn bypassPermissions auch aktiviert ist, wird es in der Schleife zwischen plan und auto angezeigt.Beim Start: Übergeben Sie den Modus als CLI-Flag:claude --permission-mode plan
defaultMode in Ihrer Einstellungsdatei fest:{
"permissions": {
"defaultMode": "acceptEdits"
}
}
-p für Skript-Läufe:claude -p "refactor auth" --permission-mode acceptEdits
dontAsk ist niemals in der Shift+Tab-Schleife. bypassPermissions wird in der Schleife nur angezeigt, wenn Sie die Sitzung mit --permission-mode bypassPermissions, --dangerously-skip-permissions oder --allow-dangerously-skip-permissions gestartet haben. Das dritte Flag fügt den Modus zur Schleife hinzu, ohne ihn zu aktivieren, sodass Sie ihn mit einem anderen Startmodus wie --permission-mode plan kombinieren können. Legen Sie diese beim Start oder in Ihrer Einstellungsdatei fest. Das JetBrains-Plugin startet Claude Code im IDE-Terminal, daher funktioniert das Wechseln von Modi genauso wie in der CLI: Drücken Sie Shift+Tab zum Wechseln, oder übergeben Sie --permission-mode beim Start.
Während einer Sitzung: Klicken Sie auf den Modusindikator am unteren Rand des Eingabefelds, um Modi zu wechseln.Als Standard: Legen Sie claudeCode.initialPermissionMode in VS Code-Einstellungen fest, oder verwenden Sie das Einstellungsfenster der Claude Code-Erweiterung.Die VS Code-Benutzeroberfläche verwendet freundliche Bezeichnungen, die den Einstellungsschlüsseln unten zugeordnet sind:| Bezeichnung in der Benutzeroberfläche | Einstellungsschlüssel |
|---|
| Berechtigungen erfragen | default |
| Bearbeitungen automatisch akzeptieren | acceptEdits |
| Planungsmodus | plan |
| Automatisch | auto |
| Berechtigungen umgehen | bypassPermissions |
Während einer Sitzung: Verwenden Sie den Moduswahlschalter neben der Schaltfläche ‘Senden”. Sie können ihn vor oder während einer Sitzung ändern.Die Desktop-Benutzeroberfläche verwendet freundliche Bezeichnungen, die den Einstellungsschlüsseln unten zugeordnet sind:| Bezeichnung in der Benutzeroberfläche | Einstellungsschlüssel |
|---|
| Berechtigungen erfragen | default |
| Bearbeitungen automatisch akzeptieren | acceptEdits |
| Planungsmodus | plan |
| Automatisch | auto |
| Berechtigungen umgehen | bypassPermissions |
Während einer Sitzung: Verwenden Sie das Dropdown-Menü neben dem Eingabefeld auf claude.ai/code oder in der Claude-Mobilanwendung.Für Claude Code im Web-Sitzungen, die auf Anthropics Cloud-VMs ausgeführt werden, bietet das Dropdown-Menü ‘Bearbeitungen automatisch akzeptieren” und „Planungsmodus”. „Berechtigungen erfragen” und „Automatisch” sind für Cloud-Sitzungen nicht verfügbar.Für Remote Control-Sitzungen, die auf Ihrem lokalen Computer ausgeführt werden, bietet das Dropdown-Menü „Berechtigungen erfragen”, „Bearbeitungen automatisch akzeptieren” und „Planungsmodus”. Sie können auch den Startmodus festlegen, wenn Sie den lokalen Host starten:claude remote-control --permission-mode acceptEdits
Verfügbare Modi
Jeder Modus bietet einen anderen Kompromiss zwischen Komfort und Überwachung. Wählen Sie denjenigen, der zu Ihrer Aufgabe passt.
| Modus | Was Claude ohne Nachfrage tun kann | Am besten für |
|---|
default | Dateien lesen | Erste Schritte, sensible Arbeiten |
acceptEdits | Dateien lesen und bearbeiten | Iteration über Code, den Sie überprüfen |
plan | Dateien lesen | Erkunden einer Codebasis, Planung einer Umgestaltung |
auto | Alle Aktionen mit Hintergrund-Sicherheitsprüfungen | Langfristige Aufgaben, Reduzierung von Aufforderungsmüdigkeit |
bypassPermissions | Alle Aktionen, keine Prüfungen | Nur isolierte Container und VMs |
dontAsk | Nur vorab genehmigte Tools | Gesperrte Umgebungen |
Änderungen mit Planungsmodus analysieren, bevor Sie bearbeiten
Der Planungsmodus weist Claude an, Änderungen zu recherchieren und vorzuschlagen, ohne sie vorzunehmen. Claude liest Dateien, führt Shell-Befehle aus, um zu erkunden, stellt Klärungsfragen und schreibt eine Plandatei, bearbeitet aber nicht Ihren Quellcode. Berechtigungsaufforderungen funktionieren genauso wie im Standardmodus: Sie genehmigen immer noch Bash-Befehle, Netzwerkanfragen und andere Aktionen, die normalerweise eine Aufforderung auslösen würden.
Wann Sie den Planungsmodus verwenden sollten
Der Planungsmodus ist nützlich, wenn Sie möchten, dass Claude eine Codebasis recherchiert und einen Ansatz vorschlägt, bevor Änderungen vorgenommen werden:
- Mehrstufige Implementierung: wenn eine Funktion Bearbeitungen in vielen Dateien erfordert
- Code-Erkundung: wenn Sie die Codebasis recherchieren möchten, bevor Sie etwas ändern
- Interaktive Entwicklung: wenn Sie die Richtung mit Claude iterieren möchten
Planungsmodus starten und verwenden
Geben Sie den Planungsmodus für eine einzelne Anfrage ein, indem Sie Ihrer Aufforderung /plan voranstellen, oder wechseln Sie die gesamte Sitzung in den Planungsmodus, indem Sie Shift+Tab drücken, um durch Berechtigungsmodi zu wechseln. Sie können auch vom CLI aus im Planungsmodus starten:
claude --permission-mode plan
I need to refactor our authentication system to use OAuth2. Create a detailed migration plan.
What about backward compatibility?
How should we handle database migration?
- Genehmigen und im Auto-Modus starten
- Genehmigen und Bearbeitungen akzeptieren
- Genehmigen und jede Bearbeitung manuell überprüfen
- Weiterplanen, was Ihr Feedback an Claude für eine weitere Runde sendet
Jede Genehmigungsoption bietet auch an, den Planungskontext zuerst zu löschen.
Aufforderungen mit Auto-Modus eliminieren
Der Auto-Modus ist in Team-Plänen verfügbar, wobei Enterprise- und API-Unterstützung in Kürze folgt. Bei Team und Enterprise muss ein Administrator ihn in den Claude Code-Administratoreinstellungen aktivieren, bevor Benutzer ihn aktivieren können. Es erfordert Claude Sonnet 4.6 oder Claude Opus 4.6 und ist nicht auf Haiku, claude-3-Modellen oder Drittanbieter-Anbietern (Bedrock, Vertex, Foundry) verfügbar.
Der Auto-Modus ermöglicht es Claude, Aktionen auszuführen, ohne Berechtigungsaufforderungen anzuzeigen. Bevor jede Aktion ausgeführt wird, überprüft ein separates Klassifizierermodell das Gespräch und entscheidet, ob die Aktion dem entspricht, was Sie gefordert haben: Es blockiert Aktionen, die über den Aufgabenumfang hinausgehen, auf Infrastruktur abzielen, die der Klassifizierer nicht als vertrauenswürdig erkennt, oder die von feindseligem Inhalt in einer Datei oder Webseite angetrieben zu sein scheinen. Einen tieferen Einblick in die Gestaltung des Klassifizierers finden Sie in der Auto-Modus-Ankündigung.
Der Auto-Modus ist eine Forschungsvorschau. Er reduziert Aufforderungen, garantiert aber keine Sicherheit. Er bietet mehr Schutz als bypassPermissions, ist aber nicht so gründlich wie die manuelle Überprüfung jeder Aktion. Verwenden Sie ihn für Aufgaben, bei denen Sie der allgemeinen Richtung vertrauen, nicht als Ersatz für die Überprüfung bei sensiblen Operationen.
Wie Aktionen bewertet werden
Jede Aktion durchläuft eine feste Entscheidungsreihenfolge. Der erste übereinstimmende Schritt gewinnt:
- Aktionen, die Ihren Zulassen- oder Ablehnen-Regeln entsprechen, werden sofort gelöst
- Schreibgeschützte Aktionen und Dateibearbeitungen in Ihrem Arbeitsverzeichnis werden automatisch genehmigt
- Alles andere geht an den Klassifizierer
- Wenn der Klassifizierer blockiert, erhält Claude den Grund und versucht einen alternativen Ansatz
Beim Eintritt in den Auto-Modus löscht Claude Code alle Zulassen-Regeln, die bekanntermaßen willkürliche Code-Ausführung gewähren: Blanko-Shell-Zugriff wie Bash(*), Wildcard-Skript-Interpreter wie Bash(python*) oder Bash(node*), Paketmanager-Ausführungsbefehle und alle Agent-Zulassen-Regeln. Diese Regeln würden die Befehle und Subagent-Delegationen automatisch genehmigen, die am meisten Schaden anrichten können, bevor der Klassifizierer sie jemals sieht. Enge Regeln wie Bash(npm test) werden übernommen. Die gelöschten Regeln werden wiederhergestellt, wenn Sie den Auto-Modus verlassen.
Der Klassifizierer empfängt Benutzernachrichten und Tool-Aufrufe als Eingabe, wobei Claudes eigener Text und Tool-Ergebnisse entfernt werden. Er empfängt auch Ihren CLAUDE.md-Inhalt, sodass in Ihren Projektanweisungen beschriebene Aktionen in Zulassen- und Blockierungsentscheidungen berücksichtigt werden. Da Tool-Ergebnisse den Klassifizierer nie erreichen, kann feindselige Inhalte in einer Datei oder Webseite ihn nicht direkt manipulieren. Der Klassifizierer bewertet die ausstehende Aktion anhand eines anpassbaren Satzes von Block- und Zulassen-Regeln und prüft, ob die Aktion eine übereilige Eskalation über das hinaus ist, was Sie gefordert haben, ein Fehler darüber, was sicher zu berühren ist, oder eine plötzliche Abweichung von Ihrer erklärten Absicht, die darauf hindeutet, dass Claude möglicherweise von etwas gelenkt wurde, das es gelesen hat.
Im Gegensatz zu Ihren Berechtigungsregeln, die Tool-Namen und Argument-Muster abgleichen, liest der Klassifizierer Prosa-Beschreibungen dessen, was blockiert und zugelassen werden soll: Er argumentiert über die Aktion im Kontext, anstatt die Syntax abzugleichen.
Wie Auto-Modus Subagenten handhabt
Wenn Claude einen Subagenten erzeugt, bewertet der Klassifizierer die delegierte Aufgabe, bevor der Subagent startet. Eine Aufgabenbeschreibung, die auf den ersten Blick gefährlich aussieht, wie „alle Remote-Branches löschen, die diesem Muster entsprechen”, wird beim Erzeugen blockiert.
Innerhalb des Subagenten läuft der Auto-Modus mit den gleichen Block- und Zulassen-Regeln wie die übergeordnete Sitzung. Jeder permissionMode, den der Subagent in seinem eigenen Frontmatter definiert, wird ignoriert. Die eigenen Tool-Aufrufe des Subagenten werden unabhängig vom Klassifizierer überprüft.
Wenn der Subagent fertig ist, überprüft der Klassifizierer seine vollständige Aktionshistorie. Ein Subagent, der beim Erzeugen harmlos war, könnte während der Ausführung durch Inhalte, die er gelesen hat, kompromittiert worden sein. Wenn die Rückgabeprüfung ein Problem kennzeichnet, wird eine Sicherheitswarnung den Ergebnissen des Subagenten vorangestellt, damit der Hauptagent entscheiden kann, wie er vorgehen soll.
Was der Klassifizierer standardmäßig blockiert
Standardmäßig vertraut der Klassifizierer Ihrem Arbeitsverzeichnis und, wenn Sie sich in einem Git-Repository befinden, den konfigurierten Remotes dieses Repositories. Alles andere wird als extern behandelt: Ihre Unternehmens-Quellcode-Verwaltungsorganisationen, Cloud-Buckets und internen Dienste sind unbekannt, bis Sie dem Klassifizierer davon erzählen.
Standardmäßig blockiert:
- Herunterladen und Ausführen von Code, wie
curl | bash oder Skripte aus geklonten Repositories
- Senden sensibler Daten an externe Endpunkte
- Produktionsbereitstellungen und Migrationen
- Massenlöschung auf Cloud-Speicher
- Gewährung von IAM- oder Repository-Berechtigungen
- Änderung gemeinsamer Infrastruktur
- Irreversibles Löschen von Dateien, die vor Sitzungsbeginn vorhanden waren
- Destruktive Quellcode-Verwaltungsoperationen wie Force-Push oder direktes Pushen zu
main
Standardmäßig zugelassen:
- Lokale Dateioperationen in Ihrem Arbeitsverzeichnis
- Installation von Abhängigkeiten, die bereits in Ihren Lock-Dateien oder Manifesten deklariert sind
- Lesen von
.env und Senden von Anmeldedaten an ihre entsprechende API
- Schreibgeschützte HTTP-Anfragen
- Pushen zum Branch, auf dem Sie gestartet haben, oder zu einem, den Claude erstellt hat
Um die vollständigen Standard-Regellisten so zu sehen, wie der Klassifizierer sie empfängt, führen Sie claude auto-mode defaults aus.
Wenn der Auto-Modus etwas Routinemäßiges für Ihr Team blockiert, wie das Pushen zu Ihrem eigenen Organisations-Repository oder das Schreiben in einen Unternehmens-Bucket, liegt es daran, dass der Klassifizierer nicht weiß, dass diese vertrauenswürdig sind. Administratoren können vertrauenswürdige Repositories, Buckets und interne Dienste über die autoMode.environment-Einstellung hinzufügen: Weitere Informationen finden Sie unter Konfigurieren Sie den Auto-Modus-Klassifizierer.
Wenn Auto-Modus zurückfällt
Das Fallback-Design verhindert, dass falsch positive Ergebnisse eine Sitzung entgleisen: Ein fehlerhafter Block kostet Claude einen Wiederholungsversuch, nicht Ihren Fortschritt. Wenn der Klassifizierer eine Aktion 3-mal hintereinander oder 20-mal insgesamt in einer Sitzung blockiert, pausiert der Auto-Modus und Claude Code setzt das Aufforderungen für jede Aktion fort. Diese Schwellwerte sind nicht konfigurierbar.
- CLI: Sie sehen eine Benachrichtigung im Statusbereich. Das Genehmigen der aufgeforderten Aktion setzt die Ablehnungszähler zurück, sodass Sie im Auto-Modus fortfahren können
- Nicht-interaktiver Modus mit dem
-p-Flag: Bricht die Sitzung ab, da es keinen Benutzer gibt, der aufgefordert werden kann
Wiederholte Blockierungen bedeuten normalerweise eines von zwei Dingen: Die Aufgabe erfordert wirklich Aktionen, die der Klassifizierer blockieren soll, oder dem Klassifizierer fehlt der Kontext über Ihre vertrauenswürdige Infrastruktur und er behandelt sichere Aktionen als riskant. Wenn die Blockierungen wie falsch positive Ergebnisse aussehen, oder wenn der Klassifizierer etwas verpasst, das er hätte fangen sollen, verwenden Sie /feedback, um es zu melden. Wenn Blockierungen auftreten, weil der Klassifizierer Ihre Repositories oder Dienste nicht als vertrauenswürdig erkennt, lassen Sie einen Administrator vertrauenswürdige Infrastruktur konfigurieren in verwalteten Einstellungen.
Der dontAsk-Modus lehnt automatisch jedes Tool ab, das nicht explizit zugelassen ist. Nur Aktionen, die Ihren /permissions-Zulassen-Regeln oder permissions.allow-Einstellungen entsprechen, können ausgeführt werden. Wenn ein Tool eine explizite ask-Regel hat, wird die Aktion auch abgelehnt, anstatt aufzufordern. Dies macht den Modus vollständig nicht-interaktiv, geeignet für CI-Pipelines oder eingeschränkte Umgebungen, in denen Sie genau vordefinieren, was Claude tun darf.
claude --permission-mode dontAsk
Alle Prüfungen mit bypassPermissions-Modus überspringen
Der bypassPermissions-Modus deaktiviert alle Berechtigungsaufforderungen und Sicherheitsprüfungen. Jeder Tool-Aufruf wird sofort ohne Überprüfung ausgeführt. Verwenden Sie dies nur in isolierten Umgebungen wie Containern, VMs oder Devcontainern ohne Internetzugang, in denen Claude Code keinen Schaden an Ihrem Host-System anrichten kann.
claude --permission-mode bypassPermissions
--dangerously-skip-permissions-Flag ist gleichbedeutend mit --permission-mode bypassPermissions:
claude -p "refactor the auth module" --dangerously-skip-permissions
Der bypassPermissions-Modus bietet keinen Schutz vor Prompt-Injection oder unbeabsichtigten Aktionen. Verwenden Sie für eine sicherere Alternative, die dennoch Hintergrund-Sicherheitsprüfungen aufrechterhält, den Auto-Modus. Administratoren können diesen Modus blockieren, indem sie permissions.disableBypassPermissionsMode in verwalteten Einstellungen auf "disable" setzen. Vergleichen Sie Berechtigungsansätze
Die folgende Tabelle fasst die wichtigsten Unterschiede zusammen, wie jeder Modus Genehmigungen handhabt. plan wird weggelassen, da es einschränkt, was Claude tun kann, anstatt wie Genehmigungen funktionieren.
| default | acceptEdits | auto | dontAsk | bypassPermissions |
|---|
| Berechtigungsaufforderungen | Dateibearbeitungen und Befehle | Nur Befehle | Keine, es sei denn, Fallback wird ausgelöst | Keine, blockiert, wenn nicht vorab zugelassen | Keine |
| Sicherheitsprüfungen | Sie überprüfen jede Aktion | Sie überprüfen Befehle | Klassifizierer überprüft Befehle | Nur Ihre vorab genehmigten Regeln | Keine |
| Token-Nutzung | Standard | Standard | Höher, von Klassifizierer-Aufrufen | Standard | Standard |
Passen Sie Berechtigungen weiter an
Berechtigungsmodi legen das Baseline-Genehmigungsverhalten fest. Für Kontrolle über einzelne Tools oder Befehle schichten Sie zusätzliche Konfiguration auf den aktiven Modus.
Berechtigungsregeln sind die erste Anlaufstelle. Fügen Sie allow-, ask- oder deny-Einträge zu Ihrer Einstellungsdatei hinzu, um sichere Befehle vorab zu genehmigen, eine Aufforderung für riskante zu erzwingen oder bestimmte Tools vollständig zu blockieren. Regeln gelten in jedem Modus außer bypassPermissions, das die Berechtigungsebene vollständig überspringt, und werden nach Tool-Namen und Argument-Muster abgeglichen. Weitere Informationen finden Sie unter Berechtigungen verwalten für Syntax und Beispiele.
Hooks decken Logik ab, die Pattern-Matching-Regeln nicht ausdrücken können. Ein PreToolUse-Hook läuft vor jedem Tool-Aufruf und kann basierend auf Befehlsinhalt, Dateipfaden, Tageszeit oder einer Antwort von einem externen Richtliniendienst zulassen, ablehnen oder eskalieren. Ein PermissionRequest-Hook fängt den Berechtigungsdialog selbst ab und antwortet in Ihrem Namen. Weitere Informationen finden Sie unter Hooks.
Siehe auch
- Berechtigungen: Berechtigungsregeln, Syntax, verwaltete Richtlinien
- Hooks: benutzerdefinierte Berechtigungslogik, Lebenszyklusscripting
- Sicherheit: Sicherheitsvorkehrungen und Best Practices
- Sandboxing: Dateisystem- und Netzwerkisolation für Bash-Befehle
- Nicht-interaktiver Modus: Führen Sie Claude Code programmgesteuert mit dem
-p-Flag aus
