Modos disponibles
Cada modo hace un compromiso diferente entre conveniencia y supervisión. La tabla a continuación muestra qué puede hacer Claude sin un aviso de permisos en cada modo.| Modo | Lo que se ejecuta sin preguntar | Mejor para |
|---|---|---|
default | Solo lecturas | Comenzar, trabajo sensible |
acceptEdits | Lecturas, ediciones de archivos y comandos comunes del sistema de archivos (mkdir, touch, mv, cp, etc.) | Iterar en código que estás revisando |
plan | Solo lecturas | Explorar una base de código antes de cambiarla |
auto | Todo, con verificaciones de seguridad de fondo | Tareas largas, reducir fatiga de avisos |
dontAsk | Solo herramientas preaprobadas | CI bloqueado y scripts |
bypassPermissions | Todo | Solo contenedores y máquinas virtuales aisladas |
bypassPermissions, las escrituras en rutas protegidas nunca se aprueban automáticamente, protegiendo el estado del repositorio y la configuración propia de Claude contra corrupción accidental.
Los modos establecen la línea base. Superpón reglas de permisos encima para preaprobación o bloqueo de herramientas específicas. Las reglas de denegación y las reglas de solicitud explícita se aplican en todos los modos, incluido bypassPermissions. Las reglas de permiso no tienen efecto en ese modo porque todo lo demás ya está aprobado.
Cambiar modos de permisos
Puedes cambiar modos en medio de una sesión, al inicio o como predeterminado persistente. El modo se establece a través de estos controles, no pidiendo a Claude en el chat. Selecciona tu interfaz a continuación para ver cómo cambiarlo.- CLI
- VS Code
- JetBrains
- Desktop
- Web y móvil
Durante una sesión: presiona Como predeterminado: establece La misma bandera
Shift+Tab para ciclar default → acceptEdits → plan. El modo actual aparece en la barra de estado. No todos los modos están en el ciclo predeterminado:auto: aparece cuando tu cuenta cumple los requisitos del modo auto; ciclar hacia él cambia modos sin un aviso de confirmaciónbypassPermissions: aparece después de que inicies con--permission-mode bypassPermissions,--dangerously-skip-permissions, o--allow-dangerously-skip-permissions; la variante--allow-añade el modo al ciclo sin activarlodontAsk: nunca aparece en el ciclo; establécelo con--permission-mode dontAsk
plan, con bypassPermissions primero y auto último. Si tienes ambos habilitados, ciclarás a través de bypassPermissions en el camino a auto.Al inicio: pasa el modo como una bandera.defaultMode en settings.--permission-mode funciona con -p para ejecuciones no interactivas.Auto-aprobar ediciones de archivos con modo acceptEdits
El modoacceptEdits permite que Claude cree y edite archivos en su directorio de trabajo sin solicitar confirmación. La barra de estado muestra ⏵⏵ accept edits on mientras este modo está activo.
Además de ediciones de archivos, el modo acceptEdits auto-aprueba comandos Bash comunes del sistema de archivos: mkdir, touch, rm, rmdir, mv, cp, y sed. Estos comandos también se auto-aprueban cuando se prefijan con variables de entorno seguras como LANG=C o NO_COLOR=1, o envoltorios de procesos como timeout, nice, o nohup. Como las ediciones de archivos, la auto-aprobación se aplica solo a rutas dentro de su directorio de trabajo o additionalDirectories. Las rutas fuera de ese alcance, escrituras en rutas protegidas, y todos los demás comandos Bash aún solicitan confirmación.
Cuando la herramienta PowerShell está habilitada, el modo acceptEdits también auto-aprueba Set-Content, Add-Content, Clear-Content, y Remove-Item en rutas dentro del alcance, junto con sus alias comunes. Se aplican las mismas reglas de alcance y rutas protegidas.
Utilice acceptEdits cuando desee revisar cambios en su editor o a través de git diff después del hecho en lugar de aprobar cada edición en línea. Presione Shift+Tab una vez desde el modo predeterminado para entrar en él, o comience directamente con él:
Analizar antes de editar con modo de planificación
El modo de planificación le dice a Claude que investigue y proponga cambios sin hacerlos. Claude lee archivos, ejecuta comandos de shell para explorar, y escribe un plan, pero no edita su fuente. Los avisos de permisos aún se aplican igual que en el modo predeterminado. Entra en modo de planificación presionandoShift+Tab o prefijando una solicitud única con /plan. También puede comenzar en modo de planificación desde la CLI:
Shift+Tab de nuevo para salir del modo de planificación sin aprobar un plan.
Revisar y aprobar un plan
Cuando el plan está listo, Claude lo presenta y pregunta cómo proceder. Desde ese aviso puede:- Aprobar e iniciar en modo automático
- Aprobar y aceptar ediciones
- Aprobar y revisar cada edición manualmente
- Continuar planificando con retroalimentación
- Refinar con Ultraplan para revisión basada en navegador
Shift+Tab, o prefije su siguiente solicitud con /plan.
Presione Ctrl+G para abrir el plan propuesto en su editor de texto predeterminado y editarlo directamente antes de que Claude continúe. Cuando showClearContextOnPlanAccept está habilitado, cada opción de aprobación también ofrece borrar el contexto de planificación primero.
Aceptar un plan también nombra la sesión a partir del contenido del plan automáticamente, a menos que ya haya establecido un nombre con --name o /rename.
Establecer el modo de planificación como predeterminado
Para hacer que el modo de planificación sea el predeterminado para un proyecto, establezcadefaultMode en .claude/settings.json:
Eliminar avisos de permisos con modo automático
El modo automático requiere Claude Code v2.1.83 o posterior.
- Plan: Todos los planes.
- Propietario: en Team y Enterprise, un Propietario debe habilitarlo en configuración de administrador de Claude Code antes de que los usuarios puedan activarlo. Los administradores también pueden bloquearlo estableciendo
permissions.disableAutoModea"disable"en configuración administrada. - Modelo: en la API de Anthropic, Claude Opus 4.6 o posterior, o Sonnet 4.6 o posterior. En Amazon Bedrock, Google Cloud Vertex AI, Microsoft Foundry, y sesiones de puerta de enlace de aplicaciones Claude con sesión iniciada, solo Claude Sonnet 5, Opus 4.7 y Opus 4.8. Los modelos más antiguos, incluyendo Sonnet 4.5, Opus 4.5, Haiku, y modelos claude-3, no son compatibles en ningún proveedor.
- Proveedor: disponible por defecto en la API de Anthropic. En Amazon Bedrock, Google Cloud Vertex AI, Microsoft Foundry, y sesiones de puerta de enlace de aplicaciones Claude con sesión iniciada, el modo automático está desactivado hasta que establezca
CLAUDE_CODE_ENABLE_AUTO_MODE.
defaultMode: "auto" en configuración y la sesión comienza en modo default sin error, la configuración probablemente esté en .claude/settings.json o .claude/settings.local.json. Claude Code v2.1.142 y posterior ignoran auto de esos archivos para que un repositorio no pueda otorgarse a sí mismo modo automático. Muévalo a ~/.claude/settings.json.
Habilitar modo automático en Bedrock, Vertex AI, o Foundry
En Amazon Bedrock, Google Cloud Vertex AI, Microsoft Foundry, y sesiones de puerta de enlace de aplicaciones Claude con sesión iniciada, el modo automático no aparece en el cicloShift+Tab hasta que CLAUDE_CODE_ENABLE_AUTO_MODE se establezca en 1. La variable funciona en Claude Code v2.1.158 y posterior. Solo Claude Sonnet 5, Opus 4.7 y Opus 4.8 son compatibles en estos proveedores.
Para habilitarlo para un desarrollador, añada la variable al bloque env en ~/.claude/settings.json:
env a configuración administrada.
Una vez que la variable se establece, el modo automático aparece en el ciclo Shift+Tab para cada sesión. Para hacerlo el modo de inicio predeterminado, también establezca "permissions": {"defaultMode": "auto"} en configuración de usuario o administrada. En estos proveedores, Claude Code ignora defaultMode: "auto" a menos que CLAUDE_CODE_ENABLE_AUTO_MODE también se establezca.
Para evitar que los desarrolladores habiliten el modo automático, establezca disableAutoMode a "disable" en configuración administrada. Esto anula la variable de habilitación.
Si se conecta a través de una puerta de enlace LLM configurada con ANTHROPIC_BASE_URL, el modo automático puede ya ser alcanzable sin la variable de habilitación, porque la puerta de enlace enruta solicitudes a través de la API de Anthropic. Esto no se aplica a una sesión de puerta de enlace de aplicaciones Claude con sesión iniciada, que es su propia clase de proveedor y requiere la variable de habilitación. La configuración disableAutoMode se aplica de la misma manera en cualquiera de las dos configuraciones.
Qué bloquea el clasificador por defecto
El clasificador confía en su directorio de trabajo y en los remotos configurados de su repositorio. Todo lo demás se trata como externo hasta que configure infraestructura confiable. Bloqueado por defecto:- Descargar y ejecutar código, como
curl | bash - Enviar datos sensibles a puntos finales externos
- Despliegues y migraciones de producción
- Eliminación masiva en almacenamiento en la nube
- Otorgar permisos de IAM o repositorio
- Modificar infraestructura compartida
- Destruir irreversiblemente archivos que existían antes de la sesión
- Push forzado, o empujar directamente a
main git reset --hard,git checkout -- .,git restore .,git clean -fd,git stash drop, ogit stash clear, que el clasificador presume que descartaría cambios sin confirmargit commit --amendcuando la confirmación en HEAD no fue creada en esta sesiónterraform destroy,pulumi destroy,cdk destroy, oterragrunt destroy, y aplicar un plan que destruye recursos
- Escribir en un gestor de secretos, o cambiar registros DNS o certificados TLS
- Fusionar una solicitud de extracción que ningún humano ha aprobado, aprobar la propia solicitud de extracción de Claude, o deshabilitar verificaciones de CI
- Publicar un comentario que es en sí mismo un comando para automatización, como
atlantis applyo/deployo/mergede un bot - Alternar, ramificar, o eliminar una bandera de característica de producción
- Aplicar cambios de infraestructura a un alcance de IaC protegido, o drenar y eliminar nodos de clúster
- Escrituras en un clúster de cómputo compartido que van más allá del recurso que nombró, como un selector de etiqueta o
--allque captura trabajos de otros usuarios - Crear recursos de Kubernetes que se ejecutan en cada nodo o interceptan tráfico de clúster, como DaemonSets y webhooks de admisión
- Shells interactivos o port-forwards en un objetivo remoto sensible
- Abrir un túnel o shell inverso que hace que un servicio local sea alcanzable desde internet pública
- Imprimir una credencial o token en vivo en la transcripción o un archivo
- Acceder a una ubicación de PII o datos regulados, o copiar datos fuera de una
- Enrutar una instalación de paquete alrededor de su registro de paquetes interno a un registro público
- Ejecutar un comando con una bandera que desactiva una protección de seguridad, como
--insecure - Acciones del navegador de Claude en Chrome que podrían enviar contenido de página, cookies, o credenciales fuera de origen
- Operaciones de archivos locales en su directorio de trabajo
- Instalar dependencias declaradas en sus archivos de bloqueo o manifiestos
- Leer
.envy enviar credenciales a su API coincidente - Solicitudes HTTP de solo lectura
- Empujar a la rama en la que comenzó o una que Claude creó
- Eliminar los trabajos exactos que Claude creó anteriormente en la misma sesión
- Leer, revisar, o escribir código relacionado con seguridad, configuraciones, y modelos de amenaza como parte de su tarea
- Mensajes entre agentes trabajando juntos en la misma sesión multiagente
- Enviar datos a los dominios confiables, depósitos, y servicios que lista en
environment. Esto cubre solo el flujo de datos, no operaciones destructivas o de credenciales en la misma infraestructura - Navegación de Claude en Chrome a un dominio interno confiable, localhost, o una URL que nombró
claude auto-mode defaults para ver las listas de reglas completas. Si las acciones rutinarias se bloquean, un administrador puede añadir repositorios confiables, depósitos y servicios a través de la configuración autoMode.environment: consulte Configurar modo automático.
Límites que establece en la conversación
El clasificador trata los límites que establece en la conversación como una señal de bloqueo. Si le dice a Claude “no empuje” o “espere hasta que revise antes de desplegar”, el clasificador bloquea acciones coincidentes incluso cuando las reglas predeterminadas las permitirían. Un límite permanece en vigor hasta que lo levante en un mensaje posterior. El propio juicio de Claude de que se cumplió una condición no lo levanta. Los límites no se almacenan como reglas. El clasificador los relee de la transcripción en cada verificación, por lo que un límite puede perderse si la compactación de contexto elimina el mensaje que lo estableció. Para una garantía dura, añada una regla de denegación en su lugar.Cuándo el modo automático retrocede
Cada acción denegada muestra una notificación y aparece en/permissions bajo la pestaña Recientemente denegado, donde puede presionar r para reintentar con una aprobación manual.
Si el clasificador bloquea una acción 3 veces seguidas o 20 veces en total, el modo automático se pausa y Claude Code reanuda la solicitud. Aprobar la acción solicitada reanuda el modo automático. Estos umbrales no son configurables. Cualquier acción permitida reinicia el contador consecutivo, mientras que el contador total persiste para la sesión y se reinicia solo cuando su propio límite desencadena un retroceso.
En modo no interactivo con la bandera -p, los bloqueos repetidos abortan la sesión ya que no hay usuario para solicitar.
Los bloqueos repetidos generalmente significan que el clasificador carece de contexto sobre su infraestructura. Use /feedback para reportar falsos positivos, o haga que un administrador configure infraestructura confiable.
Cómo el clasificador evalúa acciones
Cómo el clasificador evalúa acciones
Cada acción pasa por un orden de decisión fijo. El primer paso coincidente gana:
- Las acciones que coinciden con sus reglas de permitir o denegar se resuelven inmediatamente, excepto escrituras en rutas protegidas, que se enrutan al clasificador incluso cuando una regla de permitir coincide
- Las acciones de solo lectura y ediciones de archivos en su directorio de trabajo se auto-aprueban, excepto escrituras en rutas protegidas
- Todo lo demás va al clasificador
- Si el clasificador bloquea, Claude recibe la razón e intenta una alternativa
Bash(*)sin restricciones- Intérpretes con comodín como
Bash(python*) - Comandos de ejecución del gestor de paquetes
- Reglas
Agentde permitir
Bash(npm test) se mantienen. Las reglas descartadas se restauran cuando sale del modo automático.El clasificador ve mensajes de usuario, llamadas de herramientas, y su contenido de CLAUDE.md. Los resultados de herramientas se eliminan, por lo que el contenido hostil en un archivo o página web no puede manipularlo directamente. Una sonda separada del lado del servidor escanea los resultados de herramientas entrantes y marca contenido sospechoso antes de que Claude lo lea. Para más sobre cómo funcionan estas capas juntas, consulte el anuncio del modo automático y la inmersión profunda de ingeniería.Cómo el modo automático maneja subagentes
Cómo el modo automático maneja subagentes
El clasificador verifica el trabajo de subagentes en tres puntos:
- Antes de que un subagente comience, la descripción de tarea delegada se evalúa, por lo que una tarea que se ve peligrosa se bloquea en el momento de generación.
- Mientras el subagente se ejecuta, cada una de sus acciones pasa por el clasificador con las mismas reglas que la sesión principal, y cualquier
permissionModeen el frontmatter del subagente se ignora. - Cuando el subagente termina, el clasificador revisa su historial de acciones completo; si esa verificación de retorno marca una preocupación, se antepone una advertencia de seguridad a los resultados del subagente.
Costo y latencia
Costo y latencia
El clasificador se ejecuta en un modelo configurado por servidor que es independiente de su selección de
/model, por lo que cambiar modelos no cambia la disponibilidad del clasificador. Las llamadas del clasificador cuentan hacia su uso de tokens. Cada verificación envía una porción de la transcripción más la acción pendiente, añadiendo un viaje de ida y vuelta antes de la ejecución. Las lecturas y ediciones de directorio de trabajo fuera de rutas protegidas omiten el clasificador, por lo que la sobrecarga proviene principalmente de comandos de shell y operaciones de red.Permitir solo herramientas preaprobadas con modo dontAsk
El mododontAsk auto-deniega cada llamada de herramienta que de otro modo solicitaría. Solo las acciones que coinciden con tus reglas permissions.allow y comandos Bash de solo lectura pueden ejecutarse; las reglas ask explícitas se deniegan en lugar de solicitar. Esto hace que el modo sea completamente no interactivo para tuberías de CI o entornos restringidos donde predefines exactamente qué puede hacer Claude. Las sesiones en la nube en Claude Code en la web ignoran defaultMode: "dontAsk"; consulta bypassPermissions para obtener más detalles.
Establécelo al inicio con la bandera:
Omitir todas las verificaciones con modo bypassPermissions
El modobypassPermissions desactiva los avisos de permisos y las verificaciones de seguridad para que las llamadas de herramientas se ejecuten inmediatamente. A partir de v2.1.126, esto incluye escrituras en rutas protegidas, que las versiones anteriores aún solicitaban. Las reglas ask explícitas aún fuerzan un aviso en este modo, y las eliminaciones dirigidas al directorio raíz del sistema de archivos o al directorio de inicio, como rm -rf / y rm -rf ~, aún solicitan como un cortacircuitos contra errores del modelo. Use este modo solo en entornos aislados como contenedores, máquinas virtuales, o dev containers sin acceso a internet, donde Claude Code no puede dañar su sistema anfitrión.
No puede entrar en bypassPermissions desde una sesión que se inició sin una de las banderas de habilitación; reinicie con una para habilitarlo:
--dangerously-skip-permissions es equivalente.
En Linux y macOS, Claude Code se niega a iniciarse en este modo cuando se ejecuta como root o bajo sudo:
defaultMode: "bypassPermissions" o "dontAsk" de sus archivos de configuración, por lo que la configuración registrada en un repositorio no puede iniciar una sesión en la nube en modo bypass-permissions. La configuración se ignora silenciosamente y la sesión se inicia en el modo mostrado en el menú desplegable de modo en su lugar. Consulte Cambiar modos de permisos para ver qué modos ofrecen las sesiones en la nube.
Rutas protegidas
Las escrituras en un pequeño conjunto de rutas nunca se auto-aprueban, en cada modo exceptobypassPermissions. Esto previene la corrupción accidental del estado del repositorio y la configuración propia de Claude.
| Modo | Escrituras en rutas protegidas |
|---|---|
default, acceptEdits, plan | Solicitadas |
auto | Enrutadas al clasificador |
dontAsk | Denegadas |
bypassPermissions | Permitidas |
permissions.allow en archivos de configuración no pre-aprueban escrituras en rutas protegidas. La verificación de seguridad se ejecuta antes de que Claude Code evalúe las reglas de permitir desde la configuración, por lo que una entrada como Edit(.claude/**) en ~/.claude/settings.json o .claude/settings.json no cambia el resultado por modo en la tabla anterior. En modos que solicitan, la solicitud para una escritura en .claude/ ofrece Sí, y permitir que Claude edite su propia configuración para esta sesión, lo que aprueba escrituras posteriores en .claude/ en esa sesión sin solicitar de nuevo.
Directorios protegidos:
.git.config/git.vscode.idea.husky.cargo.devcontainer.yarn.mvn.claude, excepto para.claude/worktreesdonde Claude almacena sus propios git worktrees
.gitconfig,.gitmodules.bashrc,.bash_profile,.bash_login,.bash_aliases,.bash_logout,.zshrc,.zprofile,.zshenv,.zlogin,.zlogout,.profile,.envrc.npmrc,.yarnrc,.yarnrc.yml,.pnp.cjs,.pnp.loader.mjs,.pnpmfile.cjs,bunfig.toml,.bunfig.toml.bazelrc,.bazelversion,.bazeliskrc.pre-commit-config.yaml,lefthook.yml,lefthook.yaml,.lefthook.yml,.lefthook.yamlgradle-wrapper.properties,maven-wrapper.properties.devcontainer.json.ripgreprc,pyrightconfig.json.mcp.json,.claude.json
Ver también
- Permissions: reglas de permitir, preguntar y denegar; políticas administradas
- Configure auto mode: dile al clasificador qué infraestructura confía tu organización
- Hooks: lógica de permisos personalizada a través de hooks
PreToolUseyPermissionRequest - Ultraplan: ejecuta modo de planificación en una sesión de Claude Code en la web con revisión basada en navegador
- Security: salvaguardas y mejores prácticas
- Sandboxing: aislamiento de sistema de archivos y red para comandos Bash
- Non-interactive mode: ejecuta Claude Code con la bandera
-p