Pular para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt

Use this file to discover all available pages before exploring further.

Quando Claude quer editar um arquivo, executar um comando shell ou fazer uma solicitação de rede, ele pausa e pede sua aprovação. Os modos de permissão controlam com que frequência essa pausa acontece. O modo que você escolhe molda o fluxo de uma sessão: o modo padrão faz você revisar cada ação conforme ela chega, enquanto modos mais flexíveis permitem que Claude trabalhe em trechos mais longos ininterruptos e relate quando terminar. Escolha mais supervisão para trabalho sensível, ou menos interrupções quando você confia na direção.

Modos disponíveis

Cada modo faz um tradeoff diferente entre conveniência e supervisão. A tabela abaixo mostra o que Claude pode fazer sem um prompt de permissão em cada modo.
ModoO que é executado sem pedirMelhor para
defaultApenas leiturasComeçando, trabalho sensível
acceptEditsLeituras, edições de arquivo e comandos comuns do filesystem (mkdir, touch, mv, cp, etc.)Iterando em código que você está revisando
planApenas leiturasExplorando uma base de código antes de alterá-la
autoTudo, com verificações de segurança de fundoTarefas longas, reduzindo fadiga de prompt
dontAskApenas ferramentas pré-aprovadasCI bloqueado e scripts
bypassPermissionsTudoApenas contêineres e VMs isolados
Em todos os modos exceto bypassPermissions, escritas em caminhos protegidos nunca são auto-aprovadas, protegendo o estado do repositório e a configuração própria de Claude contra corrupção acidental. Os modos definem a linha de base. Sobreponha regras de permissão no topo para pré-aprovar ou bloquear ferramentas específicas em qualquer modo exceto bypassPermissions, que pula a camada de permissão inteiramente.

Alternar modos de permissão

Você pode alternar modos no meio de uma sessão, na inicialização ou como padrão persistente. O modo é definido através desses controles, não pedindo a Claude no chat. Selecione sua interface abaixo para ver como alterá-lo.
Durante uma sessão: pressione Shift+Tab para ciclar defaultacceptEditsplan. O modo atual aparece na barra de status. Nem todo modo está no ciclo padrão:
  • auto: aparece quando sua conta atende aos requisitos do auto mode; ciclar para auto mostra um prompt de aceitação até que você o aceite, ou selecione Não, não pergunte novamente para remover auto do ciclo
  • bypassPermissions: aparece depois que você inicia com --permission-mode bypassPermissions, --dangerously-skip-permissions, ou --allow-dangerously-skip-permissions; a variante --allow- adiciona o modo ao ciclo sem ativá-lo
  • dontAsk: nunca aparece no ciclo; defina-o com --permission-mode dontAsk
Os modos opcionais habilitados se encaixam após plan, com bypassPermissions primeiro e auto por último. Se você tiver ambos habilitados, você ciclará através de bypassPermissions a caminho de auto.Na inicialização: passe o modo como uma flag.
claude --permission-mode plan
Como padrão: defina defaultMode em settings.
{
  "permissions": {
    "defaultMode": "acceptEdits"
  }
}
A mesma flag --permission-mode funciona com -p para execuções não-interativas.

Auto-approve file edits with acceptEdits mode

O modo acceptEdits permite que Claude crie e edite arquivos em seu diretório de trabalho sem solicitar. A barra de status mostra ⏵⏵ accept edits on enquanto este modo está ativo. Além de edições de arquivo, o modo acceptEdits auto-aprova comandos Bash comuns do filesystem: mkdir, touch, rm, rmdir, mv, cp e sed. Esses comandos também são auto-aprovados quando prefixados com variáveis de ambiente seguras como LANG=C ou NO_COLOR=1, ou wrappers de processo como timeout, nice ou nohup. Como edições de arquivo, a auto-aprovação se aplica apenas a caminhos dentro de seu diretório de trabalho ou additionalDirectories. Caminhos fora desse escopo, escritas em caminhos protegidos e todos os outros comandos Bash ainda solicitam. Quando a ferramenta PowerShell está ativada, o modo acceptEdits também auto-aprova Set-Content, Add-Content, Clear-Content e Remove-Item em caminhos dentro do escopo, junto com seus aliases comuns. As mesmas regras de escopo e caminho protegido se aplicam. Use acceptEdits quando você quer revisar alterações em seu editor ou via git diff depois do fato em vez de aprovar cada edição inline. Pressione Shift+Tab uma vez do modo padrão para entrar nele, ou inicie com ele diretamente: 
claude --permission-mode acceptEdits

Analise antes de editar com plan mode

Plan mode diz a Claude para pesquisar e propor alterações sem fazê-las. Claude lê arquivos, executa comandos shell para explorar e escreve um plano, mas não edita seu código-fonte. Prompts de permissão ainda se aplicam da mesma forma que o modo padrão. Entre em plan mode pressionando Shift+Tab ou prefixando um único prompt com /plan. Você também pode iniciar em plan mode a partir da CLI: 
claude --permission-mode plan
Pressione Shift+Tab novamente para sair do plan mode sem aprovar um plano.

Revise e aprove um plano

Quando o plano está pronto, Claude o apresenta e pergunta como proceder. A partir desse prompt você pode:
  • Aprovar e iniciar em auto mode
  • Aprovar e aceitar edições
  • Aprovar e revisar cada edição manualmente
  • Continuar planejando com feedback
  • Refinar com Ultraplan para revisão baseada em navegador
Aprovando um plano sai do plan mode e muda a sessão para o modo de permissão que cada opção de aprovação descreve, então Claude começa a editar. Para planejar novamente, volte ao plan mode com Shift+Tab, ou prefixe seu próximo prompt com /plan. Pressione Ctrl+G para abrir o plano proposto no seu editor de texto padrão e editá-lo diretamente antes de Claude prosseguir. Quando showClearContextOnPlanAccept está ativado, cada opção de aprovação também oferece limpar o contexto de planejamento primeiro. Aceitar um plano também nomeia a sessão a partir do conteúdo do plano automaticamente, a menos que você já tenha definido um nome com --name ou /rename.

Defina plan mode como o padrão

Para fazer do plan mode o padrão para um projeto, defina defaultMode em .claude/settings.json: 
{
  "permissions": {
    "defaultMode": "plan"
  }
}

Elimine prompts com auto mode

Auto mode requer Claude Code v2.1.83 ou posterior.
Auto mode permite que Claude execute sem prompts de permissão. Um modelo classificador separado revisa ações antes de serem executadas, bloqueando qualquer coisa que escale além de sua solicitação, direcione infraestrutura não reconhecida ou pareça impulsionada por conteúdo hostil que Claude leu. Auto mode também instrui Claude a executar imediatamente e minimizar perguntas de esclarecimento. Para obter esse comportamento mantendo prompts de permissão, defina o estilo de saída proativo em vez disso.
Auto mode é uma visualização de pesquisa. Reduz prompts mas não garante segurança. Use-o para tarefas onde você confia na direção geral, não como substituto para revisão em operações sensíveis.
Auto mode está disponível apenas quando sua conta atende a todos esses requisitos:
  • Plan: Max, Team, Enterprise ou API. Não disponível em Pro.
  • Admin: em Team e Enterprise, um admin deve habilitá-lo em configurações de admin do Claude Code antes que os usuários possam ativá-lo. Admins também podem bloqueá-lo definindo permissions.disableAutoMode para "disable" em configurações gerenciadas.
  • Model: Claude Sonnet 4.6, Opus 4.6 ou Opus 4.7 em planos Team, Enterprise e API; Claude Opus 4.7 apenas em planos Max. Outros modelos, incluindo Haiku e modelos claude-3, não são suportados.
  • Provider: Apenas API Anthropic. Não disponível em Bedrock, Vertex ou Foundry.
Se Claude Code relatar auto mode como indisponível, um desses requisitos não foi atendido; isso não é uma interrupção transitória. Uma mensagem separada que nomeia um modelo e diz que auto mode “não pode determinar a segurança” de uma ação é uma interrupção transitória do classificador; veja a referência de erro.

O que o classificador bloqueia por padrão

O classificador confia em seu diretório de trabalho e nos remotos configurados do seu repositório. Tudo mais é tratado como externo até que você configure infraestrutura confiável. Bloqueado por padrão:
  • Baixar e executar código, como curl | bash
  • Enviar dados sensíveis para endpoints externos
  • Deploys e migrações de produção
  • Exclusão em massa no armazenamento em nuvem
  • Concessão de permissões IAM ou repositório
  • Modificação de infraestrutura compartilhada
  • Destruição irreversível de arquivos que existiam antes da sessão
  • Force push ou push direto para main
Permitido por padrão:
  • Operações de arquivo local em seu diretório de trabalho
  • Instalação de dependências declaradas em seus arquivos de lock ou manifestos
  • Leitura de .env e envio de credenciais para sua API correspondente
  • Solicitações HTTP somente leitura
  • Push para o ramo em que você começou ou um que Claude criou
Solicitações de acesso à rede do sandbox são roteadas através do classificador em vez de serem permitidas por padrão. Execute claude auto-mode defaults para ver as listas de regras completas. Se ações rotineiras forem bloqueadas, um administrador pode adicionar repositórios confiáveis, buckets e serviços via configuração autoMode.environment: veja Configure auto mode.

Limites que você declara na conversa

O classificador trata limites que você declara na conversa como um sinal de bloqueio. Se você disser a Claude “não faça push” ou “espere até eu revisar antes de fazer deploy”, o classificador bloqueia ações correspondentes mesmo quando as regras padrão as permitiriam. Um limite permanece em vigor até que você o levante em uma mensagem posterior. O próprio julgamento de Claude de que uma condição foi atendida não o levanta. Limites não são armazenados como regras. O classificador os relê da transcrição em cada verificação, então um limite pode ser perdido se compactação de contexto remover a mensagem que o declarou. Para uma garantia difícil, adicione uma regra de negação em vez disso.

Quando auto mode volta para trás

Cada ação negada mostra uma notificação e aparece em /permissions sob a aba Recently denied, onde você pode pressionar r para tentar novamente com uma aprovação manual. Se o classificador bloqueia uma ação 3 vezes seguidas ou 20 vezes no total, auto mode pausa e Claude Code retoma prompts. Aprovar a ação solicitada retoma auto mode. Esses limites não são configuráveis. Qualquer ação permitida reseta o contador consecutivo, enquanto o contador total persiste para a sessão e reseta apenas quando seu próprio limite dispara um fallback. Em modo não-interativo com a flag -p, bloqueios repetidos abortam a sessão já que não há usuário para solicitar. Bloqueios repetidos geralmente significam que o classificador está perdendo contexto sobre sua infraestrutura. Use /feedback para relatar falsos positivos, ou peça a um administrador para configurar infraestrutura confiável.
Cada ação passa por uma ordem de decisão fixa. O primeiro passo correspondente vence:
  1. Ações correspondentes às suas regras de permitir ou negar resolvem imediatamente
  2. Ações somente leitura e edições de arquivo em seu diretório de trabalho são auto-aprovadas, exceto escritas em caminhos protegidos
  3. Tudo mais vai para o classificador
  4. Se o classificador bloqueia, Claude recebe o motivo e tenta uma alternativa
Ao entrar em auto mode, regras de permitir amplas que concedem execução de código arbitrário são descartadas:
  • Bash(*) abrangente ou PowerShell(*)
  • Intérpretes com caracteres curinga como Bash(python*)
  • Comandos de execução do gerenciador de pacotes
  • Regras Agent
Regras estreitas como Bash(npm test) são mantidas. As regras descartadas são restauradas quando você sai do auto mode.O classificador vê mensagens de usuário, chamadas de ferramenta e seu conteúdo CLAUDE.md. Resultados de ferramenta são removidos, então conteúdo hostil em um arquivo ou página da web não pode manipulá-lo diretamente. Uma sonda separada do lado do servidor verifica resultados de ferramenta recebidos e sinaliza conteúdo suspeito antes de Claude lê-lo. Para mais sobre como essas camadas funcionam juntas, veja o anúncio do auto mode e a análise técnica de engenharia.
O classificador verifica trabalho de subagente em três pontos:
  1. Antes de um subagente iniciar, a descrição da tarefa delegada é avaliada, então uma tarefa que parece perigosa é bloqueada no tempo de geração.
  2. Enquanto o subagente é executado, cada uma de suas ações passa pelo classificador com as mesmas regras que a sessão pai, e qualquer permissionMode no frontmatter do subagente é ignorado.
  3. Quando o subagente termina, o classificador revisa seu histórico de ação completo; se essa verificação de retorno sinaliza uma preocupação, um aviso de segurança é adicionado aos resultados do subagente.
O classificador é executado em um modelo configurado pelo servidor que é independente de sua seleção /model, então alternar modelos não muda a disponibilidade do classificador. Chamadas do classificador contam para seu uso de tokens. Cada verificação envia uma porção da transcrição mais a ação pendente, adicionando uma viagem de ida e volta antes da execução. Leituras e edições de diretório de trabalho fora de caminhos protegidos pulam o classificador, então a sobrecarga vem principalmente de comandos shell e operações de rede.

Allow only pre-approved tools with dontAsk mode

O modo dontAsk auto-nega toda chamada de ferramenta que de outra forma solicitaria. Apenas ações correspondentes às suas regras permissions.allow e comandos Bash somente leitura podem ser executadas; regras ask explícitas são negadas em vez de solicitar. Isso torna o modo totalmente não-interativo para pipelines CI ou ambientes restritos onde você pré-define exatamente o que Claude pode fazer. Defina-o na inicialização com a flag: 
claude --permission-mode dontAsk

Pule todas as verificações com o modo bypassPermissions

O modo bypassPermissions desabilita prompts de permissão e verificações de segurança para que chamadas de ferramenta sejam executadas imediatamente. A partir da v2.1.126, isso inclui escritas em caminhos protegidos, que versões anteriores ainda solicitavam. Remoções direcionadas à raiz do sistema de arquivos ou diretório home, como rm -rf / e rm -rf ~, ainda solicitam como um disjuntor contra erro do modelo. Use este modo apenas em ambientes isolados como contêineres, VMs ou dev containers sem acesso à internet, onde Claude Code não pode danificar seu sistema host. Você não pode entrar em bypassPermissions a partir de uma sessão que foi iniciada sem uma das flags de habilitação; reinicie com uma para habilitá-lo: 
claude --permission-mode bypassPermissions
A flag --dangerously-skip-permissions é equivalente. No Linux e macOS, Claude Code recusa iniciar neste modo quando executado como root ou sob sudo: 
--dangerously-skip-permissions cannot be used with root/sudo privileges for security reasons
A verificação é ignorada automaticamente dentro de uma sandbox reconhecida. Para executar autonomamente em um contêiner, use a configuração dev container, que executa Claude Code como um usuário não-root.
bypassPermissions não oferece proteção contra injeção de prompt ou ações não intencionais. Para verificações de segurança de fundo sem prompts, use auto mode em vez disso. Administradores podem bloquear este modo definindo permissions.disableBypassPermissionsMode para "disable" em configurações gerenciadas.

Caminhos protegidos

Escritas em um pequeno conjunto de caminhos nunca são auto-aprovadas, em todos os modos exceto bypassPermissions. Isso previne corrupção acidental do estado do repositório e da configuração própria de Claude. Em default, acceptEdits e plan essas escritas solicitam; em auto elas são roteadas para o classificador; em dontAsk elas são negadas; em bypassPermissions elas são permitidas. Diretórios protegidos:
  • .git
  • .vscode
  • .idea
  • .husky
  • .claude, exceto para .claude/commands, .claude/agents, .claude/skills e .claude/worktrees onde Claude rotineiramente cria conteúdo
Arquivos protegidos:
  • .gitconfig, .gitmodules
  • .bashrc, .bash_profile, .zshrc, .zprofile, .profile
  • .ripgreprc
  • .mcp.json, .claude.json

See also

  • Permissions: regras de permitir, pedir e negar; políticas gerenciadas
  • Configure auto mode: diga ao classificador qual infraestrutura sua organização confia
  • Hooks: lógica de permissão personalizada via hooks PreToolUse e PermissionRequest
  • Ultraplan: execute plan mode em uma sessão Claude Code na web com revisão baseada em navegador
  • Security: salvaguardas e melhores práticas
  • Sandboxing: isolamento de filesystem e rede para comandos Bash
  • Non-interactive mode: execute Claude Code com a flag -p