Перейти к основному содержанию

Documentation Index

Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt

Use this file to discover all available pages before exploring further.

Когда Claude хочет отредактировать файл, выполнить команду оболочки или сделать сетевой запрос, он делает паузу и просит вас одобрить действие. Режимы разрешений контролируют, как часто происходит эта пауза. Выбранный вами режим определяет ход сеанса: режим по умолчанию требует от вас проверки каждого действия по мере его поступления, в то время как более свободные режимы позволяют Claude работать в более длительных непрерывных отрезках и сообщать о результатах по завершении. Выбирайте больше контроля для чувствительной работы или меньше прерываний, когда вы доверяете направлению.

Доступные режимы

Каждый режим делает разный компромисс между удобством и контролем. Таблица ниже показывает, что Claude может делать без запроса разрешения в каждом режиме.
РежимЧто выполняется без запросаЛучше всего для
defaultТолько чтениеНачало работы, чувствительная работа
acceptEditsЧтение, редактирование файлов и распространённые команды файловой системы (mkdir, touch, mv, cp и т.д.)Итерация по коду, который вы проверяете
planТолько чтениеИзучение кодовой базы перед её изменением
autoВсё, с фоновыми проверками безопасностиДлительные задачи, снижение усталости от запросов
dontAskТолько предварительно одобренные инструментыЗаблокированные CI и скрипты
bypassPermissionsВсёТолько изолированные контейнеры и виртуальные машины
Во всех режимах, кроме bypassPermissions, записи в защищённые пути никогда не одобряются автоматически, защищая состояние репозитория и собственную конфигурацию Claude от случайного повреждения. Режимы устанавливают базовое поведение. Наложите правила разрешений сверху, чтобы предварительно одобрить или заблокировать определённые инструменты в любом режиме, кроме bypassPermissions, который полностью пропускает уровень разрешений.

Переключение режимов разрешений

Вы можете переключать режимы во время сеанса, при запуске или как постоянное значение по умолчанию. Режим устанавливается через эти элементы управления, а не путём просьбы Claude в чате. Выберите ваш интерфейс ниже, чтобы увидеть, как его изменить.
Во время сеанса: нажмите Shift+Tab для циклического переключения defaultacceptEditsplan. Текущий режим отображается в строке состояния. Не все режимы находятся в цикле по умолчанию:
  • auto: появляется, когда ваша учётная запись соответствует требованиям режима auto; циклическое переключение на auto показывает запрос на согласие до тех пор, пока вы его не примете, или выберите Нет, больше не спрашивать, чтобы удалить auto из цикла
  • bypassPermissions: появляется после запуска с --permission-mode bypassPermissions, --dangerously-skip-permissions или --allow-dangerously-skip-permissions; вариант --allow- добавляет режим в цикл без активации
  • dontAsk: никогда не появляется в цикле; установите его с помощью --permission-mode dontAsk
Включённые дополнительные режимы вставляются после plan, с bypassPermissions первым и auto последним. Если у вас включены оба, вы будете циклически переключаться через bypassPermissions на пути к auto.При запуске: передайте режим как флаг.
claude --permission-mode plan
По умолчанию: установите defaultMode в settings.
{
  "permissions": {
    "defaultMode": "acceptEdits"
  }
}
Тот же флаг --permission-mode работает с -p для неинтерактивных запусков.

Автоматическое одобрение редактирования файлов с режимом acceptEdits

Режим acceptEdits позволяет Claude создавать и редактировать файлы в вашем рабочем каталоге без запроса. Строка состояния показывает ⏵⏵ accept edits on пока этот режим активен. В дополнение к редактированию файлов, режим acceptEdits автоматически одобряет распространённые команды Bash файловой системы: mkdir, touch, rm, rmdir, mv, cp и sed. Эти команды также автоматически одобряются при префиксе с безопасными переменными окружения, такими как LANG=C или NO_COLOR=1, или обёртками процессов, такими как timeout, nice или nohup. Как и редактирование файлов, автоматическое одобрение применяется только к путям внутри вашего рабочего каталога или additionalDirectories. Пути вне этой области, записи в защищённые пути и все остальные команды Bash по-прежнему требуют запроса. Когда инструмент PowerShell включен, режим acceptEdits также автоматически одобряет Set-Content, Add-Content, Clear-Content и Remove-Item на путях в области действия, вместе с их распространёнными псевдонимами. Применяются те же правила области действия и защищённых путей. Используйте acceptEdits, когда вы хотите проверить изменения в вашем редакторе или через git diff после того, как они будут сделаны, а не одобрять каждое редактирование в строке. Нажмите Shift+Tab один раз из режима по умолчанию, чтобы войти в него, или запустите его напрямую: 
claude --permission-mode acceptEdits

Анализируйте перед редактированием с режимом plan

Plan mode указывает Claude исследовать и предложить изменения без их внесения. Claude читает файлы, запускает команды оболочки для исследования и пишет план, но не редактирует ваш исходный код. Запросы разрешений по-прежнему применяются так же, как в режиме по умолчанию. Войдите в режим plan, нажав Shift+Tab или добавив префикс к одной подсказке с /plan. Вы также можете запустить в режиме plan из CLI: 
claude --permission-mode plan
Нажмите Shift+Tab снова, чтобы выйти из режима plan без одобрения плана.

Проверьте и одобрите план

Когда план готов, Claude представляет его и спрашивает, как действовать дальше. Из этого запроса вы можете:
  • Одобрить и запустить в режиме auto
  • Одобрить и принять редактирование
  • Одобрить и проверить каждое редактирование вручную
  • Продолжить планирование с обратной связью
  • Уточнить с помощью Ultraplan для проверки на основе браузера
Одобрение плана выходит из режима plan и переключает сеанс на режим разрешений, который описывает каждый вариант одобрения, поэтому Claude начинает редактирование. Чтобы снова планировать, вернитесь в режим plan с помощью Shift+Tab или добавьте префикс к следующей подсказке с /plan. Нажмите Ctrl+G, чтобы открыть предложенный план в текстовом редакторе по умолчанию и отредактировать его непосредственно перед тем, как Claude продолжит. Когда включена опция showClearContextOnPlanAccept, каждый вариант одобрения также предлагает сначала очистить контекст планирования. Принятие плана также автоматически называет сеанс на основе содержимого плана, если вы уже не установили имя с помощью --name или /rename.

Установите режим plan как режим по умолчанию

Чтобы сделать режим plan режимом по умолчанию для проекта, установите defaultMode в .claude/settings.json: 
{
  "permissions": {
    "defaultMode": "plan"
  }
}

Исключите запросы с режимом auto

Режим auto требует Claude Code v2.1.83 или позже.
Режим auto позволяет Claude выполнять действия без запросов разрешений. Отдельная модель классификатора проверяет действия перед их выполнением, блокируя всё, что выходит за пределы вашего запроса, нацелено на неизвестную инфраструктуру или кажется вызванным враждебным содержимым, которое Claude прочитал. Режим auto также инструктирует Claude выполнять действия немедленно и минимизировать уточняющие вопросы. Чтобы получить такое поведение, сохраняя запросы разрешений, установите вместо этого Proactive output style.
Режим auto — это исследовательский предпросмотр. Он уменьшает запросы, но не гарантирует безопасность. Используйте его для задач, в которых вы доверяете общему направлению, а не как замену проверке чувствительных операций.
Режим auto доступен только когда ваша учётная запись соответствует всем этим требованиям:
  • План: Max, Team, Enterprise или API. Недоступен на Pro.
  • Администратор: на Team и Enterprise администратор должен включить его в настройках администратора Claude Code перед тем, как пользователи смогут его включить. Администраторы также могут заблокировать его, установив permissions.disableAutoMode на "disable" в управляемых параметрах.
  • Модель: Claude Sonnet 4.6, Opus 4.6 или Opus 4.7 на планах Team, Enterprise и API; только Claude Opus 4.7 на планах Max. Другие модели, включая Haiku и модели claude-3, не поддерживаются.
  • Поставщик: только Anthropic API. Недоступен на Bedrock, Vertex или Foundry.
Если Claude Code сообщает, что режим auto недоступен, одно из этих требований не выполнено; это не временный сбой. Отдельное сообщение, которое называет модель и говорит, что режим auto “не может определить безопасность” действия, является временным сбоем классификатора; см. справку по ошибкам.

Что классификатор блокирует по умолчанию

Классификатор доверяет вашему рабочему каталогу и настроенным удалённым репозиториям вашего репо. Всё остальное рассматривается как внешнее до тех пор, пока вы не настроите доверенную инфраструктуру. Блокируется по умолчанию:
  • Загрузка и выполнение кода, например curl | bash
  • Отправка чувствительных данных на внешние конечные точки
  • Развертывание и миграция в производство
  • Массовое удаление в облачном хранилище
  • Предоставление разрешений IAM или репозитория
  • Изменение общей инфраструктуры
  • Необратимое уничтожение файлов, которые существовали до начала сеанса
  • Force push или прямая отправка на main
Разрешается по умолчанию:
  • Локальные операции с файлами в вашем рабочем каталоге
  • Установка зависимостей, объявленных в ваших файлах блокировки или манифестах
  • Чтение .env и отправка учётных данных на соответствующий API
  • Запросы HTTP только для чтения
  • Отправка на ветвь, с которой вы начали, или на ветвь, созданную Claude
Запросы доступа к сети в песочнице маршрутизируются через классификатор, а не разрешаются по умолчанию. Запустите claude auto-mode defaults, чтобы увидеть полные списки правил. Если обычные действия блокируются, администратор может добавить доверенные репозитории, корзины и сервисы через параметр autoMode.environment: см. Настройка режима auto.

Границы, которые вы указываете в разговоре

Классификатор рассматривает границы, которые вы указываете в разговоре, как сигнал блокировки. Если вы скажете Claude “не отправляй” или “подожди, пока я проверю перед развёртыванием”, классификатор блокирует соответствующие действия даже когда правила по умолчанию их разрешили бы. Граница остаётся в силе до тех пор, пока вы её не снимете в более позднем сообщении. Собственное суждение Claude о том, что условие было выполнено, не снимает его. Границы не хранятся как правила. Классификатор перечитывает их из стенограммы при каждой проверке, поэтому граница может быть потеряна, если компактирование контекста удалит сообщение, которое её указало. Для жёсткой гарантии добавьте правило deny вместо этого.

Когда режим auto откатывается

Каждое отклонённое действие показывает уведомление и появляется в /permissions на вкладке Recently denied, где вы можете нажать r, чтобы повторить его с ручным одобрением. Если классификатор блокирует действие 3 раза подряд или 20 раз всего, режим auto приостанавливается и Claude Code возобновляет запрос. Одобрение запрашиваемого действия возобновляет режим auto. Эти пороги не настраиваются. Любое разрешённое действие сбрасывает счётчик последовательных блокировок, в то время как счётчик всего сохраняется для сеанса и сбрасывается только когда его собственный лимит вызывает откат. В неинтерактивном режиме с флагом -p повторные блокировки прерывают сеанс, так как нет пользователя для запроса. Повторные блокировки обычно означают, что классификатор не имеет контекста о вашей инфраструктуре. Используйте /feedback для сообщения о ложных срабатываниях или попросите администратора настроить доверенную инфраструктуру.
Каждое действие проходит через фиксированный порядок решений. Первый совпадающий шаг побеждает:
  1. Действия, соответствующие вашим правилам allow или deny, разрешаются немедленно
  2. Действия только для чтения и редактирование файлов в вашем рабочем каталоге автоматически одобряются, кроме записей в защищённые пути
  3. Всё остальное идёт классификатору
  4. Если классификатор блокирует, Claude получает причину и пытается найти альтернативу
При входе в режим auto широкие правила allow, которые предоставляют произвольное выполнение кода, отбрасываются:
  • Неограниченный Bash(*)
  • Подстановочные интерпретаторы, такие как Bash(python*)
  • Команды запуска менеджера пакетов
  • Правила Agent allow
Узкие правила, такие как Bash(npm test), переносятся. Отброшенные правила восстанавливаются при выходе из режима auto.Классификатор видит сообщения пользователя, вызовы инструментов и содержимое вашего CLAUDE.md. Результаты инструментов удаляются, поэтому враждебное содержимое в файле или веб-странице не может манипулировать им напрямую. Отдельный зонд на стороне сервера сканирует входящие результаты инструментов и отмечает подозрительное содержимое перед тем, как Claude его прочитает. Для получения дополнительной информации о том, как эти слои работают вместе, см. объявление режима auto и инженерный анализ.
Классификатор проверяет работу подагента в трёх точках:
  1. Перед запуском подагента описание делегированной задачи оценивается, поэтому опасно выглядящая задача блокируется во время порождения.
  2. Пока подагент работает, каждое его действие проходит через классификатор с теми же правилами, что и родительский сеанс, и любой permissionMode в frontmatter подагента игнорируется.
  3. Когда подагент завершается, классификатор проверяет полную историю его действий; если эта проверка возврата выявляет проблему, предупреждение безопасности добавляется к результатам подагента.
Классификатор работает на модели, настроенной на сервере, которая независима от вашего выбора /model, поэтому переключение моделей не изменяет доступность классификатора. Вызовы классификатора учитываются в использовании токенов. Каждая проверка отправляет часть стенограммы плюс ожидающее действие, добавляя круговой путь перед выполнением. Чтение и редактирование рабочего каталога вне защищённых путей пропускают классификатор, поэтому накладные расходы поступают в основном от команд оболочки и сетевых операций.

Разрешить только предварительно одобренные инструменты с режимом dontAsk

Режим dontAsk автоматически отклоняет каждый вызов инструмента, который иначе требовал бы запроса. Только действия, соответствующие вашим правилам permissions.allow и командам Bash только для чтения, могут выполняться; явные правила ask отклоняются, а не запрашиваются. Это делает режим полностью неинтерактивным для конвейеров CI или ограниченных сред, где вы предварительно определяете ровно то, что Claude может делать. Установите его при запуске с флагом: 
claude --permission-mode dontAsk

Пропустить все проверки с режимом bypassPermissions

Режим bypassPermissions отключает запросы разрешений и проверки безопасности, чтобы вызовы инструментов выполнялись немедленно. Начиная с версии 2.1.126, это включает записи в защищённые пути, на которые более ранние версии по-прежнему выдавали запросы. Удаления, нацеленные на корневой каталог файловой системы или домашний каталог, такие как rm -rf / и rm -rf ~, по-прежнему выдают запросы в качестве защиты от ошибок модели. Используйте этот режим только в изолированных средах, таких как контейнеры, виртуальные машины или dev containers без доступа в Интернет, где Claude Code не может повредить вашу хост-систему. Вы не можете войти в bypassPermissions из сеанса, который был запущен без одного из включающих флагов; перезапустите с одним, чтобы включить его: 
claude --permission-mode bypassPermissions
Флаг --dangerously-skip-permissions эквивалентен. На Linux и macOS Claude Code отказывается запускаться в этом режиме при запуске от пользователя root или под sudo: 
--dangerously-skip-permissions cannot be used with root/sudo privileges for security reasons
Проверка пропускается автоматически внутри признанной песочницы. Для автономного запуска в контейнере используйте конфигурацию dev container, которая запускает Claude Code от непривилегированного пользователя.
bypassPermissions не обеспечивает защиту от инъекции подсказок или непредвиденных действий. Для фоновых проверок безопасности без запросов используйте режим auto вместо этого. Администраторы могут заблокировать этот режим, установив permissions.disableBypassPermissionsMode на "disable" в управляемых параметрах.

Защищённые пути

Записи в небольшой набор путей никогда не одобряются автоматически, в каждом режиме, кроме bypassPermissions. Это предотвращает случайное повреждение состояния репозитория и собственной конфигурации Claude. В default, acceptEdits и plan эти записи требуют подтверждения; в auto они маршрутизируются классификатору; в dontAsk они отклоняются; в bypassPermissions они разрешены. Защищённые каталоги:
  • .git
  • .vscode
  • .idea
  • .husky
  • .claude, кроме .claude/commands, .claude/agents, .claude/skills и .claude/worktrees, где Claude регулярно создаёт содержимое
Защищённые файлы:
  • .gitconfig, .gitmodules
  • .bashrc, .bash_profile, .zshrc, .zprofile, .profile
  • .ripgreprc
  • .mcp.json, .claude.json

См. также

  • Permissions: правила allow, ask и deny; управляемые политики
  • Configure auto mode: скажите классификатору, какую инфраструктуру ваша организация доверяет
  • Hooks: пользовательская логика разрешений через hooks PreToolUse и PermissionRequest
  • Ultraplan: запустите режим plan в сеансе Claude Code в веб-версии с проверкой на основе браузера
  • Security: гарантии безопасности и лучшие практики
  • Sandboxing: изоляция файловой системы и сети для команд Bash
  • Non-interactive mode: запустите Claude Code с флагом -p