Перейти к основному содержанию
Режимы разрешений контролируют, будет ли Claude просить разрешение перед действием. Различные задачи требуют разных уровней автономии: вы можете захотеть полный контроль для чувствительной работы, минимальные прерывания для длительного рефакторинга или доступ только для чтения при изучении кодовой базы. На этой странице рассматривается, как:

Переключение режимов разрешений

Вы можете переключать режимы в любое время во время сеанса, при запуске или как постоянное значение по умолчанию. Механизм зависит от того, где вы запускаете Claude Code.
Во время сеанса: нажмите Shift+Tab для циклического переключения между defaultacceptEditsplanauto. Текущий режим отображается в строке состояния. auto не появляется в цикле, пока вы не передадите --enable-auto-mode при запуске. Auto также требует план Team (или Enterprise/API, когда станет доступно) и Claude Sonnet 4.6 или Opus 4.6, поэтому опция может остаться недоступной даже с флагом. Если bypassPermissions также включен, он появляется в цикле между plan и auto.При запуске: передайте режим как флаг CLI:
claude --permission-mode plan
По умолчанию: установите defaultMode в вашем файле настроек:
{
  "permissions": {
    "defaultMode": "acceptEdits"
  }
}
Неинтерактивно: тот же флаг работает с -p для скриптовых запусков:
claude -p "refactor auth" --permission-mode acceptEdits
dontAsk никогда не находится в цикле Shift+Tab. bypassPermissions появляется в цикле только если вы запустили сеанс с --permission-mode bypassPermissions, --dangerously-skip-permissions или --allow-dangerously-skip-permissions. Третий флаг добавляет режим в цикл без активации, поэтому вы можете комбинировать его с другим начальным режимом, например --permission-mode plan. Установите любой из них при запуске или в файле настроек.
Режимы разрешений устанавливаются через пользовательский интерфейс, флаги CLI или файлы настроек. Сообщение Claude “перестань просить разрешение” в чате не изменяет режим. Подробнее о том, как режимы взаимодействуют с правилами allow, ask и deny, см. в разделе Permissions.

Доступные режимы

Каждый режим делает разный компромисс между удобством и контролем. Выберите тот, который соответствует вашей задаче.
РежимЧто Claude может делать без запросаЛучше всего для
defaultЧитать файлыНачало работы, чувствительная работа
acceptEditsЧитать и редактировать файлыИтерация по коду, который вы проверяете
planЧитать файлыИзучение кодовой базы, планирование рефакторинга
autoВсе действия с фоновыми проверками безопасностиДолгосрочные задачи, снижение усталости от запросов
bypassPermissionsВсе действия, без проверокТолько изолированные контейнеры и виртуальные машины
dontAskТолько предварительно одобренные инструментыЗаблокированные среды

Анализируйте перед редактированием с помощью Plan mode

Plan mode указывает Claude исследовать и предложить изменения без их внесения. Claude читает файлы, запускает команды оболочки для исследования, задает уточняющие вопросы и пишет файл плана, но не редактирует исходный код. Запросы разрешений работают так же, как в режиме default: вы по-прежнему одобряете команды Bash, сетевые запросы и другие действия, которые обычно требуют запроса.

Когда использовать Plan mode

Plan mode полезен, когда вы хотите, чтобы Claude исследовал и предложил подход перед внесением изменений:
  • Многоэтапная реализация: когда функция требует редактирования множества файлов
  • Исследование кода: когда вы хотите исследовать кодовую базу перед изменением чего-либо
  • Интерактивная разработка: когда вы хотите итерировать направление с Claude

Запуск и использование Plan mode

Введите Plan mode для одного запроса, добавив префикс к подсказке с /plan, или переключите весь сеанс в Plan mode, нажав Shift+Tab для циклического переключения режимов разрешений. Вы также можете запустить в Plan mode из CLI: 
claude --permission-mode plan
Этот пример запускает сеанс планирования для сложного рефакторинга: 
I need to refactor our authentication system to use OAuth2. Create a detailed migration plan.
Claude анализирует текущую реализацию и создает план. Уточните с помощью дополнительных вопросов: 
What about backward compatibility?
How should we handle database migration?
Когда план готов, Claude представляет его и спрашивает, как действовать дальше. Из этого запроса вы можете:
  • Одобрить и начать в автоматическом режиме
  • Одобрить и принять редактирование
  • Одобрить и вручную проверить каждое редактирование
  • Продолжить планирование, которое отправляет вашу обратную связь Claude для еще одного раунда
Каждый вариант одобрения также предлагает сначала очистить контекст планирования.

Исключите запросы с помощью Auto mode

Auto mode доступен в планах Team, поддержка Enterprise и API скоро будет развернута. В Team и Enterprise администратор должен включить его в настройках администратора Claude Code перед тем, как пользователи смогут его включить. Требуется Claude Sonnet 4.6 или Claude Opus 4.6 и недоступен на Haiku, моделях claude-3 или сторонних поставщиках (Bedrock, Vertex, Foundry). Auto mode позволяет Claude выполнять действия без отображения запросов разрешений. Перед каждым действием отдельная модель классификатора проверяет разговор и решает, соответствует ли действие тому, что вы просили: она блокирует действия, которые выходят за пределы области задачи, нацелены на инфраструктуру, которую классификатор не признает доверенной, или кажутся вызванными враждебным содержимым, встреченным в файле или веб-странице. Для более глубокого понимания того, как разработан классификатор, см. объявление Auto mode.
Auto mode — это исследовательский предпросмотр. Он уменьшает запросы, но не гарантирует безопасность. Он обеспечивает большую защиту, чем bypassPermissions, но не так тщательно, как ручная проверка каждого действия. Используйте его для задач, в которых вы доверяете общему направлению, а не как замену проверке чувствительных операций.
Модель: классификатор работает на Claude Sonnet 4.6, даже если ваш основной сеанс использует другую модель. Стоимость: вызовы классификатора учитываются в использовании токенов так же, как вызовы основного сеанса. Каждое проверяемое действие отправляет часть стенограммы разговора плюс ожидающее действие классификатору. Дополнительная стоимость в основном поступает от команд оболочки и сетевых операций, так как действия только для чтения и редактирование файлов в вашем рабочем каталоге не запускают вызов классификатора. Задержка: каждая проверка классификатора добавляет круговой путь перед выполнением действия.

Как оцениваются действия

Каждое действие проходит через фиксированный порядок решений. Первый совпадающий шаг побеждает:
  1. Действия, соответствующие вашим правилам allow или deny, разрешаются немедленно
  2. Действия только для чтения и редактирование файлов в вашем рабочем каталоге автоматически одобряются
  3. Все остальное идет классификатору
  4. Если классификатор блокирует, Claude получает причину и пытается найти альтернативный подход
При входе в Auto mode Claude Code отбрасывает любое правило allow, которое, как известно, предоставляет произвольное выполнение кода: неограниченный доступ к оболочке, такой как Bash(*), подстановочные интерпретаторы скриптов, такие как Bash(python*) или Bash(node*), команды запуска менеджера пакетов и любое правило Agent. Эти правила автоматически одобрили бы команды и делегирования подагентов, наиболее способные причинить вред, прежде чем классификатор их когда-либо увидит. Узкие правила, такие как Bash(npm test), переносятся. Отброшенные правила восстанавливаются при выходе из Auto mode. Классификатор получает сообщения пользователя и вызовы инструментов в качестве входных данных, с удаленным собственным текстом Claude и результатами инструментов. Он также получает содержимое вашего CLAUDE.md, поэтому действия, описанные в инструкциях вашего проекта, учитываются при решениях о разрешении и блокировке. Поскольку результаты инструментов никогда не достигают классификатора, враждебное содержимое в файле или веб-странице не может манипулировать им напрямую. Классификатор оценивает ожидающее действие в соответствии с настраиваемым набором правил блокировки и разрешения, проверяя, является ли действие чрезмерно усердной эскалацией за пределы того, что вы просили, ошибкой о том, что безопасно трогать, или внезапным отклонением от вашего заявленного намерения, которое предполагает, что Claude, возможно, был направлен чем-то, что он прочитал. В отличие от ваших правил разрешений, которые соответствуют именам инструментов и шаблонам аргументов, классификатор читает прозаические описания того, что блокировать и разрешать: он рассуждает о действии в контексте, а не сопоставляет синтаксис.

Как Auto mode обрабатывает подагентов

Когда Claude порождает подагента, классификатор оценивает делегированную задачу перед запуском подагента. Описание задачи, которое выглядит опасным само по себе, например “удалить все удаленные ветви, соответствующие этому шаблону”, блокируется во время порождения. Внутри подагента Auto mode работает с теми же правилами блокировки и разрешения, что и родительский сеанс. Любой permissionMode, который подагент определяет в своем собственном frontmatter, игнорируется. Собственные вызовы инструментов подагента проходят через классификатор независимо. Когда подагент завершается, классификатор проверяет полную историю его действий. Подагент, который был безвредным во время порождения, мог быть скомпрометирован во время выполнения содержимым, которое он прочитал. Если проверка возврата выявляет проблему, предупреждение безопасности добавляется к результатам подагента, чтобы основной агент мог решить, как действовать дальше.

Что классификатор блокирует по умолчанию

По умолчанию классификатор доверяет вашему рабочему каталогу и, если вы находитесь в репозитории git, настроенным удаленным репозиториям этого репозитория. Все остальное рассматривается как внешнее: организации системы управления версиями вашей компании, облачные хранилища и внутренние сервисы неизвестны, пока вы не скажете классификатору о них. Блокируется по умолчанию:
  • Загрузка и выполнение кода, например curl | bash или скрипты из клонированных репозиториев
  • Отправка чувствительных данных на внешние конечные точки
  • Развертывание и миграция в производство
  • Массовое удаление в облачном хранилище
  • Предоставление разрешений IAM или репозитория
  • Изменение общей инфраструктуры
  • Необратимое уничтожение файлов, которые существовали до начала сеанса
  • Деструктивные операции управления исходным кодом, такие как force push или прямое отправление на main
Разрешается по умолчанию:
  • Локальные операции с файлами в вашем рабочем каталоге
  • Установка зависимостей, уже объявленных в файлах блокировки или манифестах
  • Чтение .env и отправка учетных данных на соответствующий API
  • Запросы HTTP только для чтения
  • Отправка на ветвь, с которой вы начали, или на ветвь, созданную Claude
Чтобы увидеть полные списки правил по умолчанию, как их получает классификатор, запустите claude auto-mode defaults. Если Auto mode блокирует что-то обычное для вашей команды, например отправку в репозиторий вашей собственной организации или запись в корзину компании, это потому, что классификатор не знает, что это доверенные. Администраторы могут добавлять доверенные репозитории, корзины и внутренние сервисы через параметр autoMode.environment: полное руководство по конфигурации см. в разделе Configure the auto mode classifier.

Когда Auto mode откатывается

Дизайн отката предотвращает ложные срабатывания от дерайления сеанса: ошибочная блокировка стоит Claude повторной попытки, а не вашего прогресса. Если классификатор блокирует действие 3 раза подряд или 20 раз всего в одном сеансе, Auto mode приостанавливается и Claude Code возобновляет запрос для каждого действия. Эти пороги не настраиваются.
  • CLI: вы видите уведомление в области состояния. Одобрение запрашиваемого действия сбрасывает счетчики отказов, поэтому вы можете продолжить в Auto mode
  • Неинтерактивный режим с флагом -p: прерывает сеанс, так как нет пользователя для запроса
Повторные блокировки обычно означают одно из двух: задача действительно требует действий, которые классификатор построен для остановки, или классификатор не имеет контекста о вашей доверенной инфраструктуре и рассматривает безопасные действия как рискованные. Если блокировки выглядят как ложные срабатывания или если классификатор что-то упустил, что должен был поймать, используйте /feedback для сообщения об этом. Если блокировки происходят потому, что классификатор не признает ваши репозитории или сервисы как доверенные, попросите администратора настроить доверенную инфраструктуру в управляемых параметрах.

Разрешить только предварительно одобренные инструменты с помощью dontAsk mode

Режим dontAsk автоматически отклоняет каждый инструмент, который не явно разрешен. Только действия, соответствующие вашим правилам /permissions allow или параметрам permissions.allow, могут выполняться. Если инструмент имеет явное правило ask, действие также отклоняется, а не запрашивается. Это делает режим полностью неинтерактивным, подходящим для конвейеров CI или ограниченных сред, где вы предварительно определяете ровно то, что Claude может делать. 
claude --permission-mode dontAsk

Пропустить все проверки с помощью bypassPermissions mode

Режим bypassPermissions отключает все запросы разрешений и проверки безопасности. Каждый вызов инструмента выполняется немедленно без какой-либо проверки. Используйте это только в изолированных средах, таких как контейнеры, виртуальные машины или devcontainers без доступа в Интернет, где Claude Code не может причинить вред вашей хост-системе. 
claude --permission-mode bypassPermissions
Флаг --dangerously-skip-permissions эквивалентен --permission-mode bypassPermissions: 
claude -p "refactor the auth module" --dangerously-skip-permissions
Режим bypassPermissions не обеспечивает защиту от инъекции подсказок или непредвиденных действий. Для более безопасной альтернативы, которая все еще поддерживает фоновые проверки безопасности, используйте Auto mode. Администраторы могут заблокировать этот режим, установив permissions.disableBypassPermissionsMode на "disable" в управляемых параметрах.

Сравнение подходов к разрешениям

Таблица ниже суммирует ключевые различия в том, как каждый режим обрабатывает одобрения. plan опущен, так как он ограничивает то, что Claude может делать, а не то, как работают одобрения.
defaultacceptEditsautodontAskbypassPermissions
Запросы разрешенийРедактирование файлов и командыТолько командыНет, если не срабатывает откатНет, блокировано, если не предварительно разрешеноНет
Проверки безопасностиВы проверяете каждое действиеВы проверяете командыКлассификатор проверяет командыТолько ваши предварительно одобренные правилаНет
Использование токеновСтандартноеСтандартноеВыше, из вызовов классификатораСтандартноеСтандартное

Дополнительная настройка разрешений

Режимы разрешений устанавливают базовое поведение одобрения. Для контроля над отдельными инструментами или командами наложите дополнительную конфигурацию поверх активного режима. Правила разрешений — это первая остановка. Добавьте записи allow, ask или deny в файл настроек, чтобы предварительно одобрить безопасные команды, принудить запрос для рискованных или полностью заблокировать определенные инструменты. Правила применяются в каждом режиме, кроме bypassPermissions, который полностью пропускает уровень разрешений, и соответствуют имени инструмента и шаблону аргумента. Синтаксис и примеры см. в разделе Manage permissions. Hooks охватывают логику, которую правила сопоставления шаблонов не могут выразить. Хук PreToolUse запускается перед каждым вызовом инструмента и может разрешить, отклонить или эскалировать на основе содержимого команды, путей файлов, времени суток или ответа от внешней службы политики. Хук PermissionRequest перехватывает само диалоговое окно разрешения и отвечает от вашего имени. Подробности см. в разделе Hooks.

См. также

  • Permissions: правила разрешений, синтаксис, управляемые политики
  • Hooks: пользовательская логика разрешений, скриптинг жизненного цикла
  • Security: гарантии безопасности и лучшие практики
  • Sandboxing: изоляция файловой системы и сети для команд Bash
  • Non-interactive mode: запуск Claude Code программно с флагом -p