> ## Documentation Index
> Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Выберите режим разрешений

> Контролируйте, будет ли Claude просить разрешение перед редактированием файлов или выполнением команд. Переключайте режимы с помощью Shift+Tab в CLI или используйте селектор режима в VS Code, Desktop и claude.ai.

Когда Claude хочет отредактировать файл, выполнить команду оболочки или сделать сетевой запрос, он делает паузу и просит вас одобрить действие. Режимы разрешений контролируют, как часто происходит эта пауза. Выбранный вами режим определяет ход сеанса: режим по умолчанию требует от вас проверки каждого действия по мере его поступления, в то время как более свободные режимы позволяют Claude работать в более длительных непрерывных отрезках и сообщать о результатах по завершении. Выбирайте больше контроля для чувствительной работы или меньше прерываний, когда вы доверяете направлению.

<h2 id="available-modes">
  Доступные режимы
</h2>

Каждый режим делает разный компромисс между удобством и контролем. Таблица ниже показывает, что Claude может делать без запроса разрешения в каждом режиме.

| Режим                                                               | Что выполняется без запроса                                                                                     | Лучше всего для                                      |
| :------------------------------------------------------------------ | :-------------------------------------------------------------------------------------------------------------- | :--------------------------------------------------- |
| `default`                                                           | Только чтение                                                                                                   | Начало работы, чувствительная работа                 |
| [`acceptEdits`](#auto-approve-file-edits-with-acceptedits-mode)     | Чтение, редактирование файлов и распространённые команды файловой системы (`mkdir`, `touch`, `mv`, `cp` и т.д.) | Итерация по коду, который вы проверяете              |
| [`plan`](#analyze-before-you-edit-with-plan-mode)                   | Только чтение                                                                                                   | Изучение кодовой базы перед её изменением            |
| [`auto`](#eliminate-prompts-with-auto-mode)                         | Всё, с фоновыми проверками безопасности                                                                         | Длительные задачи, снижение усталости от запросов    |
| [`dontAsk`](#allow-only-pre-approved-tools-with-dontask-mode)       | Только предварительно одобренные инструменты                                                                    | Заблокированные CI и скрипты                         |
| [`bypassPermissions`](#skip-all-checks-with-bypasspermissions-mode) | Всё                                                                                                             | Только изолированные контейнеры и виртуальные машины |

Во всех режимах, кроме `bypassPermissions`, записи в [защищённые пути](#protected-paths) никогда не одобряются автоматически, защищая состояние репозитория и собственную конфигурацию Claude от случайного повреждения.

Режимы устанавливают базовое поведение. Наложите [правила разрешений](/ru/permissions#manage-permissions) сверху, чтобы предварительно одобрить или заблокировать определённые инструменты. Правила отказа и явные правила запроса применяются в каждом режиме, включая `bypassPermissions`. Правила разрешения не имеют эффекта в этом режиме, потому что всё остальное уже одобрено.

<h2 id="switch-permission-modes">
  Переключение режимов разрешений
</h2>

Вы можете переключать режимы во время сеанса, при запуске или как постоянное значение по умолчанию. Режим устанавливается через эти элементы управления, а не путём просьбы Claude в чате. Выберите ваш интерфейс ниже, чтобы увидеть, как его изменить.

<Tabs>
  <Tab title="CLI">
    **Во время сеанса**: нажмите `Shift+Tab` для циклического переключения `default` → `acceptEdits` → `plan`. Текущий режим отображается в строке состояния. Не все режимы находятся в цикле по умолчанию:

    * `auto`: появляется, когда ваша учётная запись соответствует [требованиям режима auto](#eliminate-prompts-with-auto-mode); циклическое переключение на него переключает режимы без подтверждающего запроса
    * `bypassPermissions`: появляется после запуска с `--permission-mode bypassPermissions`, `--dangerously-skip-permissions` или `--allow-dangerously-skip-permissions`; вариант `--allow-` добавляет режим в цикл без активации
    * `dontAsk`: никогда не появляется в цикле; установите его с помощью `--permission-mode dontAsk`

    Включённые дополнительные режимы вставляются после `plan`, с `bypassPermissions` первым и `auto` последним. Если у вас включены оба, вы будете циклически переключаться через `bypassPermissions` на пути к `auto`.

    **При запуске**: передайте режим как флаг.

    ```bash theme={null}
    claude --permission-mode plan
    ```

    **По умолчанию**: установите `defaultMode` в [settings](/ru/settings#settings-files).

    ```json theme={null}
    {
      "permissions": {
        "defaultMode": "acceptEdits"
      }
    }
    ```

    Тот же флаг `--permission-mode` работает с `-p` для [неинтерактивных запусков](/ru/headless).
  </Tab>

  <Tab title="VS Code">
    **Во время сеанса**: нажмите индикатор режима в нижней части поля подсказки.

    **По умолчанию**: установите `claudeCode.initialPermissionMode` в настройках VS Code или используйте панель настроек расширения Claude Code.

    Индикатор режима показывает эти метки, соответствующие режиму, к которому каждая применяется:

    | Метка пользовательского интерфейса | Режим               |
    | :--------------------------------- | :------------------ |
    | Ask before edits                   | `default`           |
    | Edit automatically                 | `acceptEdits`       |
    | Plan mode                          | `plan`              |
    | Auto mode                          | `auto`              |
    | Bypass permissions                 | `bypassPermissions` |

    Auto mode появляется в индикаторе режима, когда ваша учётная запись соответствует каждому требованию, перечисленному в [разделе режима auto](#eliminate-prompts-with-auto-mode). Параметр `claudeCode.initialPermissionMode` не принимает `auto`. Чтобы запустить в режиме auto по умолчанию, установите `defaultMode` в вашем [пользовательском settings](/ru/settings#settings-files) вместо этого. Claude Code игнорирует `defaultMode: "auto"` в настройках проекта и локальных настройках.

    Bypass permissions требует переключателя **Allow dangerously skip permissions** в настройках расширения перед тем, как он появится в индикаторе режима.

    Подробности, специфичные для расширения, см. в [руководстве VS Code](/ru/vs-code).
  </Tab>

  <Tab title="JetBrains">
    Плагин JetBrains запускает Claude Code в терминале IDE, поэтому переключение режимов работает так же, как в CLI: нажмите `Shift+Tab` для циклического переключения или передайте `--permission-mode` при запуске.
  </Tab>

  <Tab title="Desktop">
    Используйте селектор режима рядом с кнопкой отправки. Auto и Bypass permissions появляются только после того, как вы их включите в настройках Desktop. Подробности см. в [руководстве Desktop](/ru/desktop#choose-a-permission-mode).
  </Tab>

  <Tab title="Web and mobile">
    Используйте раскрывающееся меню режима рядом с полем подсказки на [claude.ai/code](https://claude.ai/code) или в мобильном приложении. Запросы разрешений появляются в claude.ai для одобрения. Какие режимы появляются, зависит от того, где выполняется сеанс:

    * **Облачные сеансы** на [Claude Code в веб-версии](/ru/claude-code-on-the-web): Accept edits, Plan mode и Auto mode. Accept edits соответствует режиму `default`: облачная среда предварительно одобряет редактирование файлов независимо от режима, поэтому раскрывающееся меню показывает Accept edits вместо Ask permissions. `defaultMode: "acceptEdits"` из настроек по-прежнему соблюдается. Auto mode появляется только когда ваша организация это разрешает и выбранная модель это поддерживает. Bypass permissions недоступен.
    * **Сеансы [Remote Control](/ru/remote-control)** на вашем локальном компьютере: Ask permissions, Auto accept edits и Plan mode. Auto и Bypass permissions недоступны.

    Для Remote Control вы также можете установить начальный режим при запуске хоста:

    ```bash theme={null}
    claude remote-control --permission-mode acceptEdits
    ```
  </Tab>
</Tabs>

<h2 id="auto-approve-file-edits-with-acceptedits-mode">
  Автоматическое одобрение редактирования файлов с режимом acceptEdits
</h2>

Режим `acceptEdits` позволяет Claude создавать и редактировать файлы в вашем рабочем каталоге без запроса. Строка состояния показывает `⏵⏵ accept edits on` пока этот режим активен.

В дополнение к редактированию файлов, режим `acceptEdits` автоматически одобряет распространённые команды Bash файловой системы: `mkdir`, `touch`, `rm`, `rmdir`, `mv`, `cp` и `sed`. Эти команды также автоматически одобряются при префиксе с безопасными переменными окружения, такими как `LANG=C` или `NO_COLOR=1`, или обёртками процессов, такими как `timeout`, `nice` или `nohup`. Как и редактирование файлов, автоматическое одобрение применяется только к путям внутри вашего рабочего каталога или `additionalDirectories`. Пути вне этой области, записи в [защищённые пути](#protected-paths) и все остальные команды Bash по-прежнему требуют запроса.

Когда инструмент [PowerShell](/ru/tools-reference#powershell-tool) включен, режим `acceptEdits` также автоматически одобряет `Set-Content`, `Add-Content`, `Clear-Content` и `Remove-Item` на путях в области действия, вместе с их распространёнными псевдонимами. Применяются те же правила области действия и защищённых путей.

Используйте `acceptEdits`, когда вы хотите проверить изменения в вашем редакторе или через `git diff` после того, как они будут сделаны, а не одобрять каждое редактирование в строке. Нажмите `Shift+Tab` один раз из режима по умолчанию, чтобы войти в него, или запустите его напрямую:

```bash theme={null}
claude --permission-mode acceptEdits
```

<h2 id="analyze-before-you-edit-with-plan-mode">
  Анализируйте перед редактированием с режимом plan
</h2>

Plan mode указывает Claude исследовать и предложить изменения без их внесения. Claude читает файлы, запускает команды оболочки для исследования и пишет план, но не редактирует ваш исходный код. Запросы разрешений по-прежнему применяются так же, как в режиме по умолчанию.

Войдите в режим plan, нажав `Shift+Tab` или добавив префикс к одной подсказке с `/plan`. Вы также можете запустить в режиме plan из CLI:

```bash theme={null}
claude --permission-mode plan
```

Нажмите `Shift+Tab` снова, чтобы выйти из режима plan без одобрения плана.

<h3 id="review-and-approve-a-plan">
  Проверьте и одобрите план
</h3>

Когда план готов, Claude представляет его и спрашивает, как действовать дальше. Из этого запроса вы можете:

* Одобрить и запустить в режиме auto
* Одобрить и принять редактирование
* Одобрить и проверить каждое редактирование вручную
* Продолжить планирование с обратной связью
* Уточнить с помощью [Ultraplan](/ru/ultraplan) для проверки на основе браузера

Одобрение плана выходит из режима plan и переключает сеанс на режим разрешений, который описывает каждый вариант одобрения, поэтому Claude начинает редактирование. Чтобы снова планировать, вернитесь в режим plan с помощью `Shift+Tab` или добавьте префикс к следующей подсказке с `/plan`.

Нажмите `Ctrl+G`, чтобы открыть предложенный план в текстовом редакторе по умолчанию и отредактировать его непосредственно перед тем, как Claude продолжит. Когда включена опция [`showClearContextOnPlanAccept`](/ru/settings#available-settings), каждый вариант одобрения также предлагает сначала очистить контекст планирования.

Принятие плана также автоматически называет сеанс на основе содержимого плана, если вы уже не установили имя с помощью `--name` или `/rename`.

<h3 id="set-plan-mode-as-the-default">
  Установите режим plan как режим по умолчанию
</h3>

Чтобы сделать режим plan режимом по умолчанию для проекта, установите `defaultMode` в `.claude/settings.json`:

```json theme={null}
{
  "permissions": {
    "defaultMode": "plan"
  }
}
```

<h2 id="eliminate-prompts-with-auto-mode">
  Исключите запросы разрешений с режимом auto
</h2>

<Note>
  Режим auto требует Claude Code v2.1.83 или позже.
</Note>

Режим auto позволяет Claude выполнять действия без запросов разрешений. Отдельная модель классификатора проверяет действия перед их выполнением, блокируя всё, что выходит за пределы вашего запроса, нацелено на неизвестную инфраструктуру или кажется вызванным враждебным содержимым, которое Claude прочитал. Явные [правила запроса](/ru/permissions#manage-permissions) по-прежнему вызывают запрос.

Режим auto также побуждает Claude продолжать работу без остановки для уточняющих вопросов, хотя Claude всё ещё спрашивает, когда ваш запрос или навык явно на этом полагается. Для более сильного автономного поведения при сохранении запросов разрешений установите вместо этого [Proactive output style](/ru/output-styles).

<Warning>
  Режим auto — это исследовательский предпросмотр. Он уменьшает запросы разрешений, но не гарантирует безопасность. Используйте его для задач, в которых вы доверяете общему направлению, а не как замену проверке чувствительных операций.
</Warning>

Режим auto доступен только когда ваша учётная запись соответствует всем этим требованиям:

* **План**: Все планы.
* **Администратор**: на Team и Enterprise администратор должен включить его в [настройках администратора Claude Code](https://claude.ai/admin-settings/claude-code) перед тем, как пользователи смогут его включить. Администраторы также могут заблокировать его, установив `permissions.disableAutoMode` на `"disable"` в [управляемых параметрах](/ru/permissions#managed-settings).
* **Модель**: на Anthropic API — Claude Opus 4.6 или позже, или Sonnet 4.6 или позже. На Amazon Bedrock, Google Cloud Vertex AI, Microsoft Foundry и подписанных сеансах [Claude apps gateway](/ru/claude-apps-gateway) поддерживаются только Claude Sonnet 5, Opus 4.7 и Opus 4.8. Более старые модели, включая Sonnet 4.5, Opus 4.5, Haiku и модели claude-3, не поддерживаются ни на одном поставщике.
* **Поставщик**: доступен по умолчанию на Anthropic API. На Amazon Bedrock, Google Cloud Vertex AI, Microsoft Foundry и подписанных сеансах Claude apps gateway режим auto отключён до тех пор, пока вы не [установите `CLAUDE_CODE_ENABLE_AUTO_MODE`](#enable-auto-mode-on-bedrock-vertex-ai-or-foundry).

Если Claude Code сообщает, что режим auto недоступен, одно из этих требований не выполнено; это не временный сбой. Отдельное сообщение, которое называет модель и говорит, что режим auto "не может определить безопасность" действия, является временным сбоем классификатора; см. [справку по ошибкам](/ru/errors#auto-mode-cannot-determine-the-safety-of-an-action).

Если вы установили `defaultMode: "auto"` в [параметрах](/ru/settings#available-settings) и сеанс начинается в режиме `default` без ошибки, параметр, вероятно, находится в `.claude/settings.json` или `.claude/settings.local.json`. Claude Code v2.1.142 и позже игнорируют `auto` из этих файлов, поэтому репозиторий не может предоставить себе режим auto. Переместите его в `~/.claude/settings.json`.

<h3 id="enable-auto-mode-on-bedrock-vertex-ai-or-foundry">
  Включите режим auto на Bedrock, Vertex AI или Foundry
</h3>

На [Amazon Bedrock](/ru/amazon-bedrock), [Google Cloud Vertex AI](/ru/google-vertex-ai), [Microsoft Foundry](/ru/microsoft-foundry) и подписанных сеансах [Claude apps gateway](/ru/claude-apps-gateway) режим auto не появляется в цикле `Shift+Tab` до тех пор, пока `CLAUDE_CODE_ENABLE_AUTO_MODE` не будет установлен на `1`. Переменная работает в Claude Code v2.1.158 и позже. На этих поставщиках поддерживаются только Claude Sonnet 5, Opus 4.7 и Opus 4.8.

Чтобы включить его для одного разработчика, добавьте переменную в блок `env` в `~/.claude/settings.json`:

```json theme={null}
{
  "env": {
    "CLAUDE_CODE_ENABLE_AUTO_MODE": "1"
  }
}
```

Чтобы включить его для вашей организации, добавьте тот же блок `env` в [управляемые параметры](/ru/settings#settings-files).

После установки переменной режим auto появляется в цикле `Shift+Tab` для каждого сеанса. Чтобы сделать его режимом запуска по умолчанию, также установите `"permissions": {"defaultMode": "auto"}` в пользовательские или управляемые параметры. На этих поставщиках Claude Code игнорирует `defaultMode: "auto"` если `CLAUDE_CODE_ENABLE_AUTO_MODE` также не установлен.

Чтобы предотвратить включение режима auto разработчиками, установите `disableAutoMode` на `"disable"` в управляемых параметрах. Это переопределяет переменную включения.

Если вы подключаетесь через [LLM gateway](/ru/llm-gateway) настроенный с `ANTHROPIC_BASE_URL`, режим auto может быть уже доступен без переменной включения, потому что шлюз маршрутизирует запросы через Anthropic API. Это не применяется к подписанному сеансу [Claude apps gateway](/ru/claude-apps-gateway), который является его собственным классом поставщика и требует переменную включения. Параметр `disableAutoMode` применяется таким же образом в любой конфигурации.

<h3 id="what-the-classifier-blocks-by-default">
  Что классификатор блокирует по умолчанию
</h3>

Классификатор доверяет вашему рабочему каталогу и настроенным удалённым репозиториям вашего репо. Всё остальное рассматривается как внешнее до тех пор, пока вы не [настроите доверенную инфраструктуру](/ru/auto-mode-config).

**Блокируется по умолчанию**:

* Загрузка и выполнение кода, например `curl | bash`
* Отправка чувствительных данных на внешние конечные точки
* Развертывание и миграция в производство
* Массовое удаление в облачном хранилище
* Предоставление разрешений IAM или репозитория
* Изменение общей инфраструктуры
* Необратимое уничтожение файлов, которые существовали до начала сеанса
* Force push или прямая отправка на `main`
* {/* min-version: 2.1.182 */}`git reset --hard`, `git checkout -- .`, `git restore .`, `git clean -fd`, `git stash drop` или `git stash clear`, которые классификатор предполагает отбросят незафиксированные изменения
* `git commit --amend` когда коммит в HEAD не был создан в этом сеансе
* `terraform destroy`, `pulumi destroy`, `cdk destroy` или `terragrunt destroy`, и применение плана, который уничтожает ресурсы

Claude Code v2.1.195 и позже блокируют больше категорий по умолчанию. Несколько зависят от записей [environment](/ru/auto-mode-config#define-trusted-infrastructure), таких как чувствительные удалённые цели и защищённые области IaC, которые вы можете сузить до конкретных имён.

* Запись в менеджер секретов или изменение записей DNS или сертификатов TLS
* Слияние pull request, который не одобрил ни один человек, одобрение собственного pull request Claude или отключение проверок CI
* Публикация комментария, который сам по себе является командой для автоматизации, такой как `atlantis apply` или `/deploy` или `/merge` бота
* Переключение, постепенное развёртывание или удаление флага функции в производстве
* Применение изменений инфраструктуры к защищённой области IaC или осушение и удаление узлов кластера
* Записи в общий вычислительный кластер, которые выходят за пределы названного вами ресурса, такие как селектор меток или `--all`, который захватывает задания других пользователей
* Создание ресурсов Kubernetes, которые работают на каждом узле или перехватывают трафик кластера, такие как DaemonSets и admission webhooks
* Интерактивные оболочки или port-forwards в чувствительную удалённую цель
* Открытие туннеля или обратной оболочки, которая делает локальный сервис доступным из общедоступного интернета
* Вывод живого учётного данного или токена в стенограмму или файл
* Доступ к местоположению PII или регулируемых данных или копирование данных из одного
* Маршрутизация установки пакета вокруг вашего внутреннего реестра пакетов в общедоступный реестр
* Запуск команды с флагом, который отключает защиту безопасности, например `--insecure`
* [Claude in Chrome](/ru/chrome) действия браузера, которые могут отправлять содержимое страницы, файлы cookie или учётные данные за пределы источника

**Разрешается по умолчанию**:

* Локальные операции с файлами в вашем рабочем каталоге
* Установка зависимостей, объявленных в ваших файлах блокировки или манифестах
* Чтение `.env` и отправка учётных данных на соответствующий API
* Запросы HTTP только для чтения
* Отправка на ветвь, с которой вы начали, или на ветвь, созданную Claude

Claude Code v2.1.195 и позже также разрешают эти действия по умолчанию:

* Удаление точных задач, которые Claude создал ранее в том же сеансе
* Чтение, проверка или написание кода, конфигов и моделей угроз, связанных с безопасностью, как часть вашей задачи
* Сообщения между агентами, работающими вместе в одном многоагентном сеансе
* Отправка данных на доверенные домены, корзины и сервисы, которые вы указываете в [`environment`](/ru/auto-mode-config#define-trusted-infrastructure). Это охватывает только поток данных, а не деструктивные или операции с учётными данными на той же инфраструктуре
* [Claude in Chrome](/ru/chrome) навигация на доверенный внутренний домен, localhost или URL, который вы назвали

Запросы доступа к сети в песочнице маршрутизируются через классификатор, а не разрешаются по умолчанию. Запустите `claude auto-mode defaults`, чтобы увидеть полные списки правил. Если обычные действия блокируются, администратор может добавить доверенные репозитории, корзины и сервисы через параметр `autoMode.environment`: см. [Настройка режима auto](/ru/auto-mode-config).

<h3 id="boundaries-you-state-in-conversation">
  Границы, которые вы указываете в разговоре
</h3>

Классификатор рассматривает границы, которые вы указываете в разговоре, как сигнал блокировки. Если вы скажете Claude "не отправляй" или "подожди, пока я проверю перед развёртыванием", классификатор блокирует соответствующие действия даже когда правила по умолчанию их разрешили бы. Граница остаётся в силе до тех пор, пока вы её не снимете в более позднем сообщении. Собственное суждение Claude о том, что условие было выполнено, не снимает его.

Границы не хранятся как правила. Классификатор перечитывает их из стенограммы при каждой проверке, поэтому граница может быть потеряна, если [компактирование контекста](/ru/costs#reduce-token-usage) удалит сообщение, которое её указало. Для жёсткой гарантии добавьте [правило deny](/ru/permissions#permission-rule-syntax) вместо этого.

<h3 id="when-auto-mode-falls-back">
  Когда режим auto откатывается
</h3>

Каждое отклонённое действие показывает уведомление и появляется в `/permissions` на вкладке Recently denied, где вы можете нажать `r`, чтобы повторить его с ручным одобрением.

Если классификатор блокирует действие 3 раза подряд или 20 раз всего, режим auto приостанавливается и Claude Code возобновляет запрос. Одобрение запрашиваемого действия возобновляет режим auto. Эти пороги не настраиваются. Любое разрешённое действие сбрасывает счётчик последовательных блокировок, в то время как счётчик всего сохраняется для сеанса и сбрасывается только когда его собственный лимит вызывает откат.

В [неинтерактивном режиме](/ru/headless) с флагом `-p` повторные блокировки прерывают сеанс, так как нет пользователя для запроса.

Повторные блокировки обычно означают, что классификатор не имеет контекста о вашей инфраструктуре. Используйте `/feedback` для сообщения о ложных срабатываниях или попросите администратора [настроить доверенную инфраструктуру](/ru/auto-mode-config).

<AccordionGroup>
  <Accordion title="Как классификатор оценивает действия">
    Каждое действие проходит через фиксированный порядок решений. Первый совпадающий шаг побеждает:

    1. Действия, соответствующие вашим [правилам allow или deny](/ru/permissions#manage-permissions), разрешаются немедленно, кроме записей в [защищённые пути](#protected-paths), которые маршрутизируются классификатору даже когда правило allow совпадает
    2. Действия только для чтения и редактирование файлов в вашем рабочем каталоге автоматически одобряются, кроме записей в [защищённые пути](#protected-paths)
    3. Всё остальное идёт классификатору
    4. Если классификатор блокирует, Claude получает причину и пытается найти альтернативу

    При входе в режим auto широкие правила allow, которые предоставляют произвольное выполнение кода, отбрасываются:

    * Неограниченный `Bash(*)` или `PowerShell(*)`
    * Подстановочные интерпретаторы, такие как `Bash(python*)`
    * Команды запуска менеджера пакетов
    * Правила `Agent` allow

    Узкие правила, такие как `Bash(npm test)`, переносятся. Отброшенные правила восстанавливаются при выходе из режима auto.

    Классификатор видит сообщения пользователя, вызовы инструментов и содержимое вашего CLAUDE.md. Результаты инструментов удаляются, поэтому враждебное содержимое в файле или веб-странице не может манипулировать им напрямую. Отдельный зонд на стороне сервера сканирует входящие результаты инструментов и отмечает подозрительное содержимое перед тем, как Claude его прочитает. Для получения дополнительной информации о том, как эти слои работают вместе, см. [объявление режима auto](https://claude.com/blog/auto-mode) и [инженерный анализ](https://www.anthropic.com/engineering/claude-code-auto-mode).
  </Accordion>

  <Accordion title="Как режим auto обрабатывает подагентов">
    Классификатор проверяет работу [подагента](/ru/sub-agents) в трёх точках:

    1. Перед запуском подагента описание делегированной задачи оценивается, так что опасно выглядящая задача блокируется во время порождения.
    2. Пока подагент работает, каждое его действие проходит через классификатор с теми же правилами, что и родительский сеанс, и любой `permissionMode` в frontmatter подагента игнорируется.
    3. Когда подагент завершается, классификатор проверяет полную историю его действий; если эта проверка возврата выявляет проблему, предупреждение безопасности добавляется к результатам подагента.

    Шаг 1 требует Claude Code v2.1.178 или позже. Более ранние версии применяли классификатор на шагах 2 и 3, но не оценивали описание задачи перед запуском подагента.
  </Accordion>

  <Accordion title="Стоимость и задержка">
    Классификатор работает на модели, настроенной на сервере, которая независима от вашего выбора `/model`, поэтому переключение моделей не изменяет доступность классификатора. Вызовы классификатора учитываются в использовании токенов. Каждая проверка отправляет часть стенограммы плюс ожидающее действие, добавляя круговой путь перед выполнением. Чтение и редактирование рабочего каталога вне защищённых путей пропускают классификатор, поэтому накладные расходы поступают в основном от команд оболочки и сетевых операций.
  </Accordion>
</AccordionGroup>

<h2 id="allow-only-pre-approved-tools-with-dontask-mode">
  Разрешить только предварительно одобренные инструменты с режимом dontAsk
</h2>

Режим `dontAsk` автоматически отклоняет каждый вызов инструмента, который иначе требовал бы запроса. Только действия, соответствующие вашим правилам `permissions.allow` и [командам Bash только для чтения](/ru/permissions#read-only-commands), могут выполняться; явные правила [`ask`](/ru/permissions#manage-permissions) отклоняются, а не запрашиваются. Это делает режим полностью неинтерактивным для конвейеров CI или ограниченных сред, где вы предварительно определяете ровно то, что Claude может делать. Облачные сеансы на [Claude Code в веб-версии](/ru/claude-code-on-the-web) игнорируют `defaultMode: "dontAsk"`; см. [bypassPermissions](#skip-all-checks-with-bypasspermissions-mode) для получения подробной информации.

Установите его при запуске с флагом:

```bash theme={null}
claude --permission-mode dontAsk
```

<h2 id="skip-all-checks-with-bypasspermissions-mode">
  Пропустить все проверки с режимом bypassPermissions
</h2>

Режим `bypassPermissions` отключает запросы разрешений и проверки безопасности, чтобы вызовы инструментов выполнялись немедленно. Начиная с версии 2.1.126, это включает записи в [защищённые пути](#protected-paths), на которые более ранние версии по-прежнему выдавали запросы. Явные [правила ask](/ru/permissions#manage-permissions) по-прежнему принудительно выдают запрос в этом режиме, а удаления, нацеленные на корневой каталог файловой системы или домашний каталог, такие как `rm -rf /` и `rm -rf ~`, по-прежнему выдают запросы в качестве защиты от ошибок модели. Используйте этот режим только в изолированных средах, таких как контейнеры, виртуальные машины или dev containers без доступа в Интернет, где Claude Code не может повредить вашу хост-систему.

Вы не можете войти в `bypassPermissions` из сеанса, который был запущен без одного из включающих флагов; перезапустите с одним, чтобы включить его:

```bash theme={null}
claude --permission-mode bypassPermissions
```

Флаг `--dangerously-skip-permissions` эквивалентен.

На Linux и macOS Claude Code отказывается запускаться в этом режиме при запуске от пользователя root или под `sudo`:

```text theme={null}
--dangerously-skip-permissions cannot be used with root/sudo privileges for security reasons
```

Проверка пропускается автоматически внутри признанной песочницы. Для автономного запуска в контейнере используйте конфигурацию [dev container](/ru/devcontainer), которая запускает Claude Code от непривилегированного пользователя.

[Claude Code в веб-версии](/ru/claude-code-on-the-web) не учитывает `defaultMode: "bypassPermissions"` или `"dontAsk"` из ваших файлов параметров, поэтому проверенные в репозитории параметры не могут запустить облачный сеанс в режиме bypass-permissions. Параметр игнорируется молча, и сеанс запускается в режиме, показанном в раскрывающемся списке режимов вместо этого. См. [Переключение режимов разрешений](#switch-permission-modes) для информации о том, какие режимы предлагают облачные сеансы.

<Warning>
  `bypassPermissions` не обеспечивает защиту от инъекции подсказок или непредвиденных действий. Для фоновых проверок безопасности с гораздо меньшим количеством запросов разрешений используйте [режим auto](#eliminate-prompts-with-auto-mode) вместо этого. Администраторы могут заблокировать этот режим, установив `permissions.disableBypassPermissionsMode` на `"disable"` в [управляемых параметрах](/ru/permissions#managed-settings).
</Warning>

<h2 id="protected-paths">
  Защищённые пути
</h2>

Записи в небольшой набор путей никогда не одобряются автоматически, в каждом режиме, кроме `bypassPermissions`. Это предотвращает случайное повреждение состояния репозитория и собственной конфигурации Claude.

| Режим                            | Записи в защищённые пути        |
| :------------------------------- | :------------------------------ |
| `default`, `acceptEdits`, `plan` | Требуют подтверждения           |
| `auto`                           | Маршрутизируются классификатору |
| `dontAsk`                        | Отклоняются                     |
| `bypassPermissions`              | Разрешены                       |

Правила [`permissions.allow`](/ru/permissions#manage-permissions) в файлах параметров не предварительно одобряют записи в защищённые пути. Проверка безопасности выполняется до того, как Claude Code оценивает правила allow из параметров, поэтому запись вроде `Edit(.claude/**)` в `~/.claude/settings.json` или `.claude/settings.json` не изменяет результат для каждого режима в таблице выше. В режимах, которые требуют подтверждения, подсказка для записи `.claude/` предлагает **Да, и разрешить Claude редактировать свои собственные параметры для этого сеанса**, что одобряет последующие записи `.claude/` в этом сеансе без повторного запроса.

Защищённые каталоги:

* `.git`
* `.config/git`
* `.vscode`
* `.idea`
* `.husky`
* `.cargo`
* `.devcontainer`
* `.yarn`
* `.mvn`
* `.claude`, кроме `.claude/worktrees`, где Claude хранит свои собственные git worktrees

Защищённые файлы:

* `.gitconfig`, `.gitmodules`
* `.bashrc`, `.bash_profile`, `.bash_login`, `.bash_aliases`, `.bash_logout`, `.zshrc`, `.zprofile`, `.zshenv`, `.zlogin`, `.zlogout`, `.profile`, `.envrc`
* `.npmrc`, `.yarnrc`, `.yarnrc.yml`, `.pnp.cjs`, `.pnp.loader.mjs`, `.pnpmfile.cjs`, `bunfig.toml`, `.bunfig.toml`
* `.bazelrc`, `.bazelversion`, `.bazeliskrc`
* `.pre-commit-config.yaml`, `lefthook.yml`, `lefthook.yaml`, `.lefthook.yml`, `.lefthook.yaml`
* `gradle-wrapper.properties`, `maven-wrapper.properties`
* `.devcontainer.json`
* `.ripgreprc`, `pyrightconfig.json`
* `.mcp.json`, `.claude.json`

<h2 id="see-also">
  См. также
</h2>

* [Permissions](/ru/permissions): правила allow, ask и deny; управляемые политики
* [Configure auto mode](/ru/auto-mode-config): скажите классификатору, какую инфраструктуру ваша организация доверяет
* [Hooks](/ru/hooks): пользовательская логика разрешений через hooks `PreToolUse` и `PermissionRequest`
* [Ultraplan](/ru/ultraplan): запустите режим plan в сеансе Claude Code в веб-версии с проверкой на основе браузера
* [Security](/ru/security): гарантии безопасности и лучшие практики
* [Sandboxing](/ru/sandboxing): изоляция файловой системы и сети для команд Bash
* [Non-interactive mode](/ru/headless): запустите Claude Code с флагом `-p`
