实
Claude Code
Anthropic 官方 AI 编码 agent CLI——读写文件、执行命令、调用工具的完整代理系统
Claude Code 不只是聊天界面,而是可以读写文件、执行 Bash 命令、调用 MCP 工具、启动子 agent 的完整代理系统。其权限系统是生产级 agent 权限管理的参考实现:三级工具分级审批 + deny-first 规则语义 + 五级作用域层次 + 六种权限模式,与 OS 沙箱构成双层纵深防御。
特色设计 六种权限模式 default / acceptEdits / plan / auto / dontAsk / bypassPermissions 隐式循环架构 行为由约束塑造而非预设路径——Skills 系统通过 .claude/skills/ 可组合扩展能力 双层防御 权限规则阻止受限请求,OS 沙箱在 prompt injection 绕过模型决策时作为最后防线
→ Claude Code Permission System · Permission Modes · Agent SandboxingAnthropic Claude Code (2024)
Claude Code
Anthropic 开发的 AI 编码 agent,官方 CLI 工具,支持在终端中与 Claude 模型协作进行代码开发。
核心定位
Claude Code 是一款将 Claude 模型直接嵌入开发工作流的 agent——它不只是聊天界面,而是可以读写文件、执行 Bash 命令、调用 MCP 工具、启动子 agent 的完整代理系统。
权限系统
Claude Code 的权限系统是其核心安全机制,围绕三个设计轴展开:
1. 工具分级审批(见 Claude Code 权限系统)
- 只读工具(Read/Grep):无需审批
- 文件修改工具(Edit/Write):会话级审批
- Bash 命令:永久记录的审批
2. Deny-First 规则语义(见 Allow/Ask/Deny 规则层次)
- deny → ask → allow 的优先级评估
- 任意层级的 deny 无法被 allow 覆盖
3. 五级作用域层次(见 设置作用域层次)
- 托管设置 > CLI 参数 > 本地项目 > 共享项目 > 用户设置
六种权限模式
详见 权限模式:default、acceptEdits、plan、auto、dontAsk、bypassPermissions
与其他 agent 框架的区别
Claude Code 相比通用 agent 框架的特殊设计:
- 隐式循环架构:行为由约束塑造而非预设路径(见 隐式循环架构)
- Skills 系统:通过
.claude/skills/可组合扩展 agent 能力(见 Agent Skills) - 子 agent 支持:通过
Agent(AgentName)规则控制子 agent 权限 - Hooks 机制:PreToolUse hooks 在权限评估前运行,支持动态策略
与沙箱的关系
Claude Code 的权限系统与 OS 级沙箱是互补安全层:权限规则阻止 Claude 发起受限请求,沙箱在 prompt injection 绕过模型决策时作为最后防线。
References
sources/anthropic_official/claude-code-permissions.mdsources/anthropic_official/building-agents-claude-agent-sdk.mdsources/anthropic_official/equipping-agents-agent-skills.md