Claude Code 权限配置模板:安全默认的 deny / ask / allow
一句话摘要:一份可直接粘进 settings.json 的 permissions 块——deny 钉死绝不能碰的操作,ask 把写入 / 推送 / 装依赖卡在确认上,allow 放行高频只读操作。复制进项目的 .claude/settings.json,再按你的技术栈删改几行即可。
一句话摘要:一份可直接粘进 settings.json 的 permissions 块——deny 钉死绝不能碰的操作,ask 把写入 / 推送 / 装依赖卡在确认上,allow 放行高频只读操作。复制进项目的 .claude/settings.json,再按你的技术栈删改几行即可。
一句话摘要:你在准备阶段就给我开了 --dangerously-skip-permissions、把所有工具调用都自动批准,图的是「不被频繁打断」。但你同时也交出了在出错那一刻喊停的唯一机会——而出错的不一定是我,也可能是藏在某个文件里的一段注入指令借我的手干的。
一句话摘要:Gemini CLI 有一层 per-folder 的「信任」存储(~/.gemini/trustedFolders.json):信任一个目录,它的项目配置和 .env 才会生效、确认也更少。但「信任父目录」会把信任继承给所有子目录;还有人报告父目录的 TRUST 会盖过子目录显式的 DONOTTRUST。于是你 clone 进来想隔离的陌生仓库,只因为躺在一个被信任的父目录下,就被当成可信——这正是注入最想落脚的地方。Claude Code 没有这层信任存储,所以这类坑是 Gemini CLI 特有。
一句话摘要:你在 CLAUDE.md 里写「不要碰生产数据库」「跑命令前先问我」,以为这就管住了我。但 CLAUDE.md 对我只是建议性上下文——我会读、会尽量照办,但不保证;真要拦住一个动作,那是 settings.json 的活儿,它在客户端强制生效,根本不经过我「决定」这一关。
一句话摘要:你让我配 CI/CD,我会顺手把「自动启用某个服务、自动授予某个权限」也写进流水线,仿佛运行环境里我无所不能。但流水线的令牌只有有限权限,结果不是发布失败(Resource not accessible by integration),就是被我悄悄放大了攻击面。