SpyBara
Go Premium

Documentation 2026-07-13 23:57 UTC to 2026-07-14 23:01 UTC

2 files changed +166 −160. View all changes and history on the product overview
2026
Wed 15 00:01 Tue 14 23:01 Mon 13 23:57 Sat 11 19:03 Fri 10 17:00 Thu 9 23:58 Wed 8 16:02 Tue 7 16:02 Mon 6 23:57 Sat 4 03:01 Fri 3 23:00 Thu 2 23:59 Wed 1 21:01

permission-modes.md +165 −159

Details

6 6 

7> Steuern Sie, ob Claude vor dem Bearbeiten von Dateien oder dem Ausführen von Befehlen fragt. Wechseln Sie Modi mit Shift+Tab in der CLI oder verwenden Sie den Moduswahlschalter in VS Code, Desktop und claude.ai.7> Steuern Sie, ob Claude vor dem Bearbeiten von Dateien oder dem Ausführen von Befehlen fragt. Wechseln Sie Modi mit Shift+Tab in der CLI oder verwenden Sie den Moduswahlschalter in VS Code, Desktop und claude.ai.

8 8 

9Wenn Claude eine Datei bearbeiten, einen Shell-Befehl ausführen oder eine Netzwerkanfrage stellen möchte, pausiert es und fragt Sie um Genehmigung. Berechtigungsmodi steuern, wie oft diese Pause auftritt. Der Modus, den Sie wählen, prägt den Ablauf einer Sitzung: Der manuelle Modus lässt Sie jede Aktion überprüfen, während lockerere Modi Claude in längeren ununterbrochenen Abschnitten arbeiten lassen und dann berichten, wenn es fertig ist. Wählen Sie mehr Überwachung für sensible Arbeiten oder weniger Unterbrechungen, wenn Sie der Richtung vertrauen.9Wenn Claude eine Datei bearbeiten, einen Shell-Befehl ausführen oder eine Netzwerkanfrage stellen möchte, hält es inne und bittet Sie, die Aktion zu genehmigen. Berechtigungsmodi steuern, wie oft diese Pause auftritt. Der Modus, den Sie wählen, prägt den Ablauf einer Sitzung: Der manuelle Modus erfordert, dass Sie jede Aktion überprüfen, während weniger restriktive Modi Claude ermöglichen, in längeren ununterbrochenen Abschnitten zu arbeiten und danach Bericht zu erstatten. Wählen Sie mehr Überwachung für sensible Arbeiten oder weniger Unterbrechungen, wenn Sie der Richtung vertrauen.

10 10 

11<h2 id="available-modes">11<h2 id="available-modes">

12 Verfügbare Modi12 Verfügbare Modi

13</h2>13</h2>

14 14 

15Jeder Modus bietet einen anderen Kompromiss zwischen Komfort und Überwachung. Die folgende Tabelle zeigt, was Claude ohne Berechtigungsaufforderung in jedem Modus tun kann.15Jeder Modus stellt einen anderen Kompromiss zwischen Benutzerfreundlichkeit und Kontrolle dar. Die folgende Tabelle zeigt, was Claude in jedem Modus ohne Genehmigungsaufforderung tun kann.

16 16 

17| Modus | Was ohne Nachfrage ausgeführt wird | Am besten für |17| Modus | Was ohne Nachfrage ausgeführt wird | Am besten geeignet für |

18| :------------------------------------------------------------------ | :--------------------------------------------------------------------------------------------------- | :----------------------------------------------------- |18| :------------------------------------------------------------------ | :-------------------------------------------------------------------------------------------------- | :----------------------------------------------------- |

19| `default` | Nur Lesevorgänge. Mit der Bezeichnung **Manuell** in der CLI und IDE-Erweiterungen | Erste Schritte, sensible Arbeiten |19| `default` | Nur Lesevorgänge | Erste Schritte, sensible Arbeiten |

20| [`acceptEdits`](#auto-approve-file-edits-with-acceptedits-mode) | Lesevorgänge, Dateibearbeitungen und häufige Dateisystem-Befehle (`mkdir`, `touch`, `mv`, `cp` usw.) | Iteration über Code, den Sie überprüfen |20| [`acceptEdits`](#auto-approve-file-edits-with-acceptedits-mode) | Lesevorgänge, Dateibearbeitungen und häufige Dateisystembefehle (`mkdir`, `touch`, `mv`, `cp` usw.) | Iteration bei Code-Überprüfung |

21| [`plan`](#analyze-before-you-edit-with-plan-mode) | Nur Lesevorgänge | Erkunden einer Codebasis vor Änderungen |21| [`plan`](#analyze-before-you-edit-with-plan-mode) | Nur Lesevorgänge | Erkundung einer Codebasis vor Änderungen |

22| [`auto`](#eliminate-prompts-with-auto-mode) | Alles, mit Hintergrund-Sicherheitsprüfungen | Lange Aufgaben, Reduzierung von Aufforderungsmüdigkeit |22| [`auto`](#eliminate-prompts-with-auto-mode) | Alles mit Sicherheitsprüfungen im Hintergrund | Lange Aufgaben, Reduzierung von Aufforderungsmüdigkeit |

23| [`dontAsk`](#allow-only-pre-approved-tools-with-dontask-mode) | Nur vorab genehmigte Tools | Gesperrte CI und Skripte |23| [`dontAsk`](#allow-only-pre-approved-tools-with-dontask-mode) | Nur vorab genehmigte Tools | Gesperrte CI und Skripte |

24| [`bypassPermissions`](#skip-all-checks-with-bypasspermissions-mode) | Alles | Nur isolierte Container und VMs |24| [`bypassPermissions`](#skip-all-checks-with-bypasspermissions-mode) | Alles | Nur isolierte Container und VMs |

25 25 

26Der Modus, der jede Aktion überprüft, wird in der CLI, in `claude --help` und in den VS Code- und JetBrains-Erweiterungen als **Manuell** bezeichnet. Sein Konfigurationswert ist `default`, was Hooks und SDK-Integrationen verwenden. Die CLI akzeptiert `manual` als Alias überall dort, wo Sie den Wert eingeben, zum Beispiel `claude --permission-mode manual` oder `"defaultMode": "manual"`. Die Bezeichnung „Manuell" und der Alias `manual` erfordern Claude Code v2.1.200 oder später.26Der Modus, der jede Aktion überprüft, wird in der CLI, in `claude --help`, in den VS Code- und JetBrains-Erweiterungen und in der Desktop-App als **Manual** bezeichnet. Sein Konfigurationswert ist `default`, was Hooks und SDK-Integrationen verwenden. Die CLI akzeptiert `manual` als Alias überall dort, wo Sie den Wert eingeben, zum Beispiel `claude --permission-mode manual` oder `"defaultMode": "manual"`. Das Manual-Label und der `manual`-Alias erfordern Claude Code v2.1.200 oder später. Das Label der Desktop-App hängt nicht von Ihrer CLI-Version ab.

27 27 

28In jedem Modus außer `bypassPermissions` werden Schreibvorgänge zu [geschützten Pfaden](#protected-paths) niemals automatisch genehmigt, um den Repository-Status und Claudes eigene Konfiguration vor versehentlicher Beschädigung zu schützen.28In jedem Modus außer `bypassPermissions` werden Schreibvorgänge in [geschützte Pfade](#protected-paths) niemals automatisch genehmigt, um den Repository-Status und die Claude-Konfiguration vor versehentlicher Beschädigung zu schützen.

29 29 

30Modi legen die Grundlage fest. Überlagern Sie [Berechtigungsregeln](/de/permissions#manage-permissions) darauf, um bestimmte Tools vorab zu genehmigen oder zu blockieren. Ablehnungsregeln und explizite Anfragungsregeln gelten in jedem Modus, einschließlich `bypassPermissions`. Genehmigungsregeln haben keine Auswirkung in diesem Modus, da alles andere bereits genehmigt ist.30Modi legen die Grundlage fest. Überlagern Sie [Berechtigungsregeln](/de/permissions#manage-permissions) darauf, um bestimmte Tools vorab zu genehmigen oder zu blockieren. Ablehnungsregeln und explizite Aufforderungsregeln gelten in jedem Modus, einschließlich `bypassPermissions`. Genehmigungsregeln haben keine Auswirkung in diesem Modus, da alles andere bereits genehmigt ist.

31 31 

32<h2 id="switch-permission-modes">32<h2 id="switch-permission-modes">

33 Berechtigungsmodi wechseln33 Berechtigungsmodi wechseln

34</h2>34</h2>

35 35 

36Sie können Modi während einer Sitzung, beim Start oder als persistenter Standard wechseln. Der Modus wird über diese Steuerelemente festgelegt, nicht durch Fragen an Claude im Chat. Wählen Sie Ihre Schnittstelle unten aus, um zu sehen, wie Sie ihn ändern.36Sie können Modi während einer Sitzung, beim Start oder als persistente Standardeinstellung wechseln. Der Modus wird über diese Steuerelemente festgelegt, nicht durch Anfragen an Claude im Chat. Wählen Sie Ihre Schnittstelle unten aus, um zu sehen, wie Sie ihn ändern.

37 37 

38<Tabs>38<Tabs>

39 <Tab title="CLI">39 <Tab title="CLI">

40 **Während einer Sitzung**: Drücken Sie `Shift+Tab`, um `default` → `acceptEdits` → `plan` zu durchlaufen. Der aktuelle Modus wird in der Statusleiste angezeigt. {/* min-version: 2.1.203 */}Der manuelle Modus, `default` in diesem Zyklus, zeigt ein graues `⏸ manual mode on`-Abzeichen. Vor v2.1.203 zeigte die Statusleiste im manuellen Modus kein Abzeichen.40 **Während einer Sitzung**: Drücken Sie `Shift+Tab`, um zwischen `default` → `acceptEdits` → `plan` zu wechseln. Der aktuelle Modus wird in der Statusleiste angezeigt. {/* min-version: 2.1.203 */}Der manuelle Modus, `default` in diesem Zyklus, zeigt ein graues `⏸ manual mode on` Badge. Vor v2.1.203 zeigte die Statusleiste im manuellen Modus kein Badge an.

41 41 

42 Nicht jeder Modus ist im Standard-Zyklus:42 Nicht jeder Modus ist im Standard-Zyklus enthalten:

43 43 

44 * `auto`: wird angezeigt, wenn Ihr Konto die [Auto-Modus-Anforderungen](#eliminate-prompts-with-auto-mode) erfüllt; das Durchlaufen zu Auto schaltet Modi ohne eine Bestätigungsaufforderung um44 * `auto`: wird angezeigt, wenn Ihr Konto die [Anforderungen für den Auto-Modus](#eliminate-prompts-with-auto-mode) erfüllt; das Wechseln zu diesem Modus schaltet Modi ohne Bestätigungsaufforderung um

45 * `bypassPermissions`: wird angezeigt, nachdem Sie mit `--permission-mode bypassPermissions`, `--dangerously-skip-permissions` oder `--allow-dangerously-skip-permissions` starten; die `--allow-`-Variante fügt den Modus zum Zyklus hinzu, ohne ihn zu aktivieren45 * `bypassPermissions`: wird angezeigt, nachdem Sie mit `--permission-mode bypassPermissions`, `--dangerously-skip-permissions` oder `--allow-dangerously-skip-permissions` starten; die `--allow-` Variante fügt den Modus zum Zyklus hinzu, ohne ihn zu aktivieren

46 * `dontAsk`: wird niemals im Zyklus angezeigt; legen Sie ihn mit `--permission-mode dontAsk` fest46 * `dontAsk`: wird nie im Zyklus angezeigt; legen Sie ihn mit `--permission-mode dontAsk` fest

47 47 

48 Aktivierte optionale Modi werden nach `plan` eingefügt, mit `bypassPermissions` zuerst und `auto` zuletzt. Wenn Sie beide aktiviert haben, durchlaufen Sie `bypassPermissions` auf dem Weg zu `auto`.48 Aktivierte optionale Modi werden nach `plan` eingefügt, mit `bypassPermissions` zuerst und `auto` zuletzt. Wenn Sie beide aktiviert haben, wechseln Sie durch `bypassPermissions` auf dem Weg zu `auto`.

49 49 

50 **Beim Start**: Übergeben Sie den Modus als Flag.50 **Beim Start**: Übergeben Sie den Modus als Flag.

51 51 


63 }63 }

64 ```64 ```

65 65 

66 Das gleiche `--permission-mode`-Flag funktioniert mit `-p` für [nicht-interaktive Läufe](/de/headless).66 Das gleiche `--permission-mode` Flag funktioniert mit `-p` für [nicht-interaktive Ausführungen](/de/headless).

67 </Tab>67 </Tab>

68 68 

69 <Tab title="VS Code">69 <Tab title="VS Code">


71 71 

72 **Als Standard**: Legen Sie `claudeCode.initialPermissionMode` in VS Code-Einstellungen fest, oder verwenden Sie das Einstellungsfenster der Claude Code-Erweiterung.72 **Als Standard**: Legen Sie `claudeCode.initialPermissionMode` in VS Code-Einstellungen fest, oder verwenden Sie das Einstellungsfenster der Claude Code-Erweiterung.

73 73 

74 Der Modusindikator zeigt diese Bezeichnungen, die dem Modus zugeordnet sind, auf den sich jede bezieht:74 Der Modusindikator zeigt diese Beschriftungen, die dem Modus zugeordnet sind, auf den sich jede bezieht:

75 75 

76 | UI-Bezeichnung | Modus |76 | UI-Beschriftung | Modus |

77 | :--------------------- | :------------------ |77 | :----------------- | :------------------ |

78 | Manuell | `default` |78 | Manual | `default` |

79 | Automatisch bearbeiten | `acceptEdits` |79 | Edit automatically | `acceptEdits` |

80 | Planungsmodus | `plan` |80 | Plan | `plan` |

81 | Auto-Modus | `auto` |81 | Auto | `auto` |

82 | Berechtigungen umgehen | `bypassPermissions` |82 | Bypass permissions | `bypassPermissions` |

83 83 

84 Vor v2.1.205 bezeichnete die Erweiterung `plan` als Plan mode und `auto` als Auto mode.84 Vor v2.1.205 bezeichnete die Erweiterung `plan` als Plan mode und `auto` als Auto mode.

85 85 

86 Auto-Modus wird im Modusindikator angezeigt, wenn Ihr Konto alle Anforderungen erfüllt, die im [Auto-Modus-Abschnitt](#eliminate-prompts-with-auto-mode) aufgelistet sind. Die `claudeCode.initialPermissionMode`-Einstellung akzeptiert nicht `auto`. Um standardmäßig im Auto-Modus zu starten, legen Sie stattdessen `defaultMode` in Ihren [Benutzereinstellungen](/de/settings#settings-files) fest. Claude Code ignoriert `defaultMode: "auto"` in Projekt- und lokalen Einstellungen.86 Der Auto-Modus wird im Modusindikator angezeigt, wenn Ihr Konto alle Anforderungen erfüllt, die im [Auto-Modus-Abschnitt](#eliminate-prompts-with-auto-mode) aufgelistet sind. Die Einstellung `claudeCode.initialPermissionMode` akzeptiert nicht `auto`. Um standardmäßig im Auto-Modus zu starten, legen Sie stattdessen `defaultMode` in Ihren [Benutzereinstellungen](/de/settings#settings-files) fest. Claude Code ignoriert `defaultMode: "auto"` in Projekt- und lokalen Einstellungen.

87 87 

88 Berechtigungen umgehen erfordert den Umschalter **Berechtigungen gefährlich überspringen zulassen** in den Erweiterungseinstellungen, bevor es im Modusindikator angezeigt wird.88 Bypass permissions erfordert den Schalter **Allow dangerously skip permissions** in den Erweiterungseinstellungen, bevor er im Modusindikator angezeigt wird.

89 89 

90 Weitere Informationen finden Sie im [VS Code-Leitfaden](/de/vs-code).90 Weitere Informationen finden Sie im [VS Code-Leitfaden](/de/vs-code).

91 </Tab>91 </Tab>

92 92 

93 <Tab title="JetBrains">93 <Tab title="JetBrains">

94 Das JetBrains-Plugin führt Claude Code im IDE-Terminal aus, daher funktioniert das Wechseln von Modi genauso wie in der CLI: Drücken Sie `Shift+Tab` zum Durchlaufen, oder übergeben Sie `--permission-mode` beim Start.94 Das JetBrains-Plugin führt Claude Code im IDE-Terminal aus, daher funktioniert das Wechseln von Modi genauso wie in der CLI: Drücken Sie `Shift+Tab` zum Wechseln, oder übergeben Sie `--permission-mode` beim Start.

95 </Tab>95 </Tab>

96 96 

97 <Tab title="Desktop">97 <Tab title="Desktop">

98 Verwenden Sie den Moduswahlschalter neben der Schaltfläche "Senden". Auto und Berechtigungen umgehen werden nur angezeigt, nachdem Sie sie in Desktop-Einstellungen aktivieren. Weitere Informationen finden Sie im [Desktop-Leitfaden](/de/desktop#choose-a-permission-mode).98 **Während einer Sitzung**: Verwenden Sie den Moduswahlschalter neben der Schaltfläche zum Senden. Nicht jeder Modus wird im Wahlschalter angezeigt:

99 

100 * **Auto**: wird angezeigt, wenn Ihr Konto die [Anforderungen für den Auto-Modus](#eliminate-prompts-with-auto-mode) erfüllt

101 * **Bypass permissions**: erfordert den Schalter **Allow bypass permissions mode** in den Desktop-Einstellungen für Pro- und Max-Pläne; bei Team- und Enterprise-Plänen wird dies stattdessen durch die Organisationsrichtlinie gesteuert

102 

103 Weitere Desktop-spezifische Details finden Sie unter [Berechtigungsmodus wählen](/de/desktop#choose-a-permission-mode) im Desktop-Leitfaden.

104 

105 **Als Standard**: Legen Sie `defaultMode` in [Einstellungen](/de/settings#settings-files) fest. Die Desktop-App liest die gleichen Einstellungsdateien wie die CLI und wendet den Modus auf neue lokale Sitzungen an.

106 

107 Ein Modus, den Sie im Moduswahlschalter auswählen, wird pro Ordner gespeichert und hat Vorrang vor `defaultMode` für diesen Ordner. Plan ist die Ausnahme: Das Auswählen gilt nur für die aktuelle Sitzung.

108 

109 Dieses Beispiel legt den Plan-Modus als Standard für neue lokale Sitzungen fest:

110 

111 ```json theme={null}

112 {

113 "permissions": {

114 "defaultMode": "plan"

115 }

116 }

117 ```

99 </Tab>118 </Tab>

100 119 

101 <Tab title="Web und Mobilgeräte">120 <Tab title="Web and mobile">

102 Verwenden Sie das Modus-Dropdown neben dem Eingabefeld auf [claude.ai/code](https://claude.ai/code) oder in der mobilen App. Berechtigungsaufforderungen werden in claude.ai zur Genehmigung angezeigt. Welche Modi angezeigt werden, hängt davon ab, wo die Sitzung ausgeführt wird:121 Verwenden Sie das Modusmenü neben dem Eingabefeld auf [claude.ai/code](https://claude.ai/code) oder in der mobilen App. Berechtigungsaufforderungen werden in claude.ai zur Genehmigung angezeigt. Welche Modi angezeigt werden, hängt davon ab, wo die Sitzung ausgeführt wird:

103 122 

104 * **Cloud-Sitzungen** auf [Claude Code im Web](/de/claude-code-on-the-web): Bearbeitungen akzeptieren, Planungsmodus und Auto-Modus. Bearbeitungen akzeptieren entspricht dem `default`-Modus: Die Cloud-Umgebung genehmigt Dateibearbeitungen unabhängig vom Modus vorab, daher zeigt das Dropdown "Bearbeitungen akzeptieren" anstelle von "Manuell" an. Cloud-Sitzungen berücksichtigen weiterhin `defaultMode: "acceptEdits"` aus den Einstellungen. Auto-Modus wird nur angezeigt, wenn Ihre Organisation ihn zulässt und das ausgewählte Modell ihn unterstützt. Berechtigungen umgehen ist nicht verfügbar.123 * **Cloud-Sitzungen** auf [Claude Code im Web](/de/claude-code-on-the-web): Bearbeitungen akzeptieren, Plan und Auto. Bearbeitungen akzeptieren entspricht dem `default` Modus: Die Cloud-Umgebung genehmigt Dateibearbeitungen vorab, unabhängig vom Modus, daher zeigt das Menü Bearbeitungen akzeptieren statt Manuell an. Cloud-Sitzungen respektieren weiterhin `defaultMode: "acceptEdits"` aus den Einstellungen. Der Auto-Modus wird nur angezeigt, wenn Ihre Organisation ihn zulässt und das ausgewählte Modell ihn unterstützt. Bypass permissions ist nicht verfügbar.

105 * **[Remote Control](/de/remote-control)-Sitzungen** auf Ihrem lokalen Computer: Manuell, Bearbeitungen akzeptieren und Planungsmodus. Sie können Auto oder Berechtigungen umgehen nicht aus der App auswählen. {/* min-version: 2.1.202 */}Das Dropdown zeigt den Modus an, in dem sich die lokale Sitzung befindet, einschließlich eines Modus, der vom Terminal aus festgelegt wurde, und wird aktualisiert, wenn sich der Modus in der App oder im Terminal ändert. Die einzige Ausnahme ist Berechtigungen umgehen: Die Sitzung meldet diesen Modus niemals an claude.ai, daher ändert sich das Dropdown nicht, wenn Sie vom Terminal aus in diesen Modus wechseln. Vor v2.1.202 meldeten Sitzungen, die mit `/remote-control` oder `claude --remote-control` verbunden waren, ihren Modus überhaupt nicht, daher konnten claude.ai und die mobile App einen Modus anzeigen, in dem sich die Sitzung nicht befand. Die Nichtübereinstimmung betraf nur die Bezeichnung: Claude Code generierte Berechtigungsaufforderungen vom tatsächlichen Modus der Sitzung, und sie erschienen weiterhin in der App zur Genehmigung.124 * **[Remote Control](/de/remote-control) Sitzungen** auf Ihrem lokalen Computer: Manuell, Bearbeitungen akzeptieren und Plan. Sie können Auto oder Bypass permissions nicht aus der App auswählen. {/* min-version: 2.1.202 */}Das Menü zeigt den Modus an, in dem sich die lokale Sitzung befindet, einschließlich eines Modus, der vom Terminal aus festgelegt wurde, und wird aktualisiert, wenn sich der Modus in der App oder im Terminal ändert. Die einzige Ausnahme ist Bypass permissions: Die Sitzung meldet diesen Modus nie an claude.ai, daher ändert das Wechseln vom Terminal aus nicht, was das Menü anzeigt. Vor v2.1.202 meldeten Sitzungen, die mit `/remote-control` oder `claude --remote-control` verbunden waren, ihren Modus überhaupt nicht, daher konnten claude.ai und die mobile App einen Modus anzeigen, in dem sich die Sitzung nicht befand. Die Nichtübereinstimmung betraf nur die Beschriftung: Claude Code generierte Berechtigungsaufforderungen aus dem tatsächlichen Modus der Sitzung, und sie wurden weiterhin in der App zur Genehmigung angezeigt.

106 125 

107 Für Remote Control können Sie auch den Startmodus beim Starten des Hosts festlegen:126 Für Remote Control können Sie auch den Startmodus beim Starten des Hosts festlegen:

108 127 


116 Dateibearbeitungen mit acceptEdits-Modus automatisch genehmigen135 Dateibearbeitungen mit acceptEdits-Modus automatisch genehmigen

117</h2>136</h2>

118 137 

119Der `acceptEdits`-Modus lässt Claude Dateien in Ihrem Arbeitsverzeichnis erstellen und bearbeiten, ohne zu fragen. Die Statusleiste zeigt `⏵⏵ accept edits on`, während dieser Modus aktiv ist.138Der `acceptEdits`-Modus ermöglicht es Claude, Dateien in Ihrem Arbeitsverzeichnis zu erstellen und zu bearbeiten, ohne Sie zu fragen. Die Statusleiste zeigt `⏵⏵ accept edits on` an, während dieser Modus aktiv ist.

120 139 

121Zusätzlich zu Dateibearbeitungen genehmigt der `acceptEdits`-Modus automatisch häufige Dateisystem-Bash-Befehle: `mkdir`, `touch`, `rm`, `rmdir`, `mv`, `cp` und `sed`. Diese Befehle werden auch automatisch genehmigt, wenn sie mit sicheren Umgebungsvariablen wie `LANG=C` oder `NO_COLOR=1` oder Prozess-Wrappern wie `timeout`, `nice` oder `nohup` vorangestellt sind. Wie Dateibearbeitungen gilt die automatische Genehmigung nur für Pfade in Ihrem Arbeitsverzeichnis oder `additionalDirectories`. Pfade außerhalb dieses Bereichs, Schreibvorgänge zu [geschützten Pfaden](#protected-paths) und alle anderen Bash-Befehle fordern weiterhin auf.140Zusätzlich zu Dateibearbeitungen genehmigt der `acceptEdits`-Modus automatisch häufige Bash-Befehle im Dateisystem: `mkdir`, `touch`, `rm`, `rmdir`, `mv`, `cp` und `sed`. Diese Befehle werden auch automatisch genehmigt, wenn sie mit sicheren Umgebungsvariablen wie `LANG=C` oder `NO_COLOR=1` oder Prozess-Wrappern wie `timeout`, `nice` oder `nohup` vorangestellt sind. Wie bei Dateibearbeitungen gilt die automatische Genehmigung nur für Pfade in Ihrem Arbeitsverzeichnis oder `additionalDirectories`. Pfade außerhalb dieses Bereichs, Schreibvorgänge auf [geschützte Pfade](#protected-paths) und alle anderen Bash-Befehle erfordern weiterhin eine Genehmigung.

122 141 

123Wenn das [PowerShell-Tool](/de/tools-reference#powershell-tool) aktiviert ist, genehmigt der `acceptEdits`-Modus auch automatisch `Set-Content`, `Add-Content`, `Clear-Content` und `Remove-Item` auf Pfaden im Gültigkeitsbereich, zusammen mit ihren häufigen Aliasen. Die gleichen Bereichs- und Schutzpfad-Regeln gelten.142Wenn das [PowerShell-Tool](/de/tools-reference#powershell-tool) aktiviert ist, genehmigt der `acceptEdits`-Modus auch automatisch `Set-Content`, `Add-Content`, `Clear-Content` und `Remove-Item` auf Pfaden im Gültigkeitsbereich, zusammen mit ihren häufigen Aliasen. Die gleichen Bereichs- und Schutzpfad-Regeln gelten.

124 143 

125Verwenden Sie `acceptEdits`, wenn Sie Änderungen in Ihrem Editor oder über `git diff` überprüfen möchten, anstatt jede Bearbeitung inline zu genehmigen.144Verwenden Sie `acceptEdits`, wenn Sie Änderungen in Ihrem Editor oder über `git diff` im Nachhinein überprüfen möchten, anstatt jede Bearbeitung inline zu genehmigen.

126 145 

127Drücken Sie `Shift+Tab` einmal vom Manuellen Modus, um ihn zu betreten, oder starten Sie direkt damit:146Drücken Sie `Shift+Tab` einmal vom Manuellen Modus aus, um ihn zu aktivieren, oder starten Sie direkt damit:

128 147 

129```bash theme={null}148```bash theme={null}

130claude --permission-mode acceptEdits149claude --permission-mode acceptEdits

131```150```

132 151 

133<h2 id="analyze-before-you-edit-with-plan-mode">152<h2 id="analyze-before-you-edit-with-plan-mode">

134 Vor der Bearbeitung mit Planungsmodus analysieren153 Analysieren Sie vor dem Bearbeiten mit dem Plan-Modus

135</h2>154</h2>

136 155 

137Der Planungsmodus weist Claude an, Änderungen zu recherchieren und vorzuschlagen, ohne sie vorzunehmen. Claude liest Dateien, führt Shell-Befehle aus, um zu erkunden, und schreibt einen Plan, bearbeitet aber nicht Ihren Quellcode. Berechtigungsaufforderungen gelten genauso wie im Standardmodus, es sei denn, der [Auto-Modus](/de/auto-mode-config) ist verfügbar und `useAutoModeDuringPlan` ist aktiviert, was die Standardeinstellung ist. Mit aktiviertem Auto-Modus genehmigt der Klassifizierer schreibgeschützte Befehle wie Suchen und Dateileser ohne Aufforderung. Bearbeitungen bleiben in jedem Fall blockiert, bis Sie den Plan genehmigen.156Der Plan-Modus weist Claude an, Änderungen zu recherchieren und vorzuschlagen, ohne sie vorzunehmen. Claude liest Dateien, führt Shell-Befehle aus, um zu erkunden, und schreibt einen Plan, bearbeitet aber nicht Ihre Quelle. Genehmigungsaufforderungen gelten wie im manuellen Modus, es sei denn, der [Auto-Modus](/de/auto-mode-config) ist verfügbar und `useAutoModeDuringPlan` ist aktiviert, was die Standardeinstellung ist. Mit aktiviertem Auto-Modus genehmigt der Klassifizierer schreibgeschützte Befehle wie Suchen und Dateileser ohne Aufforderung. Bearbeitungen bleiben in jedem Fall blockiert, bis Sie den Plan genehmigen.

138 157 

139Betreten Sie den Planungsmodus, indem Sie `Shift+Tab` drücken oder einer einzelnen Aufforderung `/plan` voranstellen. Sie können auch vom CLI aus im Planungsmodus starten:158Geben Sie den Plan-Modus ein, indem Sie `Shift+Tab` drücken oder einem einzelnen Prompt `/plan` voranstellen. Sie können auch vom CLI aus im Plan-Modus starten:

140 159 

141```bash theme={null}160```bash theme={null}

142claude --permission-mode plan161claude --permission-mode plan

143```162```

144 163 

145Drücken Sie `Shift+Tab` erneut, um den Planungsmodus zu verlassen, ohne einen Plan zu genehmigen.164Drücken Sie `Shift+Tab` erneut, um den Plan-Modus zu verlassen, ohne einen Plan zu genehmigen.

146 165 

147<h3 id="review-and-approve-a-plan">166<h3 id="review-and-approve-a-plan">

148 Überprüfen und genehmigen Sie einen Plan167 Überprüfen und genehmigen Sie einen Plan

149</h3>168</h3>

150 169 

151Wenn der Plan fertig ist, präsentiert Claude ihn und fragt, wie es weitergehen soll. Von dieser Aufforderung aus können Sie:170Wenn der Plan fertig ist, präsentiert Claude ihn und fragt, wie Sie vorgehen möchten. Von dieser Aufforderung aus können Sie:

152 171 

153* Genehmigen und im Auto-Modus starten172* Genehmigen und im Auto-Modus starten

154* Genehmigen und Bearbeitungen akzeptieren173* Genehmigen und Bearbeitungen akzeptieren

155* Genehmigen und jede Bearbeitung manuell überprüfen174* Genehmigen und jede Bearbeitung manuell überprüfen

156* Mit Feedback weiterplanen175* Mit Feedback weiter planen

157* Mit [Ultraplan](/de/ultraplan) für browsergestützte Überprüfung verfeinern176* Mit [Ultraplan](/de/ultraplan) für browsergestützte Überprüfung verfeinern

158 177 

159Das Genehmigen eines Plans beendet den Planungsmodus und wechselt die Sitzung in den Berechtigungsmodus, den jede Genehmigungsoption beschreibt, sodass Claude mit der Bearbeitung beginnt. Um erneut zu planen, kehren Sie mit `Shift+Tab` zum Planungsmodus zurück oder stellen Sie Ihrer nächsten Aufforderung `/plan` voran.178Das Genehmigen eines Plans beendet den Plan-Modus und wechselt die Sitzung zum Genehmigungsmodus, den jede Genehmigungsoption beschreibt, sodass Claude mit der Bearbeitung beginnt. Um erneut zu planen, wechseln Sie mit `Shift+Tab` zurück zum Plan-Modus oder stellen Sie Ihrem nächsten Prompt `/plan` voran.

160 179 

161Drücken Sie `Ctrl+G`, um den vorgeschlagenen Plan in Ihrem Standard-Texteditor zu öffnen und ihn direkt zu bearbeiten, bevor Claude fortfährt. Wenn [`showClearContextOnPlanAccept`](/de/settings#available-settings) aktiviert ist, bietet jede Genehmigungsoption auch an, den Planungskontext zuerst zu löschen.180Drücken Sie `Ctrl+G`, um den vorgeschlagenen Plan in Ihrem Standard-Texteditor zu öffnen und ihn direkt zu bearbeiten, bevor Claude fortfährt. Wenn [`showClearContextOnPlanAccept`](/de/settings#available-settings) aktiviert ist, bietet jede Genehmigungsoption auch an, den Planungskontext zuerst zu löschen.

162 181 

163Das Akzeptieren eines Plans benennt die Sitzung automatisch aus dem Planinhalt, es sei denn, Sie haben bereits einen Namen mit `--name` oder `/rename` festgelegt.182Das Akzeptieren eines Plans benennt die Sitzung auch automatisch aus dem Planinhalt, es sei denn, Sie haben bereits einen Namen mit `--name` oder `/rename` festgelegt.

164 183 

165<h3 id="set-plan-mode-as-the-default">184<h3 id="set-plan-mode-as-the-default">

166 Legen Sie den Planungsmodus als Standard fest185 Legen Sie den Plan-Modus als Standard fest

167</h3>186</h3>

168 187 

169Um den Planungsmodus als Standard für ein Projekt festzulegen, setzen Sie `defaultMode` in `.claude/settings.json`:188Um den Plan-Modus als Standard für ein Projekt festzulegen, setzen Sie `defaultMode` in `.claude/settings.json`:

170 189 

171```json theme={null}190```json theme={null}

172{191{


177```196```

178 197 

179<h2 id="eliminate-prompts-with-auto-mode">198<h2 id="eliminate-prompts-with-auto-mode">

180 Aufforderungen mit Auto-Modus eliminieren199 Berechtigungsaufforderungen mit Auto-Modus eliminieren

181</h2>200</h2>

182 201 

183Auto-Modus lässt Claude ohne Berechtigungsaufforderungen ausführen. Ein separates Klassifizierer-Modell überprüft Aktionen, bevor sie ausgeführt werden, und blockiert alles, das über Ihre Anfrage hinausgeht, auf nicht erkannte Infrastruktur abzielt oder von feindseligem Inhalt angetrieben zu sein scheint, den Claude gelesen hat. Explizite [Anfrageregelungen](/de/permissions#manage-permissions) erzwingen weiterhin eine Aufforderung.202Der Auto-Modus ermöglicht es Claude, ohne routinemäßige Berechtigungsaufforderungen auszuführen. Ein separates Klassifizierungsmodell überprüft Aktionen vor ihrer Ausführung und blockiert alles, das über Ihre Anfrage hinausgeht, auf nicht erkannte Infrastruktur abzielt oder von feindseligem Inhalt angetrieben zu sein scheint, den Claude gelesen hat. Explizite [Ask-Regeln](/de/permissions#manage-permissions) erzwingen weiterhin eine Aufforderung.

184 203 

185Auto-Modus weist Claude auch an, weiterzuarbeiten, ohne bei Klarstellungsfragen zu stoppen, obwohl Claude immer noch fragt, wenn Ihre Aufforderung oder eine Fähigkeit explizit darauf angewiesen ist. Für stärkeres autonomes Verhalten bei Beibehaltung von Berechtigungsaufforderungen stellen Sie stattdessen den [Proaktiven Ausgabestil](/de/output-styles) ein.204Der Auto-Modus ermutigt Claude auch, ohne Unterbrechung für Klärungsfragen weiterzuarbeiten, obwohl Claude immer noch fragt, wenn Ihre Eingabeaufforderung oder eine Fähigkeit dies explizit erfordert. Für stärkeres autonomes Verhalten bei Beibehaltung von Berechtigungsaufforderungen stellen Sie stattdessen den [Proaktiven Ausgabestil](/de/output-styles) ein.

186 205 

187<Warning>206<Warning>

188 Auto-Modus reduziert Berechtigungsaufforderungen, garantiert aber keine Sicherheit. Verwenden Sie ihn für Aufgaben, bei denen Sie der allgemeinen Richtung vertrauen, nicht als Ersatz für Überprüfung bei sensiblen Operationen.207 Der Auto-Modus reduziert Berechtigungsaufforderungen, garantiert aber keine Sicherheit. Verwenden Sie ihn für Aufgaben, bei denen Sie der allgemeinen Richtung vertrauen, nicht als Ersatz für die Überprüfung bei sensiblen Operationen.

189</Warning>208</Warning>

190 209 

191Auto-Modus ist nur verfügbar, wenn Ihr Konto alle diese Anforderungen erfüllt:210Der Auto-Modus ist nur verfügbar, wenn Ihr Konto alle diese Anforderungen erfüllt:

192 211 

193* **Plan**: Alle Pläne.212* **Plan**: Alle Pläne.

194* **Owner**: Bei Team und Enterprise muss ein Owner ihn in [Claude Code-Administratoreinstellungen](https://claude.ai/admin-settings/claude-code) aktivieren, bevor Benutzer ihn einschalten können. Administratoren können ihn auch sperren, indem sie `permissions.disableAutoMode` in [verwalteten Einstellungen](/de/permissions#managed-settings) auf `"disable"` setzen.213* **Besitzer**: Bei Team und Enterprise muss ein Besitzer ihn in den [Claude Code Admin-Einstellungen](https://claude.ai/admin-settings/claude-code) aktivieren, bevor Benutzer ihn einschalten können. Administratoren können den Auto-Modus auch ausschalten, indem sie `permissions.disableAutoMode` in den [verwalteten Einstellungen](/de/permissions#managed-settings) auf `"disable"` setzen. Für die Registerkarte „Code" der Desktop-App ist `disableAutoMode` die Kontrolle auf Organisationsebene, und der Admin-Einstellungen-Schalter gilt nicht.

195* **Modell**: Bei der Anthropic API Claude Opus 4.6 oder später oder Sonnet 4.6 oder später. Bei Amazon Bedrock, Google Cloud's Agent Platform, Microsoft Foundry und angemeldeten [Claude-Apps-Gateway](/de/claude-apps-gateway)-Sitzungen nur Claude Sonnet 5, Opus 4.7 und Opus 4.8. Ältere Modelle, einschließlich Sonnet 4.5, Opus 4.5, Haiku und claude-3-Modelle, werden auf keinem Anbieter unterstützt.214* **Modell**: In der Anthropic API Claude Opus 4.6 oder später oder Sonnet 4.6 oder später. Bei Amazon Bedrock, Google Cloud's Agent Platform, Microsoft Foundry und angemeldeten [Claude Apps Gateway](/de/claude-apps-gateway)-Sitzungen nur Claude Sonnet 5, Opus 4.7 und Opus 4.8. Ältere Modelle, einschließlich Sonnet 4.5, Opus 4.5, Haiku und claude-3-Modelle, werden auf keinem Anbieter unterstützt.

196* **Anbieter**: Standardmäßig auf der Anthropic API verfügbar. Bei Amazon Bedrock, Google Cloud's Agent Platform, Microsoft Foundry und angemeldeten Claude-Apps-Gateway-Sitzungen ist Auto-Modus deaktiviert, bis Sie [`CLAUDE_CODE_ENABLE_AUTO_MODE`](#enable-auto-mode-on-bedrock-agent-platform-or-foundry) setzen.215* **Anbieter**: Standardmäßig verfügbar in der Anthropic API, Amazon Bedrock, Google Cloud's Agent Platform, Microsoft Foundry und angemeldeten Claude Apps Gateway-Sitzungen. {/* min-version: 2.1.207 */}In v2.1.158 bis v2.1.206 war der Auto-Modus auf allen diesen Anbietern außer der Anthropic API deaktiviert, bis Sie `CLAUDE_CODE_ENABLE_AUTO_MODE=1` setzten; v2.1.207 entfernte die Anforderung.

197 216 

198Wenn Claude Code Auto-Modus als nicht verfügbar meldet, ist eine dieser Anforderungen nicht erfüllt; dies ist kein vorübergehender Ausfall. Eine separate Nachricht, die ein Modell benennt und sagt, Auto-Modus "kann die Sicherheit" einer Aktion nicht bestimmen, ist ein vorübergehender Klassifizierer-Ausfall; siehe die [Fehlerreferenz](/de/errors#auto-mode-cannot-determine-the-safety-of-an-action).217Wenn Claude Code den Auto-Modus als nicht verfügbar meldet, ist eine dieser Anforderungen nicht erfüllt; dies ist kein vorübergehender Ausfall. Eine separate Nachricht, die ein Modell benennt und sagt, dass der Auto-Modus die Sicherheit einer Aktion nicht bestimmen kann", ist ein vorübergehender Klassifizierungsausfall; siehe die [Fehlerreferenz](/de/errors#auto-mode-cannot-determine-the-safety-of-an-action).

199 218 

200Wenn Sie `defaultMode: "auto"` in [Einstellungen](/de/settings#available-settings) setzen und die Sitzung im `default`-Modus ohne Fehler startet, befindet sich die Einstellung wahrscheinlich in `.claude/settings.json` oder `.claude/settings.local.json`. Claude Code v2.1.142 und später ignorieren `auto` aus diesen Dateien, daher kann ein Repository sich selbst nicht den Auto-Modus gewähren. Verschieben Sie es zu `~/.claude/settings.json`.219Wenn Sie `defaultMode: "auto"` in den [Einstellungen](/de/settings#available-settings) setzen und die Sitzung im `default`-Modus ohne Fehler startet, befindet sich die Einstellung wahrscheinlich in `.claude/settings.json` oder `.claude/settings.local.json`. Claude Code v2.1.142 und später ignorieren `auto` aus diesen Dateien, sodass ein Repository sich nicht selbst den Auto-Modus gewähren kann. Verschieben Sie es zu `~/.claude/settings.json`.

201 220 

202<h3 id="enable-auto-mode-on-bedrock-agent-platform-or-foundry">221<h3 id="enable-auto-mode-on-bedrock-agent-platform-or-foundry">

203 Auto-Modus auf Bedrock, Agent Platform oder Foundry aktivieren222 Auto-Modus auf Bedrock, Agent Platform oder Foundry

204</h3>223</h3>

205 224 

206Bei [Amazon Bedrock](/de/amazon-bedrock), [Google Cloud's Agent Platform](/de/google-vertex-ai), [Microsoft Foundry](/de/microsoft-foundry) und angemeldeten [Claude-Apps-Gateway](/de/claude-apps-gateway)-Sitzungen wird Auto-Modus nicht im `Shift+Tab`-Zyklus angezeigt, bis `CLAUDE_CODE_ENABLE_AUTO_MODE` auf `1` gesetzt ist. Die Variable funktioniert in Claude Code v2.1.158 und später. Nur Claude Sonnet 5, Opus 4.7 und Opus 4.8 werden auf diesen Anbietern unterstützt.225Bei [Amazon Bedrock](/de/amazon-bedrock), [Google Cloud's Agent Platform](/de/google-vertex-ai), [Microsoft Foundry](/de/microsoft-foundry) und angemeldeten [Claude Apps Gateway](/de/claude-apps-gateway)-Sitzungen wird der Auto-Modus standardmäßig im `Shift+Tab`-Zyklus angezeigt. Das Erscheinen im Zyklus ändert nicht den Modus, in dem eine Sitzung startet: Sitzungen starten immer noch in Ihrem [`defaultMode`](/de/settings#available-settings), der Manual ist, es sei denn, Sie ändern ihn. Nur Claude Sonnet 5, Opus 4.7 und Opus 4.8 werden auf diesen Anbietern unterstützt.

207 

208Um es für einen Entwickler zu aktivieren, fügen Sie die Variable zum `env`-Block in `~/.claude/settings.json` hinzu:

209 

210```json theme={null}

211{

212 "env": {

213 "CLAUDE_CODE_ENABLE_AUTO_MODE": "1"

214 }

215}

216```

217 

218Um es für Ihre Organisation zu aktivieren, fügen Sie denselben `env`-Block zu [verwalteten Einstellungen](/de/settings#settings-files) hinzu.

219 226 

220Sobald die Variable gesetzt ist, wird Auto-Modus im `Shift+Tab`-Zyklus für jede Sitzung angezeigt. Um es zum Standard-Startmodus zu machen, setzen Sie auch `"permissions": {"defaultMode": "auto"}` in Benutzer- oder verwalteten Einstellungen. Bei diesen Anbietern ignoriert Claude Code `defaultMode: "auto"` nicht, es sei denn, `CLAUDE_CODE_ENABLE_AUTO_MODE` ist auch gesetzt.227Um den Auto-Modus zum Standard-Startmodus zu machen, setzen Sie `"permissions": {"defaultMode": "auto"}` in Benutzer- oder verwalteten Einstellungen.

221 228 

222Um Entwickler daran zu hindern, Auto-Modus zu aktivieren, setzen Sie `disableAutoMode` in verwalteten Einstellungen auf `"disable"`. Dies überschreibt die Enable-Variable.229Um Entwickler daran zu hindern, den Auto-Modus zu verwenden, setzen Sie `disableAutoMode` in den [verwalteten Einstellungen](/de/permissions#managed-settings) auf `"disable"`. Dies entfernt `auto` aus dem `Shift+Tab`-Zyklus und lehnt `--permission-mode auto` beim Start ab.

223 230 

224Wenn Sie sich über ein [LLM-Gateway](/de/llm-gateway) verbinden, das mit `ANTHROPIC_BASE_URL` konfiguriert ist, ist Auto-Modus möglicherweise bereits ohne die Enable-Variable erreichbar, da das Gateway Anfragen durch die Anthropic API leitet. Dies gilt nicht für eine angemeldete [Claude-Apps-Gateway](/de/claude-apps-gateway)-Sitzung, die ihre eigene Anbieterklasse ist und die Enable-Variable erfordert. Die `disableAutoMode`-Einstellung gilt auf die gleiche Weise in beiden Konfigurationen.231In v2.1.158 bis v2.1.206 war der Auto-Modus auf diesen Anbietern deaktiviert, bis Sie `CLAUDE_CODE_ENABLE_AUTO_MODE=1` setzten, und Claude Code ignorierte `defaultMode: "auto"` auf diesen Anbietern, es sei denn, die Variable war auch gesetzt. Die Variable wird weiterhin aus Kompatibilitätsgründen akzeptiert und hat ab v2.1.207 keine Auswirkung.

225 232 

226<h3 id="what-the-classifier-blocks-by-default">233<h3 id="what-the-classifier-blocks-by-default">

227 Was der Klassifizierer standardmäßig blockiert234 Was der Klassifizierer standardmäßig blockiert

228</h3>235</h3>

229 236 

230Der Klassifizierer vertraut Ihrem Arbeitsverzeichnis und den Remotes, die für es konfiguriert wurden, als die Sitzung gestartet wurde. {/* min-version: 2.1.200 */}Ein Remote, das während der Sitzung mit `git remote add` oder `git remote set-url` hinzugefügt oder umgeleitet wird, wird nicht vertraut, und alles andere wird als extern behandelt, bis Sie [vertrauenswürdige Infrastruktur konfigurieren](/de/auto-mode-config). Vor v2.1.200 wurden Remotes, die während der Sitzung hinzugefügt wurden, ebenfalls vertraut.237Der Klassifizierer vertraut Ihrem Arbeitsverzeichnis und den Remotes, die dafür konfiguriert wurden, als die Sitzung begann. {/* min-version: 2.1.200 */}Ein Remote, das während der Sitzung mit `git remote add` oder `git remote set-url` hinzugefügt oder umgeleitet wird, wird nicht vertraut, und alles andere wird als extern behandelt, bis Sie [vertrauenswürdige Infrastruktur konfigurieren](/de/auto-mode-config). Vor v2.1.200 wurden Remotes, die während der Sitzung hinzugefügt wurden, ebenfalls vertraut.

231 238 

232**Standardmäßig blockiert**:239**Standardmäßig blockiert**:

233 240 

234* Herunterladen und Ausführen von Code, wie `curl | bash`241* Herunterladen und Ausführen von Code, wie `curl | bash`

235* Senden sensibler Daten an externe Endpunkte242* Senden sensibler Daten an externe Endpunkte

236* Produktionsbereitstellungen und Migrationen243* Produktionsbereitstellungen und Migrationen

237* Massenlöschung auf Cloud-Speicher244* Massenlöschung im Cloud-Speicher

238* Gewährung von IAM- oder Repository-Berechtigungen245* Gewährung von IAM- oder Repository-Berechtigungen

239* Änderung gemeinsamer Infrastruktur246* Änderung gemeinsamer Infrastruktur

240* Irreversibles Löschen von Dateien, die vor der Sitzung vorhanden waren247* Irreversibles Löschen von Dateien, die vor der Sitzung vorhanden waren

241* Force-Push248* Force Push

242* {/* min-version: 2.1.203 */}Pushen zum Standard-Branch des Repositories, wenn der Push sensible Inhalte wie Secrets oder persönliche oder anvertraute Daten enthält, Änderungen verborgen oder falsch beschrieben im Vergleich zu dem, was Sie gefordert haben, enthält, Inhalte enthält, die von außerhalb des Repositories portiert oder zuerst gelesen wurden, oder um einen Pull Request, eine Überprüfung oder eine Prüfung herumleitet, die Sie gefordert haben. Ein einfacher Push zum Standard-Branch wird nicht allein blockiert, und das Löschen eines gekennzeichneten Push erfordert das Benennen des gekennzeichneten Inhalts oder der umgangenen Überprüfung, nicht nur des Push. Der Klassifizierer ist eine Schicht: [`permissions.deny`-Regeln](/de/permissions#manage-permissions) gelten in jedem Modus und können Pushes zum Standard-Branch vollständig blockieren, und der Branch-Schutz des Remote gilt immer noch. Vor v2.1.203 wurde jeder direkte Push zum Standard-Branch blockiert249* {/* min-version: 2.1.203 */}Pushing zum Standard-Branch des Repositorys, wenn der Push sensible Inhalte wie Geheimnisse oder persönliche oder anvertraute Daten enthält, Änderungen enthält, die verborgen oder falsch beschrieben sind im Vergleich zu dem, worum Sie gebeten haben, Inhalte enthält, die von außerhalb des Repositorys portiert oder zuerst gelesen wurden, oder um einen Pull Request, eine Überprüfung oder eine Prüfung herumleitet, um die Sie gebeten haben. Ein einfacher Push zum Standard-Branch wird nicht allein blockiert, und das Aufheben der Blockierung eines gekennzeichneten Push erfordert das Benennen des gekennzeichneten Inhalts oder der umgangenen Überprüfung, nicht nur des Push. Der Klassifizierer ist eine Schicht: [`permissions.deny`-Regeln](/de/permissions#manage-permissions) gelten in jedem Modus und können Pushes zum Standard-Branch vollständig blockieren, und der Branch-Schutz des Remote gilt immer noch. Vor v2.1.203 wurde jeder direkte Push zum Standard-Branch blockiert

243* {/* min-version: 2.1.182 */}`git reset --hard`, `git checkout -- .`, `git restore .`, `git clean -fd`, `git stash drop` oder `git stash clear`, von denen der Klassifizierer annimmt, dass sie nicht committete Änderungen verwerfen würden250* {/* min-version: 2.1.182 */}`git reset --hard`, `git checkout -- .`, `git restore .`, `git clean -fd`, `git stash drop` oder `git stash clear`, von denen der Klassifizierer annimmt, dass sie nicht committete Änderungen verwerfen würden

244* `git commit --amend`, wenn der Commit am HEAD nicht in dieser Sitzung erstellt wurde251* `git commit --amend`, wenn der Commit am HEAD nicht in dieser Sitzung erstellt wurde

245* {/* min-version: 2.1.198 */}Ab v2.1.198 `git commit --amend`, wenn der Commit am HEAD bereits gepusht wurde. Ein reines Reword der Nachricht wird nicht blockiert: `--amend -m` ohne neu gestaged Inhalte, bei einem Commit, den Claude während dieser Sitzung erstellt hat252* {/* min-version: 2.1.198 */}Ab v2.1.198 `git commit --amend`, wenn der Commit am HEAD bereits gepusht wurde. Eine reine Umformulierung der Nachricht wird nicht blockiert: `--amend -m` ohne neu bereitgestellte Inhalte, bei einem Commit, den Claude während dieser Sitzung erstellt hat

246* `terraform destroy`, `pulumi destroy`, `cdk destroy` oder `terragrunt destroy`, und Anwendung eines Plans, der Ressourcen zerstört253* `terraform destroy`, `pulumi destroy`, `cdk destroy` oder `terragrunt destroy`, und Anwendung eines Plans, der Ressourcen zerstört

247 254 

248Claude Code v2.1.195 und später blockieren standardmäßig weitere Kategorien. Mehrere hängen von [Umgebungs](/de/auto-mode-config#define-trusted-infrastructure)-Einträgen ab, wie sensible Remote-Ziele und geschützte IaC-Bereiche, die Sie auf konkrete Namen eingrenzen können.255Claude Code v2.1.195 und später blockieren standardmäßig mehr Kategorien. Mehrere hängen von [Umgebungs](/de/auto-mode-config#define-trusted-infrastructure)-Einträgen ab, wie sensible Remote-Ziele und geschützte IaC-Bereiche, die Sie auf konkrete Namen eingrenzen können.

249 256 

250* Schreiben in einen Secret Manager oder Ändern von DNS-Einträgen oder TLS-Zertifikaten257* Schreiben in einen Secret Manager oder Ändern von DNS-Einträgen oder TLS-Zertifikaten

251* Zusammenführen eines Pull Request, den kein Mensch genehmigt hat, Genehmigung von Claudes eigenem Pull Request oder Deaktivierung von CI-Prüfungen258* Zusammenführen eines Pull Requests, den kein Mensch genehmigt hat, Genehmigung von Claudes eigenem Pull Request oder Deaktivierung von CI-Prüfungen

252* Posten eines Kommentars, der selbst ein Befehl für Automatisierung ist, wie `atlantis apply` oder ein Bot-`/deploy` oder `/merge`259* Posten eines Kommentars, der selbst ein Befehl für Automatisierung ist, wie `atlantis apply` oder das `/deploy` oder `/merge` eines Bots

253* Umschalten, Ramping oder Löschen eines Production-Feature-Flags260* Umschalten, Ramping oder Löschen eines Production Feature Flags

254* Anwendung von Infrastrukturänderungen auf einen geschützten IaC-Bereich oder Entleerung und Entfernung von Cluster-Knoten261* Anwendung von Infrastrukturänderungen auf einen geschützten IaC-Bereich oder Draining (Leeren) und Entfernen von Cluster-Knoten

255* Schreibvorgänge in einen gemeinsamen Compute-Cluster, die über die benannte Ressource hinausgehen, wie ein Label-Selector oder `--all`, das andere Benutzer-Jobs erfasst262* Schreibvorgänge in einen gemeinsamen Compute-Cluster, die über die benannte Ressource hinausgehen, wie ein Label-Selektor oder `--all`, der die Jobs anderer Benutzer erfasst

256* Erstellen von Kubernetes-Ressourcen, die auf jedem Knoten ausgeführt werden oder Cluster-Traffic abfangen, wie DaemonSets und Admission Webhooks263* Erstellen von Kubernetes-Ressourcen, die auf jedem Knoten ausgeführt werden oder Cluster-Traffic abfangen, wie DaemonSets und Admission Webhooks

257* Interaktive Shells oder Port-Forwards in ein sensibles Remote-Ziel264* Interaktive Shells oder Port-Forwards in ein sensibles Remote-Ziel

258* Öffnen eines Tunnels oder einer Reverse Shell, die einen lokalen Service vom öffentlichen Internet erreichbar macht265* Öffnen eines Tunnels oder einer Reverse Shell, die einen lokalen Service vom öffentlichen Internet erreichbar macht

259* Drucken einer Live-Anmeldedaten oder eines Tokens in das Transkript oder eine Datei266* Drucken eines Live-Credentials oder Tokens in das Transkript oder eine Datei

260* Zugriff auf einen Ort, der in Ihrer [Umgebung](/de/auto-mode-config#define-trusted-infrastructure) als sensible Datenlocation aufgelistet ist, oder Kopieren von Daten aus einem. {/* min-version: 2.1.198 */}Ab v2.1.198 blockiert dies auch das Senden von Daten von einem zu einer Zielgruppe, die der Eintrag ausschließt267* Zugriff auf einen Ort, der in Ihrer [Umgebung](/de/auto-mode-config#define-trusted-infrastructure) als sensible Datenlocation aufgelistet ist, oder Kopieren von Daten daraus. {/* min-version: 2.1.198 */}Ab v2.1.198 blockiert dies auch das Senden von Daten von einem zu einer Zielgruppe, die der Eintrag ausschließt

261* Umleitung einer Paketinstallation um Ihre interne Paketregistrierung zu einer öffentlichen Registrierung. {/* min-version: 2.1.198 */}Ab v2.1.198 gilt dies auch, wenn Sie Claude in der Konversation mitgeteilt haben, dass eine interne Registrierung oder ein Mirror existiert, nicht nur wenn eine in Ihrer Umgebung aufgelistet ist268* Umleitung einer Paketinstallation um Ihre interne Paketregistrierung zu einer öffentlichen Registrierung. {/* min-version: 2.1.198 */}Ab v2.1.198 gilt dies auch, wenn Sie Claude in der Konversation mitgeteilt haben, dass eine interne Registrierung oder ein Mirror vorhanden ist, nicht nur wenn eine in Ihrer Umgebung aufgelistet ist

262* Ausführung eines Befehls mit einem Flag, das einen Sicherheitsschutz deaktiviert, wie `--insecure`269* Ausführung eines Befehls mit einem Flag, das einen Sicherheitsschutz deaktiviert, wie `--insecure`

263* Starten einer autonomen Agent-Schleife, die ohne menschliche Genehmigung oder Sandbox läuft, wie eine mit `--dangerously-skip-permissions` oder `--no-sandbox` gestartete. {/* min-version: 2.1.198 */}Ab v2.1.198 deckt dies auch das Ausführen eines Third-Party-Agenten oder Eval-Harness mit deaktivierter Isolation und Pro-Aktion-Genehmigung ab, wie ein Runner, der mit `--yes-always` gestartet wurde270* Starten einer autonomen Agent-Schleife, die ohne menschliche Genehmigung oder Sandbox ausgeführt wird, wie eine mit `--dangerously-skip-permissions` oder `--no-sandbox` gestartete. {/* min-version: 2.1.198 */}Ab v2.1.198 deckt dies auch das Ausführen eines Third-Party-Agenten oder Eval-Harness mit deaktivierter Isolation und Pro-Aktion-Genehmigung ab, wie ein mit `--yes-always` gestarteter Runner

264* [Claude in Chrome](/de/chrome)-Browser-Aktionen, die Seiteninhalte, Cookies oder Anmeldedaten off-origin senden könnten271* [Claude in Chrome](/de/chrome) Browser-Aktionen, die Seiteninhalte, Cookies oder Credentials off-origin senden könnten

265 272 

266Claude Code v2.1.198 und später blockieren standardmäßig auch diese:273Claude Code v2.1.198 und später blockieren diese auch standardmäßig:

267 274 

268* Löschen von Dateien in `/tmp`, `$TMPDIR` oder einem anderen gemeinsamen Scratch- oder Cache-Verzeichnis nach Wildcard, Glob oder Altersfilter anstelle eines spezifischen benannten Pfads275* Löschen von Dateien in `/tmp`, `$TMPDIR` oder einem anderen gemeinsamen Scratch- oder Cache-Verzeichnis nach Wildcard, Glob oder Altersfilter statt nach einem spezifischen benannten Pfad

269* Einbeziehen sensibler Details in Inhalte, die gesendet, hochgeladen, veröffentlicht oder an andere Personen oder gemeinsame Systeme geschrieben werden, wenn Ihre eigene Nachricht diese Details nicht für diesen Empfänger autorisiert hat. {/* min-version: 2.1.200 */}PR- und Issue-Bodies, Commit-Nachrichten und Kommentare zählen als diese Art von ausgehendem Inhalt, wenn das Repository außerhalb der Vertrauensgrenze oder öffentlich ist, einschließlich der eigenen öffentlichen Repositories Ihrer Organisation; interne Dateipfade, Code-Namen, Live-API-Antwortdaten wie E-Mails oder Kontobezeichner und Infrastruktur-Bezeichner zählen als sensible Details. Die PR-, Issue- und Commit-Nachricht-Scoping erfordert Claude Code v2.1.200 oder später. {/* min-version: 2.1.203 */}Live-Personendaten aus einer API-Antwort in einem PR- oder Issue-Body, wie eine E-Mail-Adresse, ein Konto- oder Organisationsbezeichner oder eine Nutzungsmetrik, erfordern, dass Sie diese Details und den Empfänger unabhängig von der Sichtbarkeit oder Vertrauensgrenze des Repositories benennen. Diese Prüfung erfordert Claude Code v2.1.203 oder später276* Einbeziehung sensibler Details in Inhalte, die gesendet, hochgeladen, veröffentlicht oder an andere Personen oder gemeinsame Systeme geschrieben werden, wenn Ihre eigene Nachricht diese Details nicht für diesen Empfänger autorisiert hat. {/* min-version: 2.1.200 */}PR- und Issue-Bodies, Commit-Nachrichten und Kommentare zählen als diese Art von ausgehendem Inhalt, wenn das Repository außerhalb der Vertrauensgrenze oder öffentlich ist, einschließlich der eigenen öffentlichen Repositorys Ihrer Organisation; interne Dateipfade, Code-Namen, Live-API-Antwortdaten wie E-Mails oder Kontobezeichner und Infrastruktur-Bezeichner zählen als sensible Details. Die PR-, Issue- und Commit-Nachrichten-Scoping erfordert Claude Code v2.1.200 oder später. {/* min-version: 2.1.203 */}Live-Personendaten aus einer API-Antwort in einem PR- oder Issue-Body, wie eine E-Mail-Adresse, ein Konto- oder Organisationsbezeichner oder eine Nutzungsmetrik, erfordert, dass Sie diese Details und den Empfänger benennen, unabhängig von der Sichtbarkeit oder Vertrauensgrenze des Repositorys. Diese Prüfung erfordert Claude Code v2.1.203 oder später

270* Senden von Tastenanschlägen an Claudes eigenen tmux-Pane, um seine eigene Schnittstelle zu steuern, was der Klassifizierer als Claude behandelt, das seine eigenen Berechtigungen oder Überwachung ändert277* Senden von Tastenanschlägen an Claudes eigenen tmux-Pane, um seine eigene Schnittstelle zu steuern, was der Klassifizierer als Claude behandelt, das seine eigenen Berechtigungen oder Aufsicht ändert

271 278 

272Claude Code v2.1.200 und später blockieren standardmäßig auch diese:279Claude Code v2.1.200 und später blockieren diese auch standardmäßig:

273 280 

274* Auskommentieren, Löschen oder Force-Passing eines Tests oder einer Assertion, die Sicherheitsverhalten schützt, wie Authentifizierung, Zugriffskontrolle, Eingabevalidierung oder Sandboxing281* Auskommentieren, Löschen oder Force-Passing eines Tests oder einer Assertion, die Sicherheitsverhalten schützt, wie Authentifizierung, Zugriffskontrolle, Eingabevalidierung oder Sandboxing

275* Löschen oder Abbau einer zustandsbehafteten Ressource, die Claude nicht in der Sitzung erstellt hat, wenn keine spezifischere Löschregel zutrifft und Sie diese Ressource nicht benannt haben282* Löschen oder Abbau einer zustandsbehafteten Ressource, die Claude nicht in der Sitzung erstellt hat, wenn keine spezifischere Löschregel gilt und Sie diese Ressource nicht benannt haben

276* Umleitung einer API-Basis-URL, eines Proxy-Endpunkts, eines Webhook-Empfängers oder eines Registry-Mirrors auf einen Third-Party-Host, der nicht zur Aufgabe passt, einschließlich in Beispieldateien wie `.env.example`283* Umleitung einer API-Basis-URL, eines Proxy-Endpunkts, eines Webhook-Empfängers oder eines Registry-Mirrors auf einen Third-Party-Host, der nicht zur Aufgabe passt, einschließlich in Beispieldateien wie `.env.example`

277* Ändern, wohin Pushes mit `git remote set-url` oder `git remote add` gehen, es sei denn, Sie haben das neue Remote benannt284* Änderung des Ziels von Pushes mit `git remote set-url` oder `git remote add`, es sei denn, Sie haben den neuen Remote benannt

278* Pushen von Secrets oder persönlichen oder anvertrauten Daten zu einem Repository, das bekannt ist, öffentlich zu sein, oder Pushen von vertraulichem Material dorthin, das nicht Teil der eigenen Arbeit dieses Repositories ist. {/* min-version: 2.1.203 */}Ein Dotfiles-Repository's eigenes Thema ist die eine Ausnahme für persönliche oder anvertraute Daten, und Inhalte aus einem privaten Repository, das eine öffentliche Oberfläche erreicht, wird auf die gleiche Weise blockiert; beide Verfeinerungen erfordern Claude Code v2.1.203 oder später. Vor v2.1.203 wurden persönliche Daten mit vertraulichem Material gruppiert und nur blockiert, wenn sie nicht Teil der eigenen Arbeit dieses Repositories waren. Wenn die Sichtbarkeit eines Repositories nicht etabliert ist, blockiert der Klassifizierer nicht allein darauf; er beurteilt den Inhalt stattdessen gegen die anderen Regeln285* Pushing von Geheimnissen oder persönlichen oder anvertrauten Daten in ein Repository, das bekanntermaßen öffentlich ist, oder Pushing von vertraulichem Material dorthin, das nicht Teil der eigenen Arbeit dieses Repositorys ist. {/* min-version: 2.1.203 */}Das eigene Thema eines Dotfiles-Repositorys ist die einzige Ausnahme für persönliche oder anvertraute Daten, und Inhalte aus einem privaten Repository, die eine öffentliche Oberfläche erreichen, werden auf die gleiche Weise blockiert; beide Verfeinerungen erfordern Claude Code v2.1.203 oder später. Vor v2.1.203 wurden persönliche Daten mit vertraulichem Material gruppiert und nur blockiert, wenn sie nicht Teil der eigenen Arbeit dieses Repositorys waren. Wenn die Sichtbarkeit eines Repositorys nicht etabliert ist, blockiert der Klassifizierer nicht allein darauf; er beurteilt den Inhalt stattdessen gegen die anderen Regeln

279* Öffnen eines Pull Request gegen ein anderes Repository oder eine andere Organisation, Forking mit `gh repo fork` oder Pushen zu einem Third-Party-Repository, es sei denn, Sie haben dieses externe Ziel benannt286* Öffnen eines Pull Requests gegen ein anderes Repository oder eine andere Organisation, Forking mit `gh repo fork` oder Pushing in ein Third-Party-Repository, es sei denn, Sie haben dieses externe Ziel benannt

280 287 

281Claude Code v2.1.203 und später blockieren standardmäßig auch diese:288Claude Code v2.1.203 und später blockieren diese auch standardmäßig:

282 289 

283* Inhalte aus einem sensiblen lokalen Speicher oder aus einer Datei, deren Name, Pfad oder Typ sie als sensibel kennzeichnet, die in einen Commit, einen Push, PR- oder Issue-Text, einen Gist oder Paste oder einen Package-Publish eingehen, es sei denn, Sie haben sowohl die Quelle als auch das Ziel benannt. Sitzungstranskripte und Konversationsprotokolle, Anmeldedaten- und Konfigurationspunkt-Ordner wie SSH-Schlüssel, Cloud-Anmeldedaten, Browser-Profile und Shell-Verlauf sowie Benutzer-Daten-Exporte zählen alle, und das Repository, das privat ist, löscht es nicht290* Inhalte aus einem sensiblen lokalen Speicher oder aus einer Datei, deren Name, Pfad oder Typ sie als sensibel kennzeichnet, die in einen Commit, einen Push, PR- oder Issue-Text, einen Gist oder Paste oder eine Paketveröffentlichung eingehen, es sei denn, Sie haben sowohl die Quelle als auch das Ziel benannt. Sitzungstranskripte und Konversationsprotokolle, Credential- und Konfigurations-Dot-Ordner wie SSH-Schlüssel, Cloud-Credentials, Browser-Profile und Shell-Verlauf sowie Benutzer-Daten-Exporte zählen alle, und dass das Repository privat ist, hebt die Blockierung nicht auf

284 291 

285Claude Code v2.1.205 und später blockieren standardmäßig auch diese:292Claude Code v2.1.205 und später blockieren diese auch standardmäßig:

286 293 

287* Schreiben in Claude Code-Sitzungstranskripte, die `.jsonl`-Verlaufsdateien unter `~/.claude/projects/` oder Ihrem konfigurierten Konfigurationsverzeichnis, ob direkt oder über einen Shell-Befehl. Die Regel deckt auch die Metadaten-Zeilen ab, die Claude Code für seine eigenen Prüfungen an jeden Transkripteintrag anhängt. Ein Transkript ist Sitzungszustand, den Claude Code schreibt, nicht eine Arbeitsdatei, und ein manipulierter Eintrag erreicht jede spätere Prüfung, sobald Sie die Sitzung fortsetzen, daher blockiert Auto-Modus diese Schreibvorgänge als Verteidigungsmechanismus. Das Lesen eines Transkripts wird nicht blockiert294* Schreiben in Claude Code-Sitzungstranskripte, die `.jsonl`-Verlaufsdateien unter `~/.claude/projects/` oder Ihrem konfigurierten Konfigurationsverzeichnis, ob direkt oder durch einen Shell-Befehl. Die Regel deckt auch die Metadatenzeilen ab, die Claude Code für seine eigenen Prüfungen an jeden Transkripteintrag anhängt. Ein Transkript ist Sitzungszustand, den Claude Code schreibt, nicht eine Arbeitsdatei, und ein manipulierter Eintrag erreicht jede spätere Prüfung, sobald Sie die Sitzung fortsetzen, sodass der Auto-Modus diese Schreibvorgänge als Verteidigungstiefe blockiert. Das Lesen eines Transkripts wird nicht blockiert

288* Ein rekursives erzwungenes Löschen wie `rm -rf "$VAR"` oder `Remove-Item -Recurse -Force $dir`, dessen Ziel eine Shell-Variable ist, oder ein Glob, der an einer verwurzelt ist, die nirgendwo in der Konversation zugewiesen ist, die der Klassifizierer sieht. Der Wert kam nur aus früherer Befehlsausgabe, die der Klassifizierer nie erhält, daher kann der Klassifizierer das Löschziel nicht gegen die anderen Löschregeln überprüfen. Der Klassifizierer liest die Konversation statt der Befehlsausgabe absichtlich, daher blockiert er den Aufruf, anstatt das Ziel zu erraten. Der Block wird gelöscht, wenn Sie den genauen Pfad benennen, der gelöscht wird, oder wenn Claude das Löschen mit dem aufgelösten literalen Pfad, der in den Befehl geschrieben ist, erneut ausführt. Löschvorgänge, deren Ziel der Klassifizierer auflösen kann, sind nicht betroffen295* Ein rekursives erzwungenes Löschen wie `rm -rf "$VAR"` oder `Remove-Item -Recurse -Force $dir`, dessen Ziel eine Shell-Variable ist, oder ein Glob, der an einer verwurzelt ist, die nirgendwo in der Konversation zugewiesen ist, die der Klassifizierer sieht. Der Wert kam nur aus früherer Befehlsausgabe, die der Klassifizierer nie erhält, sodass der Klassifizierer das Löschziel nicht gegen die anderen Löschregeln überprüfen kann. Der Klassifizierer liest die Konversation statt der Befehlsausgabe absichtlich, sodass er den Aufruf blockiert, statt das Ziel zu erraten. Die Blockierung wird aufgehoben, wenn Sie den genauen Pfad benennen, der gelöscht wird, oder wenn Claude das Löschen mit dem aufgelösten literalen Pfad, der in den Befehl geschrieben ist, erneut ausführt. Löschvorgänge, deren Ziel der Klassifizierer auflösen kann, sind nicht betroffen

289 296 

290**Standardmäßig zugelassen**:297**Standardmäßig erlaubt**:

291 298 

292* Lokale Dateioperationen in Ihrem Arbeitsverzeichnis299* Lokale Dateivorgänge in Ihrem Arbeitsverzeichnis

293* Installation von Abhängigkeiten, die in Ihren Lock-Dateien oder Manifesten deklariert sind300* Installation von Abhängigkeiten, die in Ihren Lock-Dateien oder Manifesten deklariert sind

294* Lesen von `.env` und Senden von Anmeldedaten an ihre entsprechende API301* Lesen von `.env` und Senden von Credentials an ihre entsprechende API

295* Schreibgeschützte HTTP-Anfragen302* Read-Only HTTP-Anfragen

296* Pushen zum Branch, auf dem Sie gestartet haben, oder zu einem, den Claude erstellt hat303* Pushing zum Branch, auf dem Sie gestartet haben, oder zu einem, den Claude erstellt hat

297 304 

298Claude Code v2.1.195 und später erlauben standardmäßig auch diese:305Claude Code v2.1.195 und später erlauben diese auch standardmäßig:

299 306 

300* Löschen der genauen Jobs, die Claude früher in derselben Sitzung erstellt hat307* Löschen der genauen Jobs, die Claude früher in derselben Sitzung erstellt hat

301* Lesen, Überprüfung oder Schreiben von sicherheitsbezogenem Code, Konfigurationen und Bedrohungsmodellen als Teil Ihrer Aufgabe308* Lesen, Überprüfung oder Schreiben von sicherheitsbezogenem Code, Configs und Bedrohungsmodellen als Teil Ihrer Aufgabe

302* Nachrichten zwischen Agenten, die zusammen in derselben Multi-Agent-Sitzung arbeiten309* Nachrichten zwischen Agenten, die zusammen in derselben Multi-Agent-Sitzung arbeiten

303* Senden von Daten an die vertrauenswürdigen Domains, Buckets und Services, die Sie in [`environment`](/de/auto-mode-config#define-trusted-infrastructure) auflisten. Dies deckt nur Datenfluss ab, nicht destruktive oder Anmeldedaten-Operationen auf derselben Infrastruktur310* Senden von Daten an die vertrauenswürdigen Domains, Buckets und Services, die Sie in [`environment`](/de/auto-mode-config#define-trusted-infrastructure) auflisten. Dies deckt nur Datenfluss ab, nicht destruktive oder Credential-Operationen auf derselben Infrastruktur

304* [Claude in Chrome](/de/chrome)-Navigation zu einer vertrauenswürdigen internen Domain, localhost oder einer URL, die Sie benannt haben311* [Claude in Chrome](/de/chrome) Navigation zu einer vertrauenswürdigen internen Domain, localhost oder einer URL, die Sie benannt haben

305 312 

306Sandbox-Netzwerkzugriff-Anfragen werden durch den Klassifizierer geleitet, anstatt standardmäßig zugelassen zu werden. {/* min-version: 2.1.198 */}Ab v2.1.198 verwendet der Klassifizierer sein Urteil für einen Netzwerk-Host und Port wieder, anstatt bei jeder Verbindung erneut auszuführen:313Sandbox-Netzwerkzugriff-Anfragen werden durch den Klassifizierer geleitet, statt standardmäßig erlaubt zu werden. {/* min-version: 2.1.198 */}Ab v2.1.198 verwendet der Klassifizierer sein Urteil für einen Netzwerk-Host und Port wieder, statt bei jeder Verbindung erneut auszuführen:

307 314 

308* Ein Allow wird wiederverwendet, bis neuer Inhalt in die Konversation eintritt, an welchem Punkt dieser Host erneut überprüft wird315* Ein Allow wird wiederverwendet, bis neuer Inhalt in die Konversation eintritt, an welchem Punkt dieser Host erneut überprüft wird

309* In der interaktiven CLI wird ein Deny gelöscht, wenn die Runde endet316* In der interaktiven CLI wird ein Deny gelöscht, wenn die Runde endet

310* Im [nicht-interaktiven Modus](/de/headless) und Agent SDK-Sitzungen gibt es keine Rundenbegrenzung, daher wird ein Deny für den Rest des Laufs wiederverwendet317* Im [nicht-interaktiven Modus](/de/headless) und Agent SDK-Sitzungen gibt es keine Rundenbegrenzung, sodass ein Deny für den Rest des Laufs wiederverwendet wird

311* Das Ändern Ihres Berechtigungsmodus oder Ihrer Regeln löscht alle zwischengespeicherten Urteile318* Das Ändern Ihres Berechtigungsmodus oder Ihrer Regeln löscht alle zwischengespeicherten Urteile

312 319 

313Führen Sie `claude auto-mode defaults` aus, um die vollständigen Regellisten zu sehen. Wenn Routineaktionen blockiert werden, kann ein Administrator vertrauenswürdige Repositories, Buckets und Dienste über die `autoMode.environment`-Einstellung hinzufügen: siehe [Auto-Modus konfigurieren](/de/auto-mode-config).320Führen Sie `claude auto-mode defaults` aus, um die vollständigen Regellisten zu sehen. Wenn routinemäßige Aktionen blockiert werden, kann ein Administrator vertrauenswürdige Repos, Buckets und Services über die `autoMode.environment`-Einstellung hinzufügen: siehe [Auto-Modus konfigurieren](/de/auto-mode-config).

314 321 

315<h3 id="boundaries-you-state-in-conversation">322<h3 id="boundaries-you-state-in-conversation">

316 Grenzen, die Sie im Gespräch angeben323 Grenzen, die Sie in der Konversation angeben

317</h3>324</h3>

318 325 

319Der Klassifizierer behandelt Grenzen, die Sie im Gespräch angeben, als Blocksignal. Wenn Sie Claude sagen "nicht pushen" oder "warten Sie, bis ich überprüfe, bevor Sie bereitstellen", blockiert der Klassifizierer übereinstimmende Aktionen, auch wenn die Standardregeln sie zulassen würden. Eine Grenze bleibt in Kraft, bis Sie sie in einer späteren Nachricht aufheben. Claudes eigenes Urteil, dass eine Bedingung erfüllt wurde, hebt sie nicht auf.326Der Klassifizierer behandelt Grenzen, die Sie in der Konversation angeben, als Blocksignal. Wenn Sie Claude sagen nicht pushen" oder warten Sie, bis ich überprüfe, bevor Sie bereitstellen", blockiert der Klassifizierer entsprechende Aktionen, auch wenn die Standardregeln sie erlauben würden. Eine Grenze bleibt in Kraft, bis Sie sie in einer späteren Nachricht aufheben. Claudes eigenes Urteil, dass eine Bedingung erfüllt wurde, hebt sie nicht auf.

320 327 

321Grenzen werden nicht als Regeln gespeichert. Der Klassifizierer liest sie bei jeder Prüfung aus dem Transkript erneut, daher kann eine Grenze verloren gehen, wenn [Kontext-Komprimierung](/de/costs#reduce-token-usage) die Nachricht entfernt, die sie angegeben hat. Für eine harte Garantie fügen Sie stattdessen eine [Deny-Regel](/de/permissions#permission-rule-syntax) hinzu.328Grenzen werden nicht als Regeln gespeichert. Der Klassifizierer liest sie bei jeder Prüfung aus dem Transkript erneut, sodass eine Grenze verloren gehen kann, wenn [Kontext-Komprimierung](/de/costs#reduce-token-usage) die Nachricht entfernt, die sie angegeben hat. Für eine harte Garantie fügen Sie stattdessen eine [Deny-Regel](/de/permissions#permission-rule-syntax) hinzu.

322 329 

323<h3 id="when-auto-mode-falls-back">330<h3 id="when-auto-mode-falls-back">

324 Wenn Auto-Modus zurückfällt331 Wenn der Auto-Modus zurückfällt

325</h3>332</h3>

326 333 

327Jede abgelehnte Aktion zeigt eine Benachrichtigung und wird in `/permissions` unter der Registerkarte "Kürzlich abgelehnt" angezeigt, wo Sie `r` drücken können, um sie mit manueller Genehmigung erneut zu versuchen.334Jede abgelehnte Aktion zeigt eine Benachrichtigung und erscheint in `/permissions` unter der Registerkarte Kürzlich abgelehnt", wo Sie `r` drücken können, um sie mit manueller Genehmigung erneut zu versuchen.

328 335 

329Wenn der Klassifizierer eine Aktion 3-mal hintereinander oder 20-mal insgesamt blockiert, pausiert der Auto-Modus und Claude Code setzt das Aufforderungen fort. Das Genehmigen der aufgeforderten Aktion setzt den Auto-Modus fort. Diese Schwellwerte sind nicht konfigurierbar. Jede zugelassene Aktion setzt den aufeinanderfolgenden Zähler zurück, während der Gesamtzähler für die Sitzung bestehen bleibt und nur zurückgesetzt wird, wenn sein eigenes Limit einen Fallback auslöst.336Wenn der Klassifizierer eine Aktion 3-mal hintereinander oder insgesamt 20-mal blockiert, pausiert der Auto-Modus und Claude Code setzt das Prompting fort. Das Genehmigen der aufgeforderten Aktion setzt den Auto-Modus fort. Diese Schwellwerte sind nicht konfigurierbar. Jede erlaubte Aktion setzt den aufeinanderfolgenden Zähler zurück, während der Gesamtzähler für die Sitzung bestehen bleibt und nur zurückgesetzt wird, wenn sein eigenes Limit einen Fallback auslöst.

330 337 

331Im [nicht-interaktiven Modus](/de/headless) mit dem `-p`-Flag bricht die Sitzung ab, da es keinen Benutzer gibt, der aufgefordert werden kann.338Im [nicht-interaktiven Modus](/de/headless) mit dem `-p`-Flag wird die Sitzung abgebrochen, wenn wiederholte Blockierungen auftreten, da es keinen Benutzer zum Prompting gibt.

332 339 

333Wiederholte Blockierungen bedeuten normalerweise, dass dem Klassifizierer der Kontext über Ihre Infrastruktur fehlt. Verwenden Sie `/feedback`, um falsch positive Ergebnisse zu melden, oder lassen Sie einen Administrator [vertrauenswürdige Infrastruktur konfigurieren](/de/auto-mode-config).340Wiederholte Blöcke bedeuten normalerweise, dass dem Klassifizierer Kontext über Ihre Infrastruktur fehlt. Verwenden Sie `/feedback`, um falsch positive Ergebnisse zu melden, oder lassen Sie einen Administrator [vertrauenswürdige Infrastruktur konfigurieren](/de/auto-mode-config).

334 341 

335<AccordionGroup>342<AccordionGroup>

336 <Accordion title="Wie der Klassifizierer Aktionen bewertet">343 <Accordion title="Wie der Klassifizierer Aktionen bewertet">

337 Jede Aktion durchläuft eine feste Entscheidungsreihenfolge. Der erste übereinstimmende Schritt gewinnt:344 Jede Aktion durchläuft eine feste Entscheidungsreihenfolge. Der erste übereinstimmende Schritt gewinnt:

338 345 

339 1. Aktionen, die Ihren [Allow- oder Deny-Regeln](/de/permissions#manage-permissions) entsprechen, werden sofort gelöst, außer Schreibvorgänge zu [geschützten Pfaden](#protected-paths), die zum Klassifizierer geleitet werden, auch wenn eine Allow-Regel passt346 1. Aktionen, die Ihren [Allow- oder Deny-Regeln](/de/permissions#manage-permissions) entsprechen, werden sofort aufgelöst, außer Schreibvorgänge zu [geschützten Pfaden](#protected-paths), die zum Klassifizierer geleitet werden, auch wenn eine Allow-Regel übereinstimmt

340 2. Schreibgeschützte Aktionen und Dateibearbeitungen in Ihrem Arbeitsverzeichnis werden automatisch genehmigt, außer Schreibvorgänge zu [geschützten Pfaden](#protected-paths)347 2. Read-Only-Aktionen und Dateibearbeitungen in Ihrem Arbeitsverzeichnis werden automatisch genehmigt, außer Schreibvorgänge zu [geschützten Pfaden](#protected-paths)

341 3. Alles andere geht an den Klassifizierer. {/* min-version: 2.1.199 */}Ab v2.1.199 überspringt ein MCP-Tool, das mit [`_meta["anthropic/requiresUserInteraction"]`](/de/mcp#require-approval-for-a-specific-tool) gekennzeichnet ist, den Klassifizierer und fordert Sie direkt auf, daher wird ein Zustimmungsschritt niemals im Namen des Tool-Autors automatisch genehmigt348 3. Alles andere geht zum Klassifizierer. {/* min-version: 2.1.199 */}Ab v2.1.199 überspringt ein MCP-Tool, das mit [`_meta["anthropic/requiresUserInteraction"]`](/de/mcp#require-approval-for-a-specific-tool) gekennzeichnet ist, den Klassifizierer und fordert Sie direkt auf, sodass ein Zustimmungsschritt niemals im Namen des Tool-Autors automatisch genehmigt wird

342 4. Wenn der Klassifizierer blockiert, erhält Claude den Grund und versucht eine Alternative349 4. Wenn der Klassifizierer blockiert, erhält Claude den Grund und versucht eine Alternative

343 350 

344 Beim Eintritt in den Auto-Modus werden breite Allow-Regeln, die willkürliche Code-Ausführung gewähren, gelöscht:351 Beim Eintritt in den Auto-Modus werden breite Allow-Regeln, die willkürliche Code-Ausführung gewähren, gelöscht:

345 352 

346 * Blanko `Bash(*)`353 * Pauschal `Bash(*)` oder `PowerShell(*)`

347 * Wildcard-Interpreter wie `Bash(python*)`354 * Wildcard-Interpreter wie `Bash(python*)`

348 * Paketmanager-Ausführungsbefehle355 * Package-Manager-Ausführungsbefehle

349 * `Agent`-Allow-Regeln356 * `Agent` Allow-Regeln

350 357 

351 Enge Regeln wie `Bash(npm test)` werden übernommen. Gelöschte Regeln werden wiederhergestellt, wenn Sie den Auto-Modus verlassen.358 Enge Regeln wie `Bash(npm test)` werden übernommen. Gelöschte Regeln werden wiederhergestellt, wenn Sie den Auto-Modus verlassen.

352 359 

353 Der Klassifizierer sieht Benutzernachrichten, Tool-Aufrufe und Ihren CLAUDE.md-Inhalt. Tool-Ergebnisse werden entfernt, daher kann feindselige Inhalte in einer Datei oder Webseite ihn nicht direkt manipulieren. Eine separate serverseitige Sonde scannt eingehende Tool-Ergebnisse und kennzeichnet verdächtige Inhalte, bevor Claude sie liest. Weitere Informationen darüber, wie diese Schichten zusammenarbeiten, finden Sie in der [Auto-Modus-Ankündigung](https://claude.com/blog/auto-mode) und dem [Engineering Deep Dive](https://www.anthropic.com/engineering/claude-code-auto-mode).360 Der Klassifizierer sieht Benutzernachrichten, Tool-Aufrufe und Ihren CLAUDE.md-Inhalt. Tool-Ergebnisse werden entfernt, sodass feindselige Inhalte in einer Datei oder Webseite ihn nicht direkt manipulieren können. Ein separater Server-seitiger Probe scannt eingehende Tool-Ergebnisse und kennzeichnet verdächtige Inhalte, bevor Claude sie liest. Weitere Informationen darüber, wie diese Schichten zusammenarbeiten, finden Sie in der [Auto-Modus-Ankündigung](https://claude.com/blog/auto-mode) und dem [Engineering Deep Dive](https://www.anthropic.com/engineering/claude-code-auto-mode).

354 </Accordion>361 </Accordion>

355 362 

356 <Accordion title="Wie Auto-Modus Subagenten handhabt">363 <Accordion title="Wie der Auto-Modus Subagenten handhabt">

357 Der Klassifizierer überprüft [Subagenten](/de/sub-agents)-Arbeit an drei Punkten:364 Der Klassifizierer überprüft [Subagenten](/de/sub-agents)-Arbeit an drei Punkten:

358 365 

359 1. Bevor ein Subagent startet, wird die delegierte Aufgabenbeschreibung bewertet, daher wird eine gefährlich aussehende Aufgabe beim Erzeugen blockiert.366 1. Bevor ein Subagent startet, wird die delegierte Aufgabenbeschreibung bewertet, sodass eine gefährlich aussehende Aufgabe beim Spawn blockiert wird.

360 2. Während der Subagent läuft, durchläuft jede seiner Aktionen den Klassifizierer mit den gleichen Regeln wie die übergeordnete Sitzung, und jeder `permissionMode` im Frontmatter des Subagenten wird ignoriert.367 2. Während der Subagent läuft, durchläuft jede seiner Aktionen den Klassifizierer mit den gleichen Regeln wie die übergeordnete Sitzung, und jeder `permissionMode` in der Frontmatter des Subagenten wird ignoriert.

361 3. Wenn der Subagent fertig ist, überprüft der Klassifizierer seine vollständige Aktionshistorie; wenn diese Rückgabeprüfung ein Problem kennzeichnet, wird eine Sicherheitswarnung den Ergebnissen des Subagenten vorangestellt.368 3. Wenn der Subagent fertig ist, überprüft der Klassifizierer seine vollständige Aktionshistorie; wenn diese Rückgabeprüfung ein Problem kennzeichnet, wird eine Sicherheitswarnung den Ergebnissen des Subagenten vorangestellt.

362 369 

363 {/* min-version: 2.1.178 */}}370 Schritt 1 erfordert Claude Code v2.1.178 oder später. Frühere Versionen wendeten den Klassifizierer in den Schritten 2 und 3 an, bewerteten aber die Aufgabenbeschreibung nicht, bevor der Subagent startete.

364 Schritt 1 erfordert Claude Code v2.1.178 oder später. Frühere Versionen wendeten den Klassifizierer in den Schritten 2 und 3 an, bewerteten aber die Aufgabenbeschreibung nicht, bevor der Subagent gestartet wurde.

365 </Accordion>371 </Accordion>

366 372 

367 <Accordion title="Kosten und Latenz">373 <Accordion title="Kosten und Latenz">

368 Der Klassifizierer läuft auf einem serverkonfigurierten Modell, das unabhängig von Ihrer `/model`-Auswahl ist, daher ändert das Wechseln von Modellen die Klassifizierer-Verfügbarkeit nicht. Klassifizierer-Aufrufe zählen zu Ihrer Token-Nutzung. Jede Prüfung sendet einen Teil des Transkripts plus die ausstehende Aktion, was einen Roundtrip vor der Ausführung hinzufügt. Lesevorgänge und Arbeitsverzeichnis-Bearbeitungen außerhalb geschützter Pfade überspringen den Klassifizierer, daher kommt der Overhead hauptsächlich von Shell-Befehlen und Netzwerkoperationen. {/* min-version: 2.1.198 */}Ab v2.1.198 wird ein Sandbox-Netzwerk-Urteil für einen Host und Port wiederverwendet, anstatt bei jeder Verbindung erneut klassifiziert zu werden, daher fügen wiederholte Verbindungen zum gleichen Host nicht jeweils eine Prüfung hinzu. [Was der Klassifizierer standardmäßig blockiert](#what-the-classifier-blocks-by-default) beschreibt, wie lange ein Allow und ein Deny andauern.374 Der Klassifizierer läuft auf einem Server-konfigurierten Modell, das unabhängig von Ihrer `/model`-Auswahl ist, sodass das Wechseln von Modellen die Klassifizierer-Verfügbarkeit nicht ändert. Klassifizierer-Aufrufe zählen zu Ihrer Token-Nutzung. Jede Prüfung sendet einen Teil des Transkripts plus die ausstehende Aktion und fügt eine Hin- und Rückfahrt vor der Ausführung hinzu. Lesevorgänge und Arbeitsverzeichnis-Bearbeitungen außerhalb geschützter Pfade überspringen den Klassifizierer, sodass der Overhead hauptsächlich von Shell-Befehlen und Netzwerkoperationen kommt. {/* min-version: 2.1.198 */}Ab v2.1.198 wird ein Sandbox-Netzwerk-Urteil für einen Host und Port wiederverwendet, statt bei jeder Verbindung neu klassifiziert zu werden, sodass wiederholte Verbindungen zum gleichen Host nicht jeweils eine Prüfung hinzufügen. [Was der Klassifizierer standardmäßig blockiert](#what-the-classifier-blocks-by-default) beschreibt, wie lange ein Allow und ein Deny dauern.

369 </Accordion>375 </Accordion>

370</AccordionGroup>376</AccordionGroup>

371 377 


373 Nur vorab genehmigte Tools mit dontAsk-Modus zulassen379 Nur vorab genehmigte Tools mit dontAsk-Modus zulassen

374</h2>380</h2>

375 381 

376`dontAsk`-Modus lehnt automatisch jeden Tool-Aufruf ab, der sonst auffordern würde. Die Statusleiste zeigt `⏵⏵ don't ask on`, während dieser Modus aktiv ist. Nur Aktionen, die Ihren `permissions.allow`-Regeln und [schreibgeschützten Bash-Befehlen](/de/permissions#read-only-commands) entsprechen, können ausgeführt werden; explizite [`ask`-Regeln](/de/permissions#manage-permissions) werden abgelehnt, anstatt aufzufordern. {/* min-version: 2.1.199 */}Ab v2.1.199 wird ein MCP-Tool, das mit [`_meta["anthropic/requiresUserInteraction"]`](/de/mcp#require-approval-for-a-specific-tool) gekennzeichnet ist, auch in diesem Modus abgelehnt, selbst wenn eine Allow-Regel darauf zutrifft, da seine Genehmigungskarte eine Antwort benötigt, die dieser Modus nie erfasst. Dies macht den Modus vollständig nicht-interaktiv für CI-Pipelines oder eingeschränkte Umgebungen, in denen Sie genau vordefinieren, was Claude tun darf. Cloud-Sitzungen auf [Claude Code im Web](/de/claude-code-on-the-web) ignorieren `defaultMode: "dontAsk"`; siehe [bypassPermissions](#skip-all-checks-with-bypasspermissions-mode) für Details.382Der `dontAsk`-Modus lehnt automatisch jeden Tool-Aufruf ab, der sonst zu einer Eingabeaufforderung führen würde. Die Statusleiste zeigt `⏵⏵ don't ask on`, während dieser Modus aktiv ist. Nur Aktionen, die Ihren `permissions.allow`-Regeln und [schreibgeschützten Bash-Befehlen](/de/permissions#read-only-commands) entsprechen, können ausgeführt werden; explizite [`ask`-Regeln](/de/permissions#manage-permissions) werden abgelehnt, anstatt zu einer Eingabeaufforderung zu führen. {/* min-version: 2.1.199 */}Ab v2.1.199 wird ein MCP-Tool, das mit [`_meta["anthropic/requiresUserInteraction"]`](/de/mcp#require-approval-for-a-specific-tool) gekennzeichnet ist, auch in diesem Modus abgelehnt, selbst wenn eine Allow-Regel damit übereinstimmt, da die Genehmigungskarte eine Antwort benötigt, die dieser Modus nie erfasst. Dies macht den Modus vollständig nicht-interaktiv für CI-Pipelines oder eingeschränkte Umgebungen, in denen Sie genau vordefinieren, was Claude tun darf. Cloud-Sitzungen auf [Claude Code im Web](/de/claude-code-on-the-web) ignorieren `defaultMode: "dontAsk"`; siehe [bypassPermissions](#skip-all-checks-with-bypasspermissions-mode) für Details.

377 383 

378Legen Sie ihn beim Start mit dem Flag fest:384Legen Sie es beim Start mit dem Flag fest:

379 385 

380```bash theme={null}386```bash theme={null}

381claude --permission-mode dontAsk387claude --permission-mode dontAsk

382```388```

383 389 

384<h2 id="skip-all-checks-with-bypasspermissions-mode">390<h2 id="skip-all-checks-with-bypasspermissions-mode">

385 Alle Prüfungen mit bypassPermissions-Modus überspringen391 Alle Überprüfungen mit dem Modus bypassPermissions überspringen

386</h2>392</h2>

387 393 

388Der `bypassPermissions`-Modus deaktiviert Berechtigungsaufforderungen und Sicherheitsprüfungen, damit Tool-Aufrufe sofort ausgeführt werden. Ab v2.1.126 umfasst dies auch Schreibvorgänge zu [geschützten Pfaden](#protected-paths), die frühere Versionen noch aufforderten. Explizite [Ask-Regeln](/de/permissions#manage-permissions) erzwingen weiterhin eine Aufforderung in diesem Modus, und Löschvorgänge, die auf das Dateisystem-Root oder das Home-Verzeichnis abzielen, wie `rm -rf /` und `rm -rf ~`, fordern weiterhin auf als Schutzschalter gegen Modellfehler. {/* min-version: 2.1.199 */}Ab v2.1.199 werden auch MCP-Tools, die mit [`_meta["anthropic/requiresUserInteraction"]`](/de/mcp#require-approval-for-a-specific-tool) gekennzeichnet sind, weiterhin aufgefordert. Verwenden Sie diesen Modus nur in isolierten Umgebungen wie Containern, VMs oder Dev Containern ohne Internetzugang, wo Claude Code Ihr Host-System nicht beschädigen kann.394Der Modus `bypassPermissions` deaktiviert Berechtigungsaufforderungen und Sicherheitsüberprüfungen, sodass Werkzeugaufrufe sofort ausgeführt werden. Ab v2.1.126 umfasst dies auch Schreibvorgänge in [geschützte Pfade](#protected-paths), für die frühere Versionen noch Aufforderungen angezeigt haben. Explizite [ask-Regeln](/de/permissions#manage-permissions) erzwingen in diesem Modus weiterhin eine Aufforderung, und Löschvorgänge, die das Dateisystem-Stammverzeichnis oder das Home-Verzeichnis betreffen, wie `rm -rf /` und `rm -rf ~`, lösen weiterhin als Schutzmaßnahme gegen Modellfehler eine Aufforderung aus. {/* min-version: 2.1.199 */}Ab v2.1.199 lösen auch MCP-Werkzeuge, die mit [`_meta["anthropic/requiresUserInteraction"]`](/de/mcp#require-approval-for-a-specific-tool) gekennzeichnet sind, weiterhin eine Aufforderung aus. Verwenden Sie diesen Modus nur in isolierten Umgebungen wie Containern, VMs oder Dev-Containern ohne Internetzugang, in denen Claude Code Ihr Host-System nicht beschädigen kann.

389 395 

390Sie können nicht in `bypassPermissions` aus einer Sitzung eintreten, die ohne eines der aktivierenden Flags gestartet wurde; starten Sie neu mit einem, um es zu aktivieren:396Sie können `bypassPermissions` nicht aus einer Sitzung eingeben, die ohne eines der aktivierenden Flags gestartet wurde. Starten Sie mit einem Flag neu, um es zu aktivieren:

391 397 

392```bash theme={null}398```bash theme={null}

393claude --permission-mode bypassPermissions399claude --permission-mode bypassPermissions

394```400```

395 401 

396Das `--dangerously-skip-permissions`-Flag ist gleichbedeutend.402Das Flag `--dangerously-skip-permissions` ist gleichwertig.

397 403 

398Unter Linux und macOS weigert sich Claude Code, in diesem Modus zu starten, wenn es als Root oder unter `sudo` ausgeführt wird:404Unter Linux und macOS weigert sich Claude Code, in diesem Modus zu starten, wenn es als Root oder unter `sudo` ausgeführt wird:

399 405 


401--dangerously-skip-permissions cannot be used with root/sudo privileges for security reasons407--dangerously-skip-permissions cannot be used with root/sudo privileges for security reasons

402```408```

403 409 

404Die Prüfung wird automatisch in einer erkannten Sandbox übersprungen. Um autonom in einem Container zu laufen, verwenden Sie die [Dev-Container](/de/devcontainer)-Konfiguration, die Claude Code als Nicht-Root-Benutzer ausführt.410Die Überprüfung wird automatisch in einer erkannten Sandbox übersprungen. Um autonom in einem Container zu laufen, verwenden Sie die [Dev-Container](/de/devcontainer)-Konfiguration, die Claude Code als Nicht-Root-Benutzer ausführt.

405 411 

406[Claude Code im Web](/de/claude-code-on-the-web) berücksichtigt `defaultMode: "bypassPermissions"` oder `"dontAsk"` aus Ihren Einstellungsdateien nicht, daher können die eingecheckten Einstellungen eines Repositorys keine Cloud-Sitzung im Bypass-Permissions-Modus starten. Die Einstellung wird stillschweigend ignoriert und die Sitzung startet im Modus, der in der Modus-Dropdown angezeigt wird. Siehe [Berechtigungsmodi wechseln](#switch-permission-modes) für die Modi, die Cloud-Sitzungen anbieten.412[Claude Code im Web](/de/claude-code-on-the-web) berücksichtigt `defaultMode: "bypassPermissions"` oder `"dontAsk"` aus Ihren Einstellungsdateien nicht, daher können die eingecheckten Einstellungen eines Repositorys keine Cloud-Sitzung im Bypass-Permissions-Modus starten. Die Einstellung wird stillschweigend ignoriert und die Sitzung startet im Modus, der in der Modus-Dropdown angezeigt wird. Siehe [Berechtigungsmodi wechseln](#switch-permission-modes), welche Modi Cloud-Sitzungen bieten.

407 413 

408<Warning>414<Warning>

409 `bypassPermissions` bietet keinen Schutz vor Prompt-Injection oder unbeabsichtigten Aktionen. Verwenden Sie für Hintergrund-Sicherheitsprüfungen mit deutlich weniger Aufforderungen stattdessen [Auto-Modus](#eliminate-prompts-with-auto-mode). Administratoren können diesen Modus blockieren, indem sie `permissions.disableBypassPermissionsMode` auf `"disable"` in [verwalteten Einstellungen](/de/permissions#managed-settings) setzen.415 `bypassPermissions` bietet keinen Schutz vor Prompt-Injection oder unbeabsichtigten Aktionen. Verwenden Sie stattdessen den [Auto-Modus](#eliminate-prompts-with-auto-mode) für Hintergrund-Sicherheitsüberprüfungen mit deutlich weniger Berechtigungsaufforderungen. Administratoren können diesen Modus blockieren, indem sie `permissions.disableBypassPermissionsMode` in [verwalteten Einstellungen](/de/permissions#managed-settings) auf `"disable"` setzen.

410</Warning>416</Warning>

411 417 

412<h2 id="protected-paths">418<h2 id="protected-paths">

413 Geschützte Pfade419 Geschützte Pfade

414</h2>420</h2>

415 421 

416Schreibvorgänge zu einer kleinen Menge von Pfaden werden niemals automatisch genehmigt, in jedem Modus außer `bypassPermissions`. Dies verhindert versehentliche Beschädigung des Repository-Status und Claudes eigener Konfiguration.422Schreibvorgänge in eine kleine Anzahl von Pfaden werden niemals automatisch genehmigt, in jedem Modus außer `bypassPermissions`. Dies verhindert versehentliche Beschädigungen des Repository-Status und der eigenen Konfiguration von Claude.

417 423 

418| Modus | Schreibvorgänge zu geschützten Pfaden |424| Modus | Schreibvorgänge in geschützten Pfaden |

419| :------------------------------- | :------------------------------------ |425| :------------------------------- | :------------------------------------ |

420| `default`, `acceptEdits`, `plan` | Abgefragt |426| `default`, `acceptEdits`, `plan` | Abgefragt |

421| `auto` | An den Klassifizierer weitergeleitet |427| `auto` | An den Klassifizierer weitergeleitet |

422| `dontAsk` | Abgelehnt |428| `dontAsk` | Verweigert |

423| `bypassPermissions` | Erlaubt |429| `bypassPermissions` | Erlaubt |

424 430 

425[`permissions.allow`](/de/permissions#manage-permissions) Regeln in Einstellungsdateien genehmigen Schreibvorgänge zu geschützten Pfaden nicht vorab. Die Sicherheitsprüfung wird ausgeführt, bevor Claude Code die Allow-Regeln aus den Einstellungen auswertet, daher ändert ein Eintrag wie `Edit(.claude/**)` in `~/.claude/settings.json` oder `.claude/settings.json` das Ergebnis pro Modus in der obigen Tabelle nicht. In Modi, die abfragen, bietet die Aufforderung für einen `.claude/`-Schreibvorgang **Ja, und Claude erlauben, seine eigenen Einstellungen für diese Sitzung zu bearbeiten**, was spätere `.claude/`-Schreibvorgänge in dieser Sitzung ohne erneute Aufforderung genehmigt.431[`permissions.allow`](/de/permissions#manage-permissions) Regeln in Einstellungsdateien genehmigen Schreibvorgänge in geschützten Pfaden nicht im Voraus. Die Sicherheitsprüfung wird ausgeführt, bevor Claude Code die Allow-Regeln aus den Einstellungen auswertet, daher ändert ein Eintrag wie `Edit(.claude/**)` in `~/.claude/settings.json` oder `.claude/settings.json` das Ergebnis pro Modus in der obigen Tabelle nicht. In Modi, die abfragen, bietet die Eingabeaufforderung für einen `.claude/` Schreibvorgang **Ja, und Claude darf seine eigenen Einstellungen für diese Sitzung bearbeiten**, was spätere `.claude/` Schreibvorgänge in dieser Sitzung genehmigt, ohne erneut abzufragen.

426 432 

427Geschützte Verzeichnisse:433Geschützte Verzeichnisse:

428 434 


435* `.devcontainer`441* `.devcontainer`

436* `.yarn`442* `.yarn`

437* `.mvn`443* `.mvn`

438* `.claude`, außer für `.claude/worktrees`, wo Claude seine eigenen Git-Worktrees speichert444* `.claude`, außer `.claude/worktrees`, wo Claude seine eigenen Git-Worktrees speichert

439 445 

440Geschützte Dateien:446Geschützte Dateien:

441 447 


453 Siehe auch459 Siehe auch

454</h2>460</h2>

455 461 

456* [Berechtigungen](/de/permissions): Allow-, Ask- und Deny-Regeln; verwaltete Richtlinien462* [Berechtigungen](/de/permissions): allow-, ask- und deny-Regeln; verwaltete Richtlinien

457* [Auto-Modus konfigurieren](/de/auto-mode-config): Teilen Sie dem Klassifizierer mit, welche Infrastruktur Ihre Organisation vertraut463* [Auto-Modus konfigurieren](/de/auto-mode-config): teilen Sie dem Klassifizierer mit, welche Infrastruktur Ihre Organisation vertraut

458* [Hooks](/de/hooks): benutzerdefinierte Berechtigungslogik über `PreToolUse`- und `PermissionRequest`-Hooks464* [Hooks](/de/hooks): benutzerdefinierte Berechtigungslogik über `PreToolUse` und `PermissionRequest` Hooks

459* [Ultraplan](/de/ultraplan): Führen Sie den Planungsmodus in einer Claude Code im Web-Sitzung mit browsergestützter Überprüfung aus465* [Ultraplan](/de/ultraplan): führen Sie Plan Mode in einer Claude Code-Websitzung mit browsergestützter Überprüfung aus

460* [Sicherheit](/de/security): Sicherheitsvorkehrungen und Best Practices466* [Sicherheit](/de/security): Schutzmaßnahmen und Best Practices

461* [Sandboxing](/de/sandboxing): Dateisystem- und Netzwerkisolation für Bash-Befehle467* [Sandboxing](/de/sandboxing): Dateisystem- und Netzwerkisolation für Bash-Befehle

462* [Nicht-interaktiver Modus](/de/headless): Führen Sie Claude Code mit dem `-p`-Flag aus468* [Nicht-interaktiver Modus](/de/headless): führen Sie Claude Code mit dem Flag `-p` aus

skills.md +1 −1

Details

298| `$ARGUMENTS` | Alle Argumente, die beim Aufrufen des Skills übergeben werden. Wenn `$ARGUMENTS` nicht im Inhalt vorhanden ist, werden Argumente als `ARGUMENTS: <value>` angehängt. |298| `$ARGUMENTS` | Alle Argumente, die beim Aufrufen des Skills übergeben werden. Wenn `$ARGUMENTS` nicht im Inhalt vorhanden ist, werden Argumente als `ARGUMENTS: <value>` angehängt. |

299| `$ARGUMENTS[N]` | Greifen Sie auf ein bestimmtes Argument nach 0-basiertem Index zu, z. B. `$ARGUMENTS[0]` für das erste Argument. |299| `$ARGUMENTS[N]` | Greifen Sie auf ein bestimmtes Argument nach 0-basiertem Index zu, z. B. `$ARGUMENTS[0]` für das erste Argument. |

300| `$N` | Kurzform für `$ARGUMENTS[N]`, z. B. `$0` für das erste Argument oder `$1` für das zweite. |300| `$N` | Kurzform für `$ARGUMENTS[N]`, z. B. `$0` für das erste Argument oder `$1` für das zweite. |

301| `$name` | Benanntes Argument, das in der [`arguments`](#available-string-substitutions)-Frontmatter-Liste deklariert ist. Namen werden in Reihenfolge auf Positionen abgebildet, daher wird mit `arguments: [issue, branch]` der Platzhalter `$issue` zum ersten Argument erweitert und `$branch` zum zweiten. |301| `$name` | Benanntes Argument, das in der [`arguments`](#frontmatter-reference)-Frontmatter-Liste deklariert ist. Namen werden in Reihenfolge auf Positionen abgebildet, daher wird mit `arguments: [issue, branch]` der Platzhalter `$issue` zum ersten Argument erweitert und `$branch` zum zweiten. |

302| `${CLAUDE_SESSION_ID}` | Die aktuelle Sitzungs-ID. Nützlich zum Protokollieren, Erstellen sitzungsspezifischer Dateien oder Korrelieren der Skill-Ausgabe mit Sitzungen. |302| `${CLAUDE_SESSION_ID}` | Die aktuelle Sitzungs-ID. Nützlich zum Protokollieren, Erstellen sitzungsspezifischer Dateien oder Korrelieren der Skill-Ausgabe mit Sitzungen. |

303| `${CLAUDE_EFFORT}` | Die aktuelle Anstrengungsstufe: `low`, `medium`, `high`, `xhigh` oder `max`. Ultracode ist keine separate Stufe und wird als `xhigh` gemeldet. Verwenden Sie dies, um Skill-Anweisungen an die aktive Anstrengungseinstellung anzupassen. |303| `${CLAUDE_EFFORT}` | Die aktuelle Anstrengungsstufe: `low`, `medium`, `high`, `xhigh` oder `max`. Ultracode ist keine separate Stufe und wird als `xhigh` gemeldet. Verwenden Sie dies, um Skill-Anweisungen an die aktive Anstrengungseinstellung anzupassen. |

304| `${CLAUDE_SKILL_DIR}` | Das Verzeichnis, das die `SKILL.md`-Datei des Skills enthält. Für Plugin-Skills ist dies das Skill-Unterverzeichnis im Plugin, nicht das Plugin-Root. Verwenden Sie dies in Bash-Injektionsbefehlen, um auf Scripts oder Dateien zu verweisen, die mit dem Skill gebündelt sind, unabhängig vom aktuellen Arbeitsverzeichnis. |304| `${CLAUDE_SKILL_DIR}` | Das Verzeichnis, das die `SKILL.md`-Datei des Skills enthält. Für Plugin-Skills ist dies das Skill-Unterverzeichnis im Plugin, nicht das Plugin-Root. Verwenden Sie dies in Bash-Injektionsbefehlen, um auf Scripts oder Dateien zu verweisen, die mit dem Skill gebündelt sind, unabhängig vom aktuellen Arbeitsverzeichnis. |