SpyBara
Go Premium

Documentation 2026-07-13 23:57 UTC to 2026-07-14 23:01 UTC

2 files changed +159 −152. View all changes and history on the product overview
2026
Sat 18 01:01 Fri 17 22:57 Thu 16 22:59 Wed 15 22:00 Tue 14 23:01 Mon 13 23:57 Sat 11 19:03 Fri 10 17:00 Thu 9 23:58 Wed 8 16:02 Tue 7 16:02 Mon 6 23:57 Sat 4 03:01 Fri 3 23:00 Thu 2 23:59 Wed 1 21:01

permission-modes.md +157 −150

Details

2> Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt2> Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt

3> Use this file to discover all available pages before exploring further.3> Use this file to discover all available pages before exploring further.

4 4 

5# Elige un modo de permisos5# Elegir un modo de permisos

6 6 

7> Controla si Claude pregunta antes de editar archivos o ejecutar comandos. Cicla entre modos con Shift+Tab en la CLI o usa el selector de modo en VS Code, Desktop y claude.ai.7> Controle si Claude solicita aprobación antes de editar archivos o ejecutar comandos. Cambie de modo con Mayús+Tab en la CLI o use el selector de modo en VS Code, Desktop y claude.ai.

8 8 

9Cuando Claude quiere editar un archivo, ejecutar un comando de shell o hacer una solicitud de red, se detiene y te pide que apruebes la acción. Los modos de permisos controlan con qué frecuencia ocurre esa pausa. El modo que elijas forma el flujo de una sesión: el modo manual te hace revisar cada acción a medida que llega, mientras que los modos más flexibles permiten que Claude trabaje en tramos más largos sin interrupciones e informe cuando haya terminado. Elige más supervisión para trabajo sensible, o menos interrupciones cuando confías en la dirección.9Cuando Claude desea editar un archivo, ejecutar un comando de shell o realizar una solicitud de red, se detiene y le solicita que apruebe la acción. Los modos de permisos controlan con qué frecuencia ocurre esa pausa. El modo que elija determina el flujo de una sesión: el modo Manual le permite revisar cada acción a medida que llega, mientras que los modos más flexibles permiten que Claude trabaje en tramos más largos sin interrupciones e informe cuando haya terminado. Elija más supervisión para trabajos sensibles, o menos interrupciones cuando confíe en la dirección.

10 10 

11<h2 id="available-modes">11<h2 id="available-modes">

12 Modos disponibles12 Modos disponibles

13</h2>13</h2>

14 14 

15Cada modo hace un compromiso diferente entre conveniencia y supervisión. La tabla a continuación muestra qué puede hacer Claude sin un aviso de permisos en cada modo.15Cada modo realiza un equilibrio diferente entre conveniencia y supervisión. La tabla a continuación muestra qué puede hacer Claude sin un aviso de permiso en cada modo.

16 16 

17| Modo | Lo que se ejecuta sin preguntar | Mejor para |17| Modo | Qué se ejecuta sin preguntar | Mejor para |

18| :------------------------------------------------------------------ | :-------------------------------------------------------------------------------------------------------------- | :---------------------------------------------- |18| :------------------------------------------------------------------ | :-------------------------------------------------------------------------------------------------------------- | :---------------------------------------------- |

19| `default` | Solo lecturas. Etiquetado como **Manual** en la CLI y extensiones de IDE | Comenzar, trabajo sensible |19| `default` | Solo lectura | Comenzar, trabajo sensible |

20| [`acceptEdits`](#auto-approve-file-edits-with-acceptedits-mode) | Lecturas, ediciones de archivos y comandos comunes del sistema de archivos (`mkdir`, `touch`, `mv`, `cp`, etc.) | Iterar en código que estás revisando |20| [`acceptEdits`](#auto-approve-file-edits-with-acceptedits-mode) | Lecturas, ediciones de archivos y comandos comunes del sistema de archivos (`mkdir`, `touch`, `mv`, `cp`, etc.) | Iterar sobre código que está revisando |

21| [`plan`](#analyze-before-you-edit-with-plan-mode) | Solo lecturas | Explorar una base de código antes de cambiarla |21| [`plan`](#analyze-before-you-edit-with-plan-mode) | Solo lectura | Explorar una base de código antes de cambiarla |

22| [`auto`](#eliminate-prompts-with-auto-mode) | Todo, con verificaciones de seguridad de fondo | Tareas largas, reducir fatiga de avisos |22| [`auto`](#eliminate-prompts-with-auto-mode) | Todo, con comprobaciones de seguridad en segundo plano | Tareas largas, reducir fatiga de avisos |

23| [`dontAsk`](#allow-only-pre-approved-tools-with-dontask-mode) | Solo herramientas preaprobadas | CI bloqueado y scripts |23| [`dontAsk`](#allow-only-pre-approved-tools-with-dontask-mode) | Solo herramientas preaprobadas | CI restringido y scripts |

24| [`bypassPermissions`](#skip-all-checks-with-bypasspermissions-mode) | Todo | Solo contenedores y máquinas virtuales aisladas |24| [`bypassPermissions`](#skip-all-checks-with-bypasspermissions-mode) | Todo | Solo contenedores aislados y máquinas virtuales |

25 25 

26El modo que revisa cada acción se llama **Manual** en la CLI, en `claude --help`, y en las extensiones de VS Code y JetBrains. Su valor de configuración es `default`, que es lo que utilizan los hooks e integraciones de SDK. La CLI acepta `manual` como un alias en cualquier lugar donde escribas el valor, por ejemplo `claude --permission-mode manual` o `"defaultMode": "manual"`. La etiqueta Manual y el alias `manual` requieren Claude Code v2.1.200 o posterior.26El modo que revisa cada acción se llama **Manual** en la CLI, en `claude --help`, en las extensiones de VS Code y JetBrains, y en la aplicación de escritorio. Su valor de configuración es `default`, que es lo que utilizan los hooks e integraciones de SDK. La CLI acepta `manual` como un alias en cualquier lugar donde escriba el valor, por ejemplo `claude --permission-mode manual` o `"defaultMode": "manual"`. La etiqueta Manual y el alias `manual` requieren Claude Code v2.1.200 o posterior. La etiqueta de la aplicación de escritorio no depende de su versión de CLI.

27 27 

28En todos los modos excepto `bypassPermissions`, las escrituras en [rutas protegidas](#protected-paths) nunca se aprueban automáticamente, protegiendo el estado del repositorio y la configuración propia de Claude contra corrupción accidental.28En todos los modos excepto `bypassPermissions`, las escrituras en [rutas protegidas](#protected-paths) nunca se aprueban automáticamente, protegiendo el estado del repositorio y la configuración de Claude contra corrupción accidental.

29 29 

30Los modos establecen la línea base. Superpón [reglas de permisos](/es/permissions#manage-permissions) encima para preaprobación o bloqueo de herramientas específicas. Las reglas de denegación y las reglas de solicitud explícita se aplican en todos los modos, incluido `bypassPermissions`. Las reglas de permiso no tienen efecto en ese modo porque todo lo demás ya está aprobado.30Los modos establecen la línea base. Superponga [reglas de permisos](/es/permissions#manage-permissions) para preaprobación o bloqueo de herramientas específicas. Las reglas de denegación y las reglas de solicitud explícita se aplican en todos los modos, incluido `bypassPermissions`. Las reglas de permitir no tienen efecto en ese modo porque todo lo demás ya está aprobado.

31 31 

32<h2 id="switch-permission-modes">32<h2 id="switch-permission-modes">

33 Cambiar modos de permisos33 Cambiar modos de permisos

34</h2>34</h2>

35 35 

36Puedes cambiar modos en medio de una sesión, al inicio o como predeterminado persistente. El modo se establece a través de estos controles, no pidiendo a Claude en el chat. Selecciona tu interfaz a continuación para ver cómo cambiarlo.36Puede cambiar modos durante una sesión, al iniciar o como configuración predeterminada persistente. El modo se establece a través de estos controles, no pidiendo a Claude en el chat. Seleccione su interfaz a continuación para ver cómo cambiarlo.

37 37 

38<Tabs>38<Tabs>

39 <Tab title="CLI">39 <Tab title="CLI">

40 **Durante una sesión**: presiona `Shift+Tab` para ciclar `default` → `acceptEdits` → `plan`. El modo actual aparece en la barra de estado. {/* min-version: 2.1.203 */}El modo manual, `default` en ese ciclo, muestra una insignia gris `⏸ manual mode on`. Antes de v2.1.203, la barra de estado no mostraba ninguna insignia en modo manual.40 **Durante una sesión**: presione `Shift+Tab` para ciclar `default` → `acceptEdits` → `plan`. El modo actual aparece en la barra de estado. {/* min-version: 2.1.203 */}El modo manual, `default` en ese ciclo, muestra una insignia gris `⏸ manual mode on`. Antes de v2.1.203, la barra de estado no mostraba ninguna insignia en modo Manual.

41 41 

42 No todos los modos están en el ciclo predeterminado:42 No todos los modos están en el ciclo predeterminado:

43 43 

44 * `auto`: aparece cuando tu cuenta cumple los [requisitos del modo auto](#eliminate-prompts-with-auto-mode); ciclar hacia él cambia modos sin un aviso de confirmación44 * `auto`: aparece cuando su cuenta cumple con los [requisitos del modo automático](#eliminate-prompts-with-auto-mode); cambiar a él cambia modos sin una solicitud de confirmación

45 * `bypassPermissions`: aparece después de que inicies con `--permission-mode bypassPermissions`, `--dangerously-skip-permissions`, o `--allow-dangerously-skip-permissions`; la variante `--allow-` añade el modo al ciclo sin activarlo45 * `bypassPermissions`: aparece después de que inicia con `--permission-mode bypassPermissions`, `--dangerously-skip-permissions` o `--allow-dangerously-skip-permissions`; la variante `--allow-` añade el modo al ciclo sin activarlo

46 * `dontAsk`: nunca aparece en el ciclo; establécelo con `--permission-mode dontAsk`46 * `dontAsk`: nunca aparece en el ciclo; establézcalo con `--permission-mode dontAsk`

47 47 

48 Los modos opcionales habilitados se insertan después de `plan`, con `bypassPermissions` primero y `auto` último. Si tienes ambos habilitados, ciclarás a través de `bypassPermissions` en el camino a `auto`.48 Los modos opcionales habilitados se insertan después de `plan`, con `bypassPermissions` primero y `auto` último. Si tiene ambos habilitados, ciclará a través de `bypassPermissions` en el camino a `auto`.

49 49 

50 **Al inicio**: pasa el modo como una bandera.50 **Al iniciar**: pase el modo como una bandera.

51 51 

52 ```bash theme={null}52 ```bash theme={null}

53 claude --permission-mode plan53 claude --permission-mode plan

54 ```54 ```

55 55 

56 **Como predeterminado**: establece `defaultMode` en [settings](/es/settings#settings-files).56 **Como predeterminado**: establezca `defaultMode` en [configuración](/es/settings#settings-files).

57 57 

58 ```json theme={null}58 ```json theme={null}

59 {59 {


67 </Tab>67 </Tab>

68 68 

69 <Tab title="VS Code">69 <Tab title="VS Code">

70 **Durante una sesión**: haz clic en el indicador de modo en la parte inferior del cuadro de solicitud.70 **Durante una sesión**: haga clic en el indicador de modo en la parte inferior del cuadro de solicitud.

71 71 

72 **Como predeterminado**: establece `claudeCode.initialPermissionMode` en la configuración de VS Code, o usa el panel de configuración de la extensión Claude Code.72 **Como predeterminado**: establezca `claudeCode.initialPermissionMode` en la configuración de VS Code, o use el panel de configuración de la extensión Claude Code.

73 73 

74 El indicador de modo muestra estas etiquetas, asignadas al modo que cada una aplica:74 El indicador de modo muestra estas etiquetas, asignadas al modo que cada una aplica:

75 75 

76 | Etiqueta de interfaz de usuario | Modo |76 | Etiqueta de interfaz | Modo |

77 | :------------------------------ | :------------------ |77 | :--------------------- | :------------------ |

78 | Manual | `default` |78 | Manual | `default` |

79 | Editar automáticamente | `acceptEdits` |79 | Editar automáticamente | `acceptEdits` |

80 | Plan | `plan` |80 | Plan | `plan` |


83 83 

84 Antes de v2.1.205, la extensión etiquetaba `plan` como Plan mode y `auto` como Auto mode.84 Antes de v2.1.205, la extensión etiquetaba `plan` como Plan mode y `auto` como Auto mode.

85 85 

86 El modo auto aparece en el indicador de modo cuando tu cuenta cumple todos los requisitos listados en la [sección de modo auto](#eliminate-prompts-with-auto-mode). La configuración `claudeCode.initialPermissionMode` no acepta `auto`. Para comenzar en modo auto por defecto, establece `defaultMode` en tu [configuración de usuario](/es/settings#settings-files) en su lugar. Claude Code ignora `defaultMode: "auto"` en la configuración del proyecto y local.86 El modo Auto aparece en el indicador de modo cuando su cuenta cumple con todos los requisitos enumerados en la [sección de modo automático](#eliminate-prompts-with-auto-mode). La configuración `claudeCode.initialPermissionMode` no acepta `auto`. Para iniciar en modo automático de forma predeterminada, establezca `defaultMode` en su [configuración de usuario](/es/settings#settings-files) en su lugar. Claude Code ignora `defaultMode: "auto"` en la configuración de proyecto y local.

87 87 

88 Omitir permisos requiere el interruptor **Permitir omitir permisos peligrosamente** en la configuración de la extensión antes de que aparezca en el indicador de modo.88 Omitir permisos requiere el toggle **Allow dangerously skip permissions** en la configuración de la extensión antes de que aparezca en el indicador de modo.

89 89 

90 Consulta la [guía de VS Code](/es/vs-code) para detalles específicos de la extensión.90 Consulte la [guía de VS Code](/es/vs-code) para obtener detalles específicos de la extensión.

91 </Tab>91 </Tab>

92 92 

93 <Tab title="JetBrains">93 <Tab title="JetBrains">

94 El plugin de JetBrains ejecuta Claude Code en la terminal del IDE, por lo que cambiar modos funciona igual que en la CLI: presiona `Shift+Tab` para ciclar, o pasa `--permission-mode` al lanzar.94 El plugin de JetBrains ejecuta Claude Code en la terminal del IDE, por lo que cambiar modos funciona igual que en la CLI: presione `Shift+Tab` para ciclar, o pase `--permission-mode` al iniciar.

95 </Tab>95 </Tab>

96 96 

97 <Tab title="Desktop">97 <Tab title="Desktop">

98 Usa el selector de modo junto al botón de envío. Auto y Omitir permisos aparecen solo después de que los habilites en la configuración de Desktop. Consulta la [guía de Desktop](/es/desktop#choose-a-permission-mode).98 **Durante una sesión**: use el selector de modo junto al botón de envío. No todos los modos aparecen en el selector:

99 

100 * **Auto**: aparece cuando su cuenta cumple con los [requisitos del modo automático](#eliminate-prompts-with-auto-mode)

101 * **Omitir permisos**: requiere el toggle **Allow bypass permissions mode** en la configuración de Desktop en planes Pro y Max; en planes Team y Enterprise, la política de la organización lo controla en su lugar

102 

103 Para obtener detalles específicos de desktop, consulte [Elegir un modo de permisos](/es/desktop#choose-a-permission-mode) en la guía de Desktop.

104 

105 **Como predeterminado**: establezca `defaultMode` en [configuración](/es/settings#settings-files). La aplicación de desktop lee los mismos archivos de configuración que la CLI y aplica el modo a nuevas sesiones locales.

106 

107 Un modo que elige en el selector de modo se recuerda por carpeta y tiene prioridad sobre `defaultMode` para esa carpeta. Plan es la excepción: seleccionarlo se aplica solo a la sesión actual.

108 

109 Este ejemplo establece el modo Plan como predeterminado para nuevas sesiones locales:

110 

111 ```json theme={null}

112 {

113 "permissions": {

114 "defaultMode": "plan"

115 }

116 }

117 ```

99 </Tab>118 </Tab>

100 119 

101 <Tab title="Web y móvil">120 <Tab title="Web and mobile">

102 Usa el menú desplegable de modo junto al cuadro de solicitud en [claude.ai/code](https://claude.ai/code) o en la aplicación móvil. Los avisos de permisos aparecen en claude.ai para aprobación. Qué modos aparecen depende de dónde se ejecute la sesión:121 Use el menú desplegable de modo junto al cuadro de solicitud en [claude.ai/code](https://claude.ai/code) o en la aplicación móvil. Los avisos de permisos aparecen en claude.ai para aprobación. Los modos que aparecen dependen de dónde se ejecute la sesión:

103 122 

104 * **Sesiones en la nube** en [Claude Code en la web](/es/claude-code-on-the-web): Aceptar ediciones, Plan y Auto. Aceptar ediciones corresponde al modo `default`: el entorno en la nube aprueba previamente las ediciones de archivos independientemente del modo, por lo que el menú desplegable muestra Aceptar ediciones en lugar de Manual. Las sesiones en la nube aún respetan `defaultMode: "acceptEdits"` de la configuración. El modo auto aparece solo cuando tu organización lo permite y el modelo seleccionado lo admite. Omitir permisos no está disponible.123 * **Sesiones en la nube** en [Claude Code en la web](/es/claude-code-on-the-web): Aceptar ediciones, Plan y Auto. Aceptar ediciones corresponde al modo `default`: el entorno en la nube aprueba previamente ediciones de archivos independientemente del modo, por lo que el menú desplegable muestra Aceptar ediciones en lugar de Manual. Las sesiones en la nube aún respetan `defaultMode: "acceptEdits"` de la configuración. El modo Auto aparece solo cuando su organización lo permite y el modelo seleccionado lo admite. Omitir permisos no está disponible.

105 * **Sesiones de [Control remoto](/es/remote-control)** en tu máquina local: Manual, Aceptar ediciones y Plan. No puedes seleccionar Auto u Omitir permisos desde la aplicación. {/* min-version: 2.1.202 */}El menú desplegable muestra el modo en el que se encuentra la sesión local, incluido un modo establecido desde la terminal, y se actualiza cuando el modo cambia en la aplicación o en la terminal. La única excepción es Omitir permisos: la sesión nunca reporta ese modo a claude.ai, por lo que cambiar a él desde la terminal no cambia lo que muestra el menú desplegable. Antes de v2.1.202, las sesiones conectadas con `/remote-control` o `claude --remote-control` no reportaban su modo en absoluto, por lo que claude.ai y la aplicación móvil podrían mostrar un modo en el que la sesión no estaba. La discrepancia afectó solo la etiqueta: Claude Code generó avisos de permisos a partir del modo real de la sesión, y aún aparecieron en la aplicación para aprobación.124 * **Sesiones de [Control Remoto](/es/remote-control)** en su máquina local: Manual, Aceptar ediciones y Plan. No puede seleccionar Auto u Omitir permisos desde la aplicación. {/* min-version: 2.1.202 */}El menú desplegable muestra el modo en el que se encuentra la sesión local, incluido un modo establecido desde la terminal, y se actualiza cuando el modo cambia en la aplicación o en la terminal. La única excepción es Omitir permisos: la sesión nunca reporta ese modo a claude.ai, por lo que cambiar a él desde la terminal no cambia lo que muestra el menú desplegable. Antes de v2.1.202, las sesiones conectadas con `/remote-control` o `claude --remote-control` no reportaban su modo en absoluto, por lo que claude.ai y la aplicación móvil podrían mostrar un modo en el que la sesión no estaba. La discrepancia afectó solo la etiqueta: Claude Code generó avisos de permisos desde el modo real de la sesión, y aún aparecieron en la aplicación para aprobación.

106 125 

107 Para Control remoto, también puedes establecer el modo de inicio al lanzar el host:126 Para Control Remoto, también puede establecer el modo de inicio al iniciar el host:

108 127 

109 ```bash theme={null}128 ```bash theme={null}

110 claude remote-control --permission-mode acceptEdits129 claude remote-control --permission-mode acceptEdits


113</Tabs>132</Tabs>

114 133 

115<h2 id="auto-approve-file-edits-with-acceptedits-mode">134<h2 id="auto-approve-file-edits-with-acceptedits-mode">

116 Auto-aprobar ediciones de archivos con modo acceptEdits135 Aprobar automáticamente ediciones de archivos con el modo acceptEdits

117</h2>136</h2>

118 137 

119El modo `acceptEdits` permite que Claude cree y edite archivos en su directorio de trabajo sin solicitar confirmación. La barra de estado muestra `⏵⏵ accept edits on` mientras este modo está activo.138El modo `acceptEdits` permite que Claude cree y edite archivos en su directorio de trabajo sin solicitar confirmación. La barra de estado muestra `⏵⏵ accept edits on` mientras este modo está activo.

120 139 

121Además de ediciones de archivos, el modo `acceptEdits` auto-aprueba comandos Bash comunes del sistema de archivos: `mkdir`, `touch`, `rm`, `rmdir`, `mv`, `cp`, y `sed`. Estos comandos también se auto-aprueban cuando se prefijan con variables de entorno seguras como `LANG=C` o `NO_COLOR=1`, o envoltorios de procesos como `timeout`, `nice`, o `nohup`. Como las ediciones de archivos, la auto-aprobación se aplica solo a rutas dentro de su directorio de trabajo o `additionalDirectories`. Las rutas fuera de ese alcance, escrituras en [rutas protegidas](#protected-paths), y todos los demás comandos Bash aún solicitan confirmación.140Además de las ediciones de archivos, el modo `acceptEdits` aprueba automáticamente comandos Bash comunes del sistema de archivos: `mkdir`, `touch`, `rm`, `rmdir`, `mv`, `cp` y `sed`. Estos comandos también se aprueban automáticamente cuando van precedidos de variables de entorno seguras como `LANG=C` o `NO_COLOR=1`, o envoltorios de procesos como `timeout`, `nice` o `nohup`. Al igual que las ediciones de archivos, la aprobación automática se aplica solo a las rutas dentro de su directorio de trabajo o `additionalDirectories`. Las rutas fuera de ese alcance, las escrituras en [rutas protegidas](#protected-paths) y todos los demás comandos Bash aún solicitan confirmación.

122 141 

123Cuando la [herramienta PowerShell](/es/tools-reference#powershell-tool) está habilitada, el modo `acceptEdits` también auto-aprueba `Set-Content`, `Add-Content`, `Clear-Content`, y `Remove-Item` en rutas dentro del alcance, junto con sus alias comunes. Se aplican las mismas reglas de alcance y rutas protegidas.142Cuando la [herramienta PowerShell](/es/tools-reference#powershell-tool) está habilitada, el modo `acceptEdits` también aprueba automáticamente `Set-Content`, `Add-Content`, `Clear-Content` y `Remove-Item` en rutas dentro del alcance, junto con sus alias comunes. Se aplican las mismas reglas de alcance y rutas protegidas.

124 143 

125Utilice `acceptEdits` cuando desee revisar cambios en su editor o a través de `git diff` después del hecho en lugar de aprobar cada edición en línea.144Utilice `acceptEdits` cuando desee revisar los cambios en su editor o mediante `git diff` después del hecho en lugar de aprobar cada edición en línea.

126 145 

127Presione `Shift+Tab` una vez desde el modo Manual para entrar en él, o comience directamente con él:146Presione `Shift+Tab` una vez desde el modo Manual para entrar en él, o comience directamente con él:

128 147 


131```150```

132 151 

133<h2 id="analyze-before-you-edit-with-plan-mode">152<h2 id="analyze-before-you-edit-with-plan-mode">

134 Analizar antes de editar con modo de planificación153 Analice antes de editar con el modo plan

135</h2>154</h2>

136 155 

137El modo de planificación le dice a Claude que investigue y proponga cambios sin hacerlos. Claude lee archivos, ejecuta comandos de shell para explorar, y escribe un plan, pero no edita su fuente. Los avisos de permisos se aplican como lo hacen en el modo Manual a menos que [modo automático](/es/auto-mode-config) esté disponible y `useAutoModeDuringPlan` esté activado, que es el predeterminado. Con el modo automático activo, el clasificador aprueba comandos de solo lectura como búsquedas y lecturas de archivos sin solicitar confirmación. Las ediciones permanecen bloqueadas de cualquier forma hasta que apruebe el plan.156El modo plan le indica a Claude que investigue y proponga cambios sin realizarlos. Claude lee archivos, ejecuta comandos de shell para explorar y escribe un plan, pero no edita su fuente. Los avisos de permiso se aplican como lo hacen en el modo Manual a menos que [el modo automático](/es/auto-mode-config) esté disponible y `useAutoModeDuringPlan` esté activado, que es el valor predeterminado. Con el modo automático activo, el clasificador aprueba comandos de solo lectura como búsquedas y lecturas de archivos sin solicitar confirmación. Las ediciones permanecen bloqueadas de cualquier forma hasta que usted apruebe el plan.

138 157 

139Entra en modo de planificación presionando `Shift+Tab` o prefijando una solicitud única con `/plan`. También puede comenzar en modo de planificación desde la CLI:158Ingrese al modo plan presionando `Shift+Tab` o prefijando un único aviso con `/plan`. También puede comenzar en modo plan desde la CLI:

140 159 

141```bash theme={null}160```bash theme={null}

142claude --permission-mode plan161claude --permission-mode plan

143```162```

144 163 

145Presione `Shift+Tab` de nuevo para salir del modo de planificación sin aprobar un plan.164Presione `Shift+Tab` nuevamente para salir del modo plan sin aprobar un plan.

146 165 

147<h3 id="review-and-approve-a-plan">166<h3 id="review-and-approve-a-plan">

148 Revisar y aprobar un plan167 Revise y apruebe un plan

149</h3>168</h3>

150 169 

151Cuando el plan está listo, Claude lo presenta y pregunta cómo proceder. Desde ese aviso puede:170Cuando el plan esté listo, Claude lo presenta y pregunta cómo proceder. Desde ese aviso puede:

152 171 

153* Aprobar e iniciar en modo automático172* Aprobar e iniciar en modo automático

154* Aprobar y aceptar ediciones173* Aprobar y aceptar ediciones

155* Aprobar y revisar cada edición manualmente174* Aprobar y revisar cada edición manualmente

156* Continuar planificando con retroalimentación175* Continuar planificando con comentarios

157* Refinar con [Ultraplan](/es/ultraplan) para revisión basada en navegador176* Refinar con [Ultraplan](/es/ultraplan) para revisión basada en navegador

158 177 

159Aprobando un plan se sale del modo de planificación y se cambia la sesión al modo de permisos que describe cada opción de aprobación, por lo que Claude comienza a editar. Para planificar de nuevo, vuelva al modo de planificación con `Shift+Tab`, o prefije su siguiente solicitud con `/plan`.178Aprobar un plan sale del modo plan y cambia la sesión al modo de permiso que describe cada opción de aprobación, por lo que Claude comienza a editar. Para planificar nuevamente, vuelva al modo plan con `Shift+Tab`, o prefije su próximo aviso con `/plan`.

160 179 

161Presione `Ctrl+G` para abrir el plan propuesto en su editor de texto predeterminado y editarlo directamente antes de que Claude continúe. Cuando [`showClearContextOnPlanAccept`](/es/settings#available-settings) está habilitado, cada opción de aprobación también ofrece borrar el contexto de planificación primero.180Presione `Ctrl+G` para abrir el plan propuesto en su editor de texto predeterminado y edítelo directamente antes de que Claude continúe. Cuando [`showClearContextOnPlanAccept`](/es/settings#available-settings) está habilitado, cada opción de aprobación también ofrece borrar el contexto de planificación primero.

162 181 

163Aceptar un plan también nombra la sesión a partir del contenido del plan automáticamente, a menos que ya haya establecido un nombre con `--name` o `/rename`.182Aceptar un plan también nombra la sesión automáticamente a partir del contenido del plan, a menos que ya haya establecido un nombre con `--name` o `/rename`.

164 183 

165<h3 id="set-plan-mode-as-the-default">184<h3 id="set-plan-mode-as-the-default">

166 Establecer el modo de planificación como predeterminado185 Establezca el modo plan como predeterminado

167</h3>186</h3>

168 187 

169Para hacer que el modo de planificación sea el predeterminado para un proyecto, establezca `defaultMode` en `.claude/settings.json`:188Para hacer que el modo plan sea el predeterminado para un proyecto, establezca `defaultMode` en `.claude/settings.json`:

170 189 

171```json theme={null}190```json theme={null}

172{191{


177```196```

178 197 

179<h2 id="eliminate-prompts-with-auto-mode">198<h2 id="eliminate-prompts-with-auto-mode">

180 Eliminar avisos de permisos con modo automático199 Eliminar solicitudes de permiso con modo automático

181</h2>200</h2>

182 201 

183El modo automático permite que Claude ejecute sin avisos de permisos rutinarios. Un modelo clasificador separado revisa las acciones antes de que se ejecuten, bloqueando cualquier cosa que escale más allá de su solicitud, apunte a infraestructura no reconocida, o parezca impulsada por contenido hostil que Claude leyó. Las [reglas de solicitud](/es/permissions#manage-permissions) explícitas aún fuerzan un aviso.202El modo automático permite que Claude se ejecute sin solicitudes de permiso rutinarias. Un modelo clasificador separado revisa las acciones antes de que se ejecuten, bloqueando cualquier cosa que escale más allá de su solicitud, se dirija a infraestructura no reconocida o parezca impulsada por contenido hostil que Claude haya leído. Las [reglas de solicitud](/es/permissions#manage-permissions) explícitas aún fuerzan una solicitud.

184 203 

185El modo automático también instruye a Claude para continuar trabajando sin detenerse para hacer preguntas aclaratorias, aunque Claude aún pregunta cuando su solicitud o una skill depende explícitamente de ello. Para obtener un comportamiento autónomo más fuerte mientras mantiene avisos de permisos, establezca el [estilo de salida proactivo](/es/output-styles) en su lugar.204El modo automático también anima a Claude a seguir trabajando sin detenerse para hacer preguntas aclaratorias, aunque Claude aún pregunta cuando su solicitud o una skill depende explícitamente de ello. Para un comportamiento más autónomo mientras se mantienen las solicitudes de permiso, establezca el [estilo de salida proactivo](/es/output-styles) en su lugar.

186 205 

187<Warning>206<Warning>

188 El modo automático reduce avisos pero no garantiza seguridad. Úselo para tareas donde confía en la dirección general, no como reemplazo para revisión en operaciones sensibles.207 El modo automático reduce las solicitudes de permiso pero no garantiza la seguridad. Úselo para tareas donde confía en la dirección general, no como reemplazo de revisión en operaciones sensibles.

189</Warning>208</Warning>

190 209 

191El modo automático está disponible solo cuando su cuenta cumple todos estos requisitos:210El modo automático está disponible solo cuando su cuenta cumple con todos estos requisitos:

192 211 

193* **Plan**: Todos los planes.212* **Plan**: Todos los planes.

194* **Propietario**: en Team y Enterprise, un Propietario debe habilitarlo en [configuración de administrador de Claude Code](https://claude.ai/admin-settings/claude-code) antes de que los usuarios puedan activarlo. Los administradores también pueden bloquearlo estableciendo `permissions.disableAutoMode` a `"disable"` en [configuración administrada](/es/permissions#managed-settings).213* **Propietario**: en Team y Enterprise, un Propietario debe habilitarlo en [configuración de administrador de Claude Code](https://claude.ai/admin-settings/claude-code) antes de que los usuarios puedan activarlo. Los administradores también pueden desactivar el modo automático estableciendo `permissions.disableAutoMode` en `"disable"` en [configuración administrada](/es/permissions#managed-settings). Para la pestaña Code de la aplicación de escritorio, `disableAutoMode` es el control a nivel de organización, y el toggle de configuración de administrador no se aplica.

195* **Modelo**: en la API de Anthropic, Claude Opus 4.6 o posterior, o Sonnet 4.6 o posterior. En Amazon Bedrock, Google Cloud's Agent Platform, Microsoft Foundry, y sesiones de [puerta de enlace de aplicaciones Claude](/es/claude-apps-gateway) con sesión iniciada, solo Claude Sonnet 5, Opus 4.7 y Opus 4.8. Los modelos más antiguos, incluyendo Sonnet 4.5, Opus 4.5, Haiku, y modelos claude-3, no son compatibles en ningún proveedor.214* **Modelo**: en la API de Anthropic, Claude Opus 4.6 o posterior, o Sonnet 4.6 o posterior. En Amazon Bedrock, Agent Platform de Google Cloud, Microsoft Foundry y sesiones de [puerta de enlace de aplicaciones Claude](/es/claude-apps-gateway) con sesión iniciada, solo Claude Sonnet 5, Opus 4.7 y Opus 4.8. Los modelos más antiguos, incluidos Sonnet 4.5, Opus 4.5, Haiku y modelos claude-3, no son compatibles en ningún proveedor.

196* **Proveedor**: disponible por defecto en la API de Anthropic. En Amazon Bedrock, Google Cloud's Agent Platform, Microsoft Foundry, y sesiones de puerta de enlace de aplicaciones Claude con sesión iniciada, el modo automático está desactivado hasta que [establezca `CLAUDE_CODE_ENABLE_AUTO_MODE`](#enable-auto-mode-on-bedrock-agent-platform-or-foundry).215* **Proveedor**: disponible por defecto en la API de Anthropic, Amazon Bedrock, Agent Platform de Google Cloud, Microsoft Foundry y sesiones de puerta de enlace de aplicaciones Claude con sesión iniciada. {/* min-version: 2.1.207 */}En v2.1.158 a v2.1.206, el modo automático estaba desactivado en todos estos proveedores excepto la API de Anthropic hasta que estableciera `CLAUDE_CODE_ENABLE_AUTO_MODE=1`; v2.1.207 eliminó el requisito.

197 216 

198Si Claude Code reporta el modo automático como no disponible, uno de estos requisitos no se cumple; esto no es una interrupción transitoria. Un mensaje separado que nombra un modelo y dice que el modo automático "no puede determinar la seguridad" de una acción es una interrupción transitoria del clasificador; consulte la [referencia de errores](/es/errors#auto-mode-cannot-determine-the-safety-of-an-action).217Si Claude Code informa que el modo automático no está disponible, uno de estos requisitos no se cumple; esto no es una interrupción transitoria. Un mensaje separado que nombre un modelo y diga que el modo automático "no puede determinar la seguridad" de una acción es una interrupción transitoria del clasificador; consulte la [referencia de errores](/es/errors#auto-mode-cannot-determine-the-safety-of-an-action).

199 218 

200Si establece `defaultMode: "auto"` en [configuración](/es/settings#available-settings) y la sesión comienza en modo `default` sin error, la configuración probablemente esté en `.claude/settings.json` o `.claude/settings.local.json`. Claude Code v2.1.142 y posterior ignoran `auto` de esos archivos para que un repositorio no pueda otorgarse a sí mismo modo automático. Muévalo a `~/.claude/settings.json`.219Si establece `defaultMode: "auto"` en [configuración](/es/settings#available-settings) y la sesión comienza en modo `default` sin error, la configuración probablemente esté en `.claude/settings.json` o `.claude/settings.local.json`. Claude Code v2.1.142 y posterior ignoran `auto` de esos archivos para que un repositorio no pueda otorgarse a sí mismo modo automático. Muévalo a `~/.claude/settings.json`.

201 220 

202<h3 id="enable-auto-mode-on-bedrock-agent-platform-or-foundry">221<h3 id="enable-auto-mode-on-bedrock-agent-platform-or-foundry">

203 Habilitar modo automático en Bedrock, Agent Platform, o Foundry222 Modo automático en Bedrock, Agent Platform o Foundry

204</h3>223</h3>

205 224 

206En [Amazon Bedrock](/es/amazon-bedrock), [Google Cloud's Agent Platform](/es/google-vertex-ai), [Microsoft Foundry](/es/microsoft-foundry), y sesiones de [puerta de enlace de aplicaciones Claude](/es/claude-apps-gateway) con sesión iniciada, el modo automático no aparece en el ciclo `Shift+Tab` hasta que `CLAUDE_CODE_ENABLE_AUTO_MODE` se establezca en `1`. La variable funciona en Claude Code v2.1.158 y posterior. Solo Claude Sonnet 5, Opus 4.7 y Opus 4.8 son compatibles en estos proveedores.225En [Amazon Bedrock](/es/amazon-bedrock), [Agent Platform de Google Cloud](/es/google-vertex-ai), [Microsoft Foundry](/es/microsoft-foundry) y sesiones de [puerta de enlace de aplicaciones Claude](/es/claude-apps-gateway) con sesión iniciada, el modo automático aparece en el ciclo `Shift+Tab` por defecto. Aparecer en el ciclo no cambia el modo en que comienza una sesión: las sesiones aún comienzan en su [`defaultMode`](/es/settings#available-settings), que es Manual a menos que lo cambie. Solo Claude Sonnet 5, Opus 4.7 y Opus 4.8 son compatibles en estos proveedores.

207 

208Para habilitarlo para un desarrollador, añada la variable al bloque `env` en `~/.claude/settings.json`:

209 

210```json theme={null}

211{

212 "env": {

213 "CLAUDE_CODE_ENABLE_AUTO_MODE": "1"

214 }

215}

216```

217 

218Para habilitarlo para su organización, añada el mismo bloque `env` a [configuración administrada](/es/settings#settings-files).

219 226 

220Una vez que la variable se establece, el modo automático aparece en el ciclo `Shift+Tab` para cada sesión. Para hacerlo el modo de inicio predeterminado, también establezca `"permissions": {"defaultMode": "auto"}` en configuración de usuario o administrada. En estos proveedores, Claude Code ignora `defaultMode: "auto"` a menos que `CLAUDE_CODE_ENABLE_AUTO_MODE` también se establezca.227Para hacer que el modo automático sea el modo de inicio predeterminado, establezca `"permissions": {"defaultMode": "auto"}` en la configuración de usuario o administrada.

221 228 

222Para evitar que los desarrolladores habiliten el modo automático, establezca `disableAutoMode` a `"disable"` en configuración administrada. Esto anula la variable de habilitación.229Para evitar que los desarrolladores usen el modo automático, establezca `disableAutoMode` en `"disable"` en [configuración administrada](/es/permissions#managed-settings). Esto elimina `auto` del ciclo `Shift+Tab` y rechaza `--permission-mode auto` al inicio.

223 230 

224Si se conecta a través de una [puerta de enlace LLM](/es/llm-gateway) configurada con `ANTHROPIC_BASE_URL`, el modo automático puede ya ser alcanzable sin la variable de habilitación, porque la puerta de enlace enruta solicitudes a través de la API de Anthropic. Esto no se aplica a una sesión de [puerta de enlace de aplicaciones Claude](/es/claude-apps-gateway) con sesión iniciada, que es su propia clase de proveedor y requiere la variable de habilitación. La configuración `disableAutoMode` se aplica de la misma manera en cualquiera de las dos configuraciones.231En v2.1.158 a v2.1.206, el modo automático estaba desactivado en estos proveedores hasta que estableciera `CLAUDE_CODE_ENABLE_AUTO_MODE=1`, y Claude Code ignoraba `defaultMode: "auto"` en estos proveedores a menos que la variable también estuviera establecida. La variable aún se acepta por compatibilidad y no tiene efecto desde v2.1.207 en adelante.

225 232 

226<h3 id="what-the-classifier-blocks-by-default">233<h3 id="what-the-classifier-blocks-by-default">

227 Qué bloquea el clasificador por defecto234 Qué bloquea el clasificador por defecto

228</h3>235</h3>

229 236 

230El clasificador confía en su directorio de trabajo y en los remotos que fueron configurados para él cuando la sesión comenzó. {/* min-version: 2.1.200 */}Un remoto añadido o reapuntado durante la sesión con `git remote add` o `git remote set-url` no es confiable, y todo lo demás se trata como externo hasta que [configure infraestructura confiable](/es/auto-mode-config). Antes de v2.1.200, los remotos añadidos a mitad de sesión también eran confiables.237El clasificador confía en su directorio de trabajo y en los remotos que se configuraron para él cuando comenzó la sesión. {/* min-version: 2.1.200 */}Un remoto agregado o reapuntado durante la sesión con `git remote add` o `git remote set-url` no es de confianza, y todo lo demás se trata como externo hasta que [configure infraestructura de confianza](/es/auto-mode-config). Antes de v2.1.200, los remotos agregados a mitad de sesión también eran de confianza.

231 238 

232**Bloqueado por defecto**:239**Bloqueado por defecto**:

233 240 

234* Descargar y ejecutar código, como `curl | bash`241* Descargar y ejecutar código, como `curl | bash`

235* Enviar datos sensibles a puntos finales externos242* Enviar datos sensibles a puntos finales externos

236* Despliegues y migraciones de producción243* Implementaciones y migraciones de producción

237* Eliminación masiva en almacenamiento en la nube244* Eliminación masiva en almacenamiento en la nube

238* Otorgar permisos de IAM o repositorio245* Otorgar permisos de IAM o repositorio

239* Modificar infraestructura compartida246* Modificar infraestructura compartida

240* Destruir irreversiblemente archivos que existían antes de la sesión247* Destruir irreversiblemente archivos que existían antes de la sesión

241* Push forzado248* Force push

242* {/* min-version: 2.1.203 */}Empujar al rama predeterminada del repositorio cuando el push lleva contenido sensible como secretos o datos personales o confiados, lleva cambios ocultos o mal descritos en relación con lo que pidió, lleva contenido portado o leído por primera vez desde fuera del repositorio, o evita una solicitud de extracción, revisión, o verificación que pidió. Un push simple a la rama predeterminada no se bloquea por sí solo, y limpiar un push marcado requiere nombrar el contenido marcado o la revisión omitida, no solo el push. El clasificador es una capa: las [reglas `permissions.deny`](/es/permissions#manage-permissions) se aplican en cada modo y pueden bloquear pushes a la rama predeterminada completamente, y la protección de rama del remoto aún se aplica. Antes de v2.1.203, cualquier push directo a la rama predeterminada se bloqueaba249* {/* min-version: 2.1.203 */}Hacer push a la rama predeterminada del repositorio cuando el push contiene contenido sensible como secretos o datos personales o confiados, contiene cambios ocultos o mal descritos en relación con lo que pidió, contiene contenido portado o leído por primera vez desde fuera del repositorio, o evita una solicitud de extracción, revisión o verificación que pidió. Un push simple a la rama predeterminada no se bloquea por sí solo, y levantar el bloqueo de un push marcado requiere nombrar el contenido marcado o la revisión omitida, no solo el push. El clasificador es una capa: las [reglas `permissions.deny`](/es/permissions#manage-permissions) se aplican en todos los modos y pueden bloquear pushes a la rama predeterminada completamente, y la protección de rama del remoto aún se aplica. Antes de v2.1.203, cualquier push directo a la rama predeterminada se bloqueaba

243* {/* min-version: 2.1.182 */}`git reset --hard`, `git checkout -- .`, `git restore .`, `git clean -fd`, `git stash drop`, o `git stash clear`, que el clasificador presume que descartaría cambios sin confirmar250* {/* min-version: 2.1.182 */}`git reset --hard`, `git checkout -- .`, `git restore .`, `git clean -fd`, `git stash drop` o `git stash clear`, que el clasificador presume descartaría cambios sin confirmar

244* `git commit --amend` cuando la confirmación en HEAD no fue creada en esta sesión251* `git commit --amend` cuando el commit en HEAD no fue creado en esta sesión

245* {/* min-version: 2.1.198 */}Desde v2.1.198, `git commit --amend` cuando la confirmación en HEAD ya ha sido empujada. Un reword solo de mensaje no se bloquea: `--amend -m` sin nada recién preparado, en una confirmación que Claude creó durante esta sesión252* {/* min-version: 2.1.198 */}Desde v2.1.198, `git commit --amend` cuando el commit en HEAD ya ha sido enviado. Un reword solo de mensaje no se bloquea: `--amend -m` sin nada recién preparado, en un commit que Claude creó durante esta sesión

246* `terraform destroy`, `pulumi destroy`, `cdk destroy`, o `terragrunt destroy`, y aplicar un plan que destruye recursos253* `terraform destroy`, `pulumi destroy`, `cdk destroy` o `terragrunt destroy`, y aplicar un plan que destruya recursos

247 254 

248Claude Code v2.1.195 y posterior bloquean más categorías por defecto. Varias dependen de entradas de [entorno](/es/auto-mode-config#define-trusted-infrastructure), como objetivos remotos sensibles y alcances de IaC protegidos, que puede reducir a nombres concretos.255Claude Code v2.1.195 y posterior bloquean más categorías por defecto. Varias dependen de entradas de [entorno](/es/auto-mode-config#define-trusted-infrastructure), como objetivos remotos sensibles y alcances de IaC protegidos, que puede reducir a nombres concretos.

249 256 

250* Escribir en un gestor de secretos, o cambiar registros DNS o certificados TLS257* Escribir en un gestor de secretos, o cambiar registros DNS o certificados TLS

251* Fusionar una solicitud de extracción que ningún humano ha aprobado, aprobar la propia solicitud de extracción de Claude, o deshabilitar verificaciones de CI258* Fusionar una solicitud de extracción que ningún humano ha aprobado, aprobar la propia solicitud de extracción de Claude o deshabilitar verificaciones de CI

252* Publicar un comentario que es en sí mismo un comando para automatización, como `atlantis apply` o `/deploy` o `/merge` de un bot259* Publicar un comentario que es en sí mismo un comando para automatización, como `atlantis apply` o `/deploy` o `/merge` de un bot

253* Alternar, ramificar, o eliminar una bandera de característica de producción260* Alternar, aumentar gradualmente o eliminar una bandera de característica de producción

254* Aplicar cambios de infraestructura a un alcance de IaC protegido, o drenar y eliminar nodos de clúster261* Aplicar cambios de infraestructura a un alcance de IaC protegido, o drenar y eliminar nodos de clúster

255* Escrituras en un clúster de cómputo compartido que van más allá del recurso que nombró, como un selector de etiqueta o `--all` que captura trabajos de otros usuarios262* Escrituras en un clúster de cómputo compartido que van más allá del recurso que nombró, como un selector de etiqueta o `--all` que captura trabajos de otros usuarios

256* Crear recursos de Kubernetes que se ejecutan en cada nodo o interceptan tráfico de clúster, como DaemonSets y webhooks de admisión263* Crear recursos de Kubernetes que se ejecutan en cada nodo o interceptan tráfico de clúster, como DaemonSets y webhooks de admisión

257* Shells interactivos o port-forwards en un objetivo remoto sensible264* Shells interactivos o port-forwards en un objetivo remoto sensible

258* Abrir un túnel o shell inverso que hace que un servicio local sea alcanzable desde internet pública265* Abrir un túnel o shell inverso que hace que un servicio local sea accesible desde la internet pública

259* Imprimir una credencial o token en vivo en la transcripción o un archivo266* Imprimir una credencial o token en vivo en la transcripción o un archivo

260* Acceder a una ubicación listada como ubicación de datos sensibles en su [entorno](/es/auto-mode-config#define-trusted-infrastructure), o copiar datos fuera de una. {/* min-version: 2.1.198 */}A partir de v2.1.198 esto también bloquea enviar datos de una a una audiencia que la entrada excluye267* Acceder a una ubicación listada como ubicación de datos sensibles en su [entorno](/es/auto-mode-config#define-trusted-infrastructure), o copiar datos de una. {/* min-version: 2.1.198 */}A partir de v2.1.198, esto también bloquea enviar datos de uno a una audiencia que la entrada excluye

261* Enrutar una instalación de paquete alrededor de su registro de paquetes interno a un registro público. {/* min-version: 2.1.198 */}A partir de v2.1.198, esto también se aplica cuando le ha dicho a Claude que existe un registro interno o espejo en la conversación, no solo cuando uno está listado en su entorno268* Enrutar una instalación de paquete alrededor de su registro de paquetes interno a un registro público. {/* min-version: 2.1.198 */}A partir de v2.1.198, esto también se aplica cuando le ha dicho a Claude que existe un registro interno o espejo en la conversación, no solo cuando uno está listado en su entorno

262* Ejecutar un comando con una bandera que desactiva una protección de seguridad, como `--insecure`269* Ejecutar un comando con una bandera que desactiva una protección de seguridad, como `--insecure`

263* Lanzar un bucle de agente autónomo que se ejecuta sin aprobación humana o sandbox, como uno iniciado con `--dangerously-skip-permissions` o `--no-sandbox`. {/* min-version: 2.1.198 */}A partir de v2.1.198 esto también cubre ejecutar un agente de terceros o harness de evaluación con aislamiento y aprobación por acción deshabilitados, como un ejecutor iniciado con `--yes-always`270* Lanzar un bucle de agente autónomo que se ejecuta sin aprobación humana o sandbox, como uno iniciado con `--dangerously-skip-permissions` o `--no-sandbox`. {/* min-version: 2.1.198 */}A partir de v2.1.198, esto también cubre ejecutar un agente de terceros o harness de evaluación con aislamiento y aprobación por acción deshabilitados, como un runner iniciado con `--yes-always`

264* Acciones del navegador de [Claude en Chrome](/es/chrome) que podrían enviar contenido de página, cookies, o credenciales fuera de origen271* Acciones del navegador de [Claude en Chrome](/es/chrome) que podrían enviar contenido de página, cookies o credenciales fuera del origen

265 272 

266Claude Code v2.1.198 y posterior también bloquean estos por defecto:273Claude Code v2.1.198 y posterior también bloquean estos por defecto:

267 274 

268* Eliminar archivos en `/tmp`, `$TMPDIR`, u otro directorio compartido de scratch o caché por comodín, glob, o filtro de edad en lugar de por una ruta nombrada específica275* Eliminar archivos en `/tmp`, `$TMPDIR` u otro directorio compartido de scratch o caché por comodín, glob o filtro de edad en lugar de por una ruta nombrada específica

269* Incluir detalles sensibles en contenido enviado, cargado, publicado, o escrito a otras personas o sistemas compartidos, cuando su propio mensaje no autorizó esos detalles para ese destinatario. {/* min-version: 2.1.200 */}Los cuerpos de PR e issue, mensajes de confirmación, y comentarios cuentan como este tipo de contenido saliente cuando el repositorio está fuera del límite de confianza o es público, incluyendo los propios repositorios públicos de su organización; las rutas de archivo internas, nombres en código, datos de respuesta de API en vivo como correos electrónicos o identificadores de cuenta, e identificadores de infraestructura cuentan como detalles sensibles. El alcance de PR, issue, y mensaje de confirmación requiere Claude Code v2.1.200 o posterior. {/* min-version: 2.1.203 */}Los datos personales en vivo de una respuesta de API en un cuerpo de PR o issue, como una dirección de correo electrónico, un identificador de cuenta u organización, o una métrica de uso, requieren que nombre esos detalles y el destinatario independientemente de la visibilidad o límite de confianza del repositorio. Esa verificación requiere Claude Code v2.1.203 o posterior276* Incluir detalles sensibles en contenido enviado, cargado, publicado o escrito a otras personas o sistemas compartidos, cuando su propio mensaje no autorizó esos detalles para ese destinatario. {/* min-version: 2.1.200 */}Los cuerpos de PR e issue, mensajes de commit y comentarios cuentan como este tipo de contenido saliente cuando el repositorio está fuera del límite de confianza o es público, incluidos los repositorios públicos de su propia organización; las rutas de archivo internas, nombres en código, datos de respuesta de API en vivo como correos electrónicos o identificadores de cuenta e identificadores de infraestructura cuentan como detalles sensibles. El alcance de PR, issue y mensaje de commit requiere Claude Code v2.1.200 o posterior. {/* min-version: 2.1.203 */}Los datos personales en vivo de una respuesta de API en un cuerpo de PR o issue, como una dirección de correo electrónico, un identificador de cuenta u organización o una métrica de uso, requieren que nombre esos detalles y el destinatario independientemente de la visibilidad del repositorio o límite de confianza. Esa verificación requiere Claude Code v2.1.203 o posterior

270* Enviar pulsaciones de teclas al propio panel tmux de Claude Code para conducir su propia interfaz, que el clasificador trata como Claude cambiando sus propios permisos u supervisión277* Enviar pulsaciones de teclas a su propio panel tmux de Claude Code para conducir su propia interfaz, que el clasificador trata como Claude cambiando sus propios permisos u supervisión

271 278 

272Claude Code v2.1.200 y posterior también bloquean estos por defecto:279Claude Code v2.1.200 y posterior también bloquean estos por defecto:

273 280 

274* Comentar, eliminar, o pasar forzadamente una prueba o aserción que protege comportamiento de seguridad, como autenticación, control de acceso, validación de entrada, o sandboxing281* Comentar, eliminar o pasar forzadamente una prueba o aserción que proteja el comportamiento de seguridad, como autenticación, control de acceso, validación de entrada o sandboxing

275* Eliminar o desmantelar un recurso con estado que Claude no creó en la sesión, cuando no se aplica ninguna regla de eliminación más específica y no nombró ese recurso282* Eliminar o desmantelar un recurso con estado que Claude no creó en la sesión, cuando no se aplica ninguna regla de eliminación más específica y no nombró ese recurso

276* Reapuntar una URL base de API, punto final de proxy, receptor de webhook, o espejo de registro a un host de terceros que no se ajusta a la tarea, incluyendo en archivos de ejemplo como `.env.example`283* Reapuntar una URL base de API, punto final de proxy, receptor de webhook o espejo de registro en un host de terceros que no se ajusta a la tarea, incluidos en archivos de ejemplo como `.env.example`

277* Cambiar dónde van los pushes con `git remote set-url` o `git remote add`, a menos que haya nombrado el nuevo remoto284* Cambiar dónde van los pushes con `git remote set-url` o `git remote add`, a menos que nombre el nuevo remoto

278* Empujar secretos o datos personales o confiados a un repositorio conocido por ser público, o empujar material confidencial allí que no sea parte del propio trabajo de ese repositorio. {/* min-version: 2.1.203 */}El propio tema de un repositorio de dotfiles es la única excepción para datos personales o confiados, y el contenido de un repositorio privado que llega a cualquier superficie pública se bloquea de la misma manera; ambos refinamientos requieren Claude Code v2.1.203 o posterior. Antes de v2.1.203, los datos personales se agrupaban con material confidencial y se bloqueaban solo cuando no eran parte del propio trabajo de ese repositorio. Cuando la visibilidad de un repositorio no está establecida, el clasificador no bloquea solo por eso; juzga el contenido contra las otras reglas en su lugar285* Hacer push de secretos o datos personales o confiados a un repositorio conocido como público, o hacer push de material confidencial allí que no sea parte del trabajo propio de ese repositorio. {/* min-version: 2.1.203 */}El tema propio de un repositorio de dotfiles es la única excepción para datos personales o confiados, y el contenido de un repositorio privado que llega a cualquier superficie pública se bloquea de la misma manera; ambos refinamientos requieren Claude Code v2.1.203 o posterior. Antes de v2.1.203, los datos personales se agrupaban con material confidencial y se bloqueaban solo cuando no eran parte del trabajo propio de ese repositorio. Cuando la visibilidad de un repositorio no está establecida, el clasificador no bloquea solo por eso; juzga el contenido contra las otras reglas en su lugar

279* Abrir una solicitud de extracción contra un repositorio u organización diferente, bifurcar con `gh repo fork`, o empujar a un repositorio de terceros, a menos que haya nombrado ese objetivo externo286* Abrir una solicitud de extracción contra un repositorio u organización diferente, hacer fork con `gh repo fork` o hacer push a un repositorio de terceros, a menos que nombre ese objetivo externo

280 287 

281Claude Code v2.1.203 y posterior también bloquean estos por defecto:288Claude Code v2.1.203 y posterior también bloquean estos por defecto:

282 289 

283* Contenido de un almacén local sensible, o de un archivo cuyo nombre, ruta, o tipo lo marca como sensible, entrando en una confirmación, un push, texto de PR o issue, un gist o paste, o una publicación de paquete, a menos que nombre tanto la fuente como el destino. Las transcripciones de sesión y registros de conversación, carpetas de punto de credencial y configuración como claves SSH, credenciales en la nube, perfiles de navegador, e historial de shell, y exportaciones de datos de usuario cuentan, y el repositorio siendo privado no lo aclara290* Contenido de un almacén local sensible, o de un archivo cuyo nombre, ruta o tipo lo marca como sensible, entrando en un commit, un push, texto de PR o issue, un gist o paste, o una publicación de paquete, a menos que nombre tanto la fuente como el destino. Las transcripciones de sesión y registros de conversación, carpetas de punto de credencial y configuración como claves SSH, credenciales en la nube, perfiles de navegador e historial de shell, y exportaciones de datos de usuario cuentan, y que el repositorio sea privado no lo exime

284 291 

285Claude Code v2.1.205 y posterior también bloquean estos por defecto:292Claude Code v2.1.205 y posterior también bloquean estos por defecto:

286 293 

287* Escribir en transcripciones de sesión de Claude Code, los archivos de historial `.jsonl` bajo `~/.claude/projects/` o su directorio de configuración configurado, ya sea directamente o a través de un comando de shell. La regla también cubre las líneas de metadatos que Claude Code añade a cada entrada de transcripción para sus propias verificaciones. Una transcripción es estado de sesión que Claude Code escribe, no un archivo de trabajo, y una entrada manipulada llega a cada verificación posterior una vez que reanuda la sesión, por lo que el modo automático bloquea estas escrituras como defensa en profundidad. Leer una transcripción no se bloquea294* Escribir en transcripciones de sesión de Claude Code, los archivos de historial `.jsonl` bajo `~/.claude/projects/` o su directorio de configuración configurado, ya sea directamente o a través de un comando de shell. La regla también cubre las líneas de metadatos que Claude Code agrega a cada entrada de transcripción para sus propias verificaciones. Una transcripción es estado de sesión que Claude Code escribe, no un archivo de trabajo, y una entrada manipulada llega a cada verificación posterior una vez que reanuda la sesión, por lo que el modo automático bloquea estas escrituras como defensa en profundidad. Leer una transcripción no se bloquea

288* Una eliminación forzada recursiva como `rm -rf "$VAR"` o `Remove-Item -Recurse -Force $dir` cuyo objetivo es una variable de shell, o un glob enraizado en una, que no se asigna en ningún lugar de la conversación que el clasificador ve. El valor provino solo de salida de comando anterior, que el clasificador nunca recibe, por lo que el clasificador no puede verificar el objetivo de eliminación contra las otras reglas de eliminación. El clasificador lee la conversación en lugar de salida de comando por diseño, por lo que bloquea la llamada en lugar de adivinar el objetivo. El bloqueo se aclara cuando nombra la ruta exacta que se está eliminando, o cuando Claude vuelve a ejecutar la eliminación con la ruta literal resuelta escrita en el comando. Las eliminaciones cuyo objetivo el clasificador puede resolver no se ven afectadas295* Una eliminación forzada recursiva como `rm -rf "$VAR"` o `Remove-Item -Recurse -Force $dir` cuyo objetivo es una variable de shell, o un glob enraizado en una, que no está asignado en ningún lugar de la conversación que el clasificador ve. El valor provino solo de la salida de comando anterior, que el clasificador nunca recibe, por lo que el clasificador no puede verificar el objetivo de eliminación contra las otras reglas de eliminación. El clasificador lee la conversación en lugar de la salida de comando por diseño, por lo que bloquea la llamada en lugar de adivinar el objetivo. El bloqueo se levanta cuando nombra la ruta exacta que se está eliminando, o cuando Claude vuelve a ejecutar la eliminación con la ruta literal resuelta escrita en el comando. Las eliminaciones cuyo objetivo el clasificador puede resolver no se ven afectadas

289 296 

290**Permitido por defecto**:297**Permitido por defecto**:

291 298 

292* Operaciones de archivos locales en su directorio de trabajo299* Operaciones de archivo local en su directorio de trabajo

293* Instalar dependencias declaradas en sus archivos de bloqueo o manifiestos300* Instalar dependencias declaradas en sus archivos de bloqueo o manifiestos

294* Leer `.env` y enviar credenciales a su API coincidente301* Leer `.env` y enviar credenciales a su API coincidente

295* Solicitudes HTTP de solo lectura302* Solicitudes HTTP de solo lectura

296* Empujar a la rama en la que comenzó o una que Claude creó303* Hacer push a la rama en la que comenzó o una que Claude creó

297 304 

298Claude Code v2.1.195 y posterior también permiten estos por defecto:305Claude Code v2.1.195 y posterior también permiten estos por defecto:

299 306 

300* Eliminar los trabajos exactos que Claude creó anteriormente en la misma sesión307* Eliminar los trabajos exactos que Claude creó anteriormente en la misma sesión

301* Leer, revisar, o escribir código relacionado con seguridad, configuraciones, y modelos de amenaza como parte de su tarea308* Leer, revisar o escribir código, configuraciones y modelos de amenaza relacionados con seguridad como parte de su tarea

302* Mensajes entre agentes trabajando juntos en la misma sesión multiagente309* Mensajes entre agentes que trabajan juntos en la misma sesión multiagente

303* Enviar datos a los dominios confiables, depósitos, y servicios que lista en [`environment`](/es/auto-mode-config#define-trusted-infrastructure). Esto cubre solo el flujo de datos, no operaciones destructivas o de credenciales en la misma infraestructura310* Enviar datos a los dominios, buckets y servicios de confianza que lista en [`environment`](/es/auto-mode-config#define-trusted-infrastructure). Esto cubre solo el flujo de datos, no operaciones destructivas o de credencial en la misma infraestructura

304* Navegación de [Claude en Chrome](/es/chrome) a un dominio interno confiable, localhost, o una URL que nombró311* Navegación de [Claude en Chrome](/es/chrome) a un dominio interno de confianza, localhost o una URL que nombró

305 312 

306Las solicitudes de acceso de red de sandbox se enrutan a través del clasificador en lugar de permitirse por defecto. {/* min-version: 2.1.198 */}A partir de v2.1.198, el clasificador reutiliza su veredicto para un host y puerto de red en lugar de re-ejecutarse en cada conexión:313Las solicitudes de acceso a la red de sandbox se enrutan a través del clasificador en lugar de permitirse por defecto. {/* min-version: 2.1.198 */}A partir de v2.1.198, el clasificador reutiliza su veredicto para un host y puerto de red en lugar de volver a ejecutarse en cada conexión:

307 314 

308* Un permiso se reutiliza hasta que nuevo contenido entra en la conversación, en cuyo punto ese host se verifica nuevamente315* Un permiso se reutiliza hasta que nuevo contenido entra en la conversación, momento en el cual ese host se verifica nuevamente

309* En la CLI interactiva, una denegación se descarta cuando el turno termina316* En la CLI interactiva, un rechazo se descarta cuando termina el turno

310* En [modo no interactivo](/es/headless) y sesiones de Agent SDK no hay límite de turno, por lo que una denegación se reutiliza para el resto de la ejecución317* En [modo no interactivo](/es/headless) y sesiones del SDK de Agent, no hay límite de turno, por lo que un rechazo se reutiliza para el resto de la ejecución

311* Cambiar su modo de permisos o reglas descarta todos los veredictos en caché318* Cambiar su modo de permiso o reglas descarta todos los veredictos en caché

312 319 

313Ejecute `claude auto-mode defaults` para ver las listas de reglas completas. Si las acciones rutinarias se bloquean, un administrador puede añadir repositorios confiables, depósitos y servicios a través de la configuración `autoMode.environment`: consulte [Configurar modo automático](/es/auto-mode-config).320Ejecute `claude auto-mode defaults` para ver las listas de reglas completas. Si las acciones rutinarias se bloquean, un administrador puede agregar repositorios, buckets y servicios de confianza a través de la configuración `autoMode.environment`: consulte [Configurar modo automático](/es/auto-mode-config).

314 321 

315<h3 id="boundaries-you-state-in-conversation">322<h3 id="boundaries-you-state-in-conversation">

316 Límites que establece en la conversación323 Límites que establece en la conversación

317</h3>324</h3>

318 325 

319El clasificador trata los límites que establece en la conversación como una señal de bloqueo. Si le dice a Claude "no empuje" o "espere hasta que revise antes de desplegar", el clasificador bloquea acciones coincidentes incluso cuando las reglas predeterminadas las permitirían. Un límite permanece en vigor hasta que lo levante en un mensaje posterior. El propio juicio de Claude de que se cumplió una condición no lo levanta.326El clasificador trata los límites que establece en la conversación como una señal de bloqueo. Si le dice a Claude "no hagas push" o "espera hasta que revise antes de implementar", el clasificador bloquea acciones coincidentes incluso cuando las reglas predeterminadas las permitirían. Un límite permanece en vigor hasta que lo levante en un mensaje posterior. El propio juicio de Claude de que se cumplió una condición no lo levanta.

320 327 

321Los límites no se almacenan como reglas. El clasificador los relee de la transcripción en cada verificación, por lo que un límite puede perderse si [la compactación de contexto](/es/costs#reduce-token-usage) elimina el mensaje que lo estableció. Para una garantía dura, añada una [regla de denegación](/es/permissions#permission-rule-syntax) en su lugar.328Los límites no se almacenan como reglas. El clasificador los relee de la transcripción en cada verificación, por lo que un límite puede perderse si la [compactación de contexto](/es/costs#reduce-token-usage) elimina el mensaje que lo estableció. Para una garantía dura, agregue una [regla de rechazo](/es/permissions#permission-rule-syntax) en su lugar.

322 329 

323<h3 id="when-auto-mode-falls-back">330<h3 id="when-auto-mode-falls-back">

324 Cuándo el modo automático retrocede331 Cuándo el modo automático retrocede


326 333 

327Cada acción denegada muestra una notificación y aparece en `/permissions` bajo la pestaña Recientemente denegado, donde puede presionar `r` para reintentar con una aprobación manual.334Cada acción denegada muestra una notificación y aparece en `/permissions` bajo la pestaña Recientemente denegado, donde puede presionar `r` para reintentar con una aprobación manual.

328 335 

329Si el clasificador bloquea una acción 3 veces seguidas o 20 veces en total, el modo automático se pausa y Claude Code reanuda la solicitud. Aprobar la acción solicitada reanuda el modo automático. Estos umbrales no son configurables. Cualquier acción permitida reinicia el contador consecutivo, mientras que el contador total persiste para la sesión y se reinicia solo cuando su propio límite desencadena un retroceso.336Si el clasificador bloquea una acción 3 veces seguidas o 20 veces en total, el modo automático se pausa y Claude Code reanuda las solicitudes. Aprobar la acción solicitada reanuda el modo automático. Estos umbrales no son configurables. Cualquier acción permitida reinicia el contador consecutivo, mientras que el contador total persiste para la sesión y se reinicia solo cuando su propio límite desencadena un retroceso.

330 337 

331En [modo no interactivo](/es/headless) con la bandera `-p`, los bloqueos repetidos abortan la sesión ya que no hay usuario para solicitar.338En [modo no interactivo](/es/headless) con la bandera `-p`, los bloqueos repetidos abortan la sesión ya que no hay usuario para solicitar.

332 339 

333Los bloqueos repetidos generalmente significan que el clasificador carece de contexto sobre su infraestructura. Use `/feedback` para reportar falsos positivos, o haga que un administrador [configure infraestructura confiable](/es/auto-mode-config).340Los bloqueos repetidos generalmente significan que el clasificador carece de contexto sobre su infraestructura. Use `/feedback` para reportar falsos positivos, o haga que un administrador [configure infraestructura de confianza](/es/auto-mode-config).

334 341 

335<AccordionGroup>342<AccordionGroup>

336 <Accordion title="Cómo el clasificador evalúa acciones">343 <Accordion title="Cómo el clasificador evalúa acciones">

337 Cada acción pasa por un orden de decisión fijo. El primer paso coincidente gana:344 Cada acción pasa por un orden de decisión fijo. El primer paso coincidente gana:

338 345 

339 1. Las acciones que coinciden con sus [reglas de permitir o denegar](/es/permissions#manage-permissions) se resuelven inmediatamente, excepto escrituras en [rutas protegidas](#protected-paths), que se enrutan al clasificador incluso cuando una regla de permitir coincide346 1. Las acciones que coinciden con sus [reglas de permiso o rechazo](/es/permissions#manage-permissions) se resuelven inmediatamente, excepto las escrituras en [rutas protegidas](#protected-paths), que se enrutan al clasificador incluso cuando una regla de permiso coincide

340 2. Las acciones de solo lectura y ediciones de archivos en su directorio de trabajo se auto-aprueban, excepto escrituras en [rutas protegidas](#protected-paths)347 2. Las acciones de solo lectura y ediciones de archivo en su directorio de trabajo se aprueban automáticamente, excepto las escrituras en [rutas protegidas](#protected-paths)

341 3. Todo lo demás va al clasificador. {/* min-version: 2.1.199 */}A partir de v2.1.199, una herramienta MCP marcada con [`_meta["anthropic/requiresUserInteraction"]`](/es/mcp#require-approval-for-a-specific-tool) omite el clasificador y le solicita directamente, por lo que un paso de consentimiento nunca se auto-aprueba en nombre del autor de la herramienta348 3. Todo lo demás va al clasificador. {/* min-version: 2.1.199 */}A partir de v2.1.199, una herramienta MCP marcada con [`_meta["anthropic/requiresUserInteraction"]`](/es/mcp#require-approval-for-a-specific-tool) omite el clasificador y le solicita directamente, por lo que un paso de consentimiento nunca se aprueba automáticamente en nombre del autor de la herramienta

342 4. Si el clasificador bloquea, Claude recibe la razón e intenta una alternativa349 4. Si el clasificador bloquea, Claude recibe la razón e intenta una alternativa

343 350 

344 Al entrar en modo automático, se descartan las reglas de permitir amplias que otorgan ejecución de código arbitrario:351 Al entrar en modo automático, se descartan las reglas de permiso amplias que otorgan ejecución de código arbitraria:

345 352 

346 * `Bash(*)` sin restricciones353 * Blanket `Bash(*)` o `PowerShell(*)`

347 * Intérpretes con comodín como `Bash(python*)`354 * Intérpretes con comodín como `Bash(python*)`

348 * Comandos de ejecución del gestor de paquetes355 * Comandos de ejecución del gestor de paquetes

349 * Reglas `Agent` de permitir356 * Reglas de permiso `Agent`

350 357 

351 Las reglas estrechas como `Bash(npm test)` se mantienen. Las reglas descartadas se restauran cuando sale del modo automático.358 Las reglas estrechas como `Bash(npm test)` se mantienen. Las reglas descartadas se restauran cuando sale del modo automático.

352 359 

353 El clasificador ve mensajes de usuario, llamadas de herramientas, y su contenido de CLAUDE.md. Los resultados de herramientas se eliminan, por lo que el contenido hostil en un archivo o página web no puede manipularlo directamente. Una sonda separada del lado del servidor escanea los resultados de herramientas entrantes y marca contenido sospechoso antes de que Claude lo lea. Para más sobre cómo funcionan estas capas juntas, consulte el [anuncio del modo automático](https://claude.com/blog/auto-mode) y la [inmersión profunda de ingeniería](https://www.anthropic.com/engineering/claude-code-auto-mode).360 El clasificador ve mensajes de usuario, llamadas de herramienta y contenido de CLAUDE.md. Los resultados de herramientas se eliminan, por lo que el contenido hostil en un archivo o página web no puede manipularlo directamente. Una sonda separada del lado del servidor escanea los resultados de herramientas entrantes y marca contenido sospechoso antes de que Claude lo lea. Para más información sobre cómo funcionan estas capas juntas, consulte el [anuncio de modo automático](https://claude.com/blog/auto-mode) y la [inmersión profunda de ingeniería](https://www.anthropic.com/engineering/claude-code-auto-mode).

354 </Accordion>361 </Accordion>

355 362 

356 <Accordion title="Cómo el modo automático maneja subagentes">363 <Accordion title="Cómo el modo automático maneja subagentes">

357 El clasificador verifica el trabajo de [subagentes](/es/sub-agents) en tres puntos:364 El clasificador verifica el trabajo de [subagente](/es/sub-agents) en tres puntos:

358 365 

359 1. Antes de que un subagente comience, la descripción de tarea delegada se evalúa, por lo que una tarea que se ve peligrosa se bloquea en el momento de generación.366 1. Antes de que comience un subagente, se evalúa la descripción de tarea delegada, por lo que una tarea que parece peligrosa se bloquea en el momento de su creación.

360 2. Mientras el subagente se ejecuta, cada una de sus acciones pasa por el clasificador con las mismas reglas que la sesión principal, y cualquier `permissionMode` en el frontmatter del subagente se ignora.367 2. Mientras se ejecuta el subagente, cada una de sus acciones pasa por el clasificador con las mismas reglas que la sesión principal, y cualquier `permissionMode` en el frontmatter del subagente se ignora.

361 3. Cuando el subagente termina, el clasificador revisa su historial de acciones completo; si esa verificación de retorno marca una preocupación, se antepone una advertencia de seguridad a los resultados del subagente.368 3. Cuando el subagente termina, el clasificador revisa su historial de acciones completo; si esa verificación de retorno marca una preocupación, se antepone una advertencia de seguridad a los resultados del subagente.

362 369 

363 El paso 1 requiere Claude Code v2.1.178 o posterior. Las versiones anteriores aplicaban el clasificador en los pasos 2 y 3, pero no evaluaban la descripción de tarea antes de que el subagente comenzara.370 El paso 1 requiere Claude Code v2.1.178 o posterior. Las versiones anteriores aplicaban el clasificador en los pasos 2 y 3, pero no evaluaban la descripción de tarea antes de que comenzara el subagente.

364 </Accordion>371 </Accordion>

365 372 

366 <Accordion title="Costo y latencia">373 <Accordion title="Costo y latencia">

367 El clasificador se ejecuta en un modelo configurado por servidor que es independiente de su selección de `/model`, por lo que cambiar modelos no cambia la disponibilidad del clasificador. Las llamadas del clasificador cuentan hacia su uso de tokens. Cada verificación envía una porción de la transcripción más la acción pendiente, añadiendo un viaje de ida y vuelta antes de la ejecución. Las lecturas y ediciones de directorio de trabajo fuera de rutas protegidas omiten el clasificador, por lo que la sobrecarga proviene principalmente de comandos de shell y operaciones de red. {/* min-version: 2.1.198 */}A partir de v2.1.198, un veredicto de red de sandbox para un host y puerto se reutiliza en lugar de re-clasificarse en cada conexión, por lo que las conexiones repetidas al mismo host no añaden cada una una verificación. [Qué bloquea el clasificador por defecto](#what-the-classifier-blocks-by-default) describe cuánto tiempo dura un permiso y una denegación.374 El clasificador se ejecuta en un modelo configurado por servidor que es independiente de su selección de `/model`, por lo que cambiar modelos no cambia la disponibilidad del clasificador. Las llamadas del clasificador cuentan hacia su uso de tokens. Cada verificación envía una porción de la transcripción más la acción pendiente, agregando un viaje de ida y vuelta antes de la ejecución. Las lecturas y ediciones de directorio de trabajo fuera de rutas protegidas omiten el clasificador, por lo que la sobrecarga proviene principalmente de comandos de shell y operaciones de red. {/* min-version: 2.1.198 */}A partir de v2.1.198, un veredicto de red de sandbox para un host y puerto se reutiliza en lugar de reclasificarse en cada conexión, por lo que las conexiones repetidas al mismo host no agregan cada una una verificación. [Qué bloquea el clasificador por defecto](#what-the-classifier-blocks-by-default) describe cuánto tiempo dura un permiso y un rechazo.

368 </Accordion>375 </Accordion>

369</AccordionGroup>376</AccordionGroup>

370 377 

371<h2 id="allow-only-pre-approved-tools-with-dontask-mode">378<h2 id="allow-only-pre-approved-tools-with-dontask-mode">

372 Permitir solo herramientas preaprobadas con modo dontAsk379 Permitir solo herramientas preaprobadas con el modo dontAsk

373</h2>380</h2>

374 381 

375El modo `dontAsk` auto-deniega cada llamada de herramienta que de otro modo solicitaría. La barra de estado muestra `⏵⏵ don't ask on` mientras este modo está activo. Solo las acciones que coinciden con tus reglas `permissions.allow` y [comandos Bash de solo lectura](/es/permissions#read-only-commands) pueden ejecutarse; las reglas [`ask` explícitas](/es/permissions#manage-permissions) se deniegan en lugar de solicitar. {/* min-version: 2.1.199 */}A partir de v2.1.199, una herramienta MCP marcada con [`_meta["anthropic/requiresUserInteraction"]`](/es/mcp#require-approval-for-a-specific-tool) también se deniega en este modo incluso cuando una regla de permiso coincide, porque su tarjeta de aprobación necesita una respuesta que este modo nunca recopila. Esto hace que el modo sea completamente no interactivo para tuberías de CI o entornos restringidos donde predefines exactamente qué puede hacer Claude. Las sesiones en la nube en [Claude Code en la web](/es/claude-code-on-the-web) ignoran `defaultMode: "dontAsk"`; consulta [bypassPermissions](#skip-all-checks-with-bypasspermissions-mode) para obtener más detalles.382El modo `dontAsk` deniega automáticamente cada llamada de herramienta que de otro modo solicitaría confirmación. La barra de estado muestra `⏵⏵ don't ask on` mientras este modo está activo. Solo las acciones que coincidan con sus reglas `permissions.allow` y [comandos Bash de solo lectura](/es/permissions#read-only-commands) pueden ejecutarse; las reglas explícitas de [`ask`](/es/permissions#manage-permissions) se deniegan en lugar de solicitar confirmación. {/* min-version: 2.1.199 */}A partir de v2.1.199, una herramienta MCP marcada con [`_meta["anthropic/requiresUserInteraction"]`](/es/mcp#require-approval-for-a-specific-tool) también se deniega en este modo incluso cuando una regla de permiso coincide, porque su tarjeta de aprobación necesita una respuesta que este modo nunca recopila. Esto hace que el modo sea completamente no interactivo para canalizaciones de CI o entornos restringidos donde predefine exactamente qué puede hacer Claude. Las sesiones en la nube en [Claude Code en la web](/es/claude-code-on-the-web) ignoran `defaultMode: "dontAsk"`; consulte [bypassPermissions](#skip-all-checks-with-bypasspermissions-mode) para obtener más detalles.

376 383 

377Establécelo al inicio con la bandera:384Configúrelo al inicio con la bandera:

378 385 

379```bash theme={null}386```bash theme={null}

380claude --permission-mode dontAsk387claude --permission-mode dontAsk

381```388```

382 389 

383<h2 id="skip-all-checks-with-bypasspermissions-mode">390<h2 id="skip-all-checks-with-bypasspermissions-mode">

384 Omitir todas las verificaciones con modo bypassPermissions391 Omitir todas las comprobaciones con el modo bypassPermissions

385</h2>392</h2>

386 393 

387El modo `bypassPermissions` desactiva los avisos de permisos y las verificaciones de seguridad para que las llamadas de herramientas se ejecuten inmediatamente. A partir de v2.1.126, esto incluye escrituras en [rutas protegidas](#protected-paths), que las versiones anteriores aún solicitaban. Las [reglas ask](/es/permissions#manage-permissions) explícitas aún fuerzan un aviso en este modo, y las eliminaciones dirigidas al directorio raíz del sistema de archivos o al directorio de inicio, como `rm -rf /` y `rm -rf ~`, aún solicitan como un cortacircuitos contra errores del modelo. {/* min-version: 2.1.199 */}A partir de v2.1.199, las herramientas MCP marcadas con [`_meta["anthropic/requiresUserInteraction"]`](/es/mcp#require-approval-for-a-specific-tool) también aún solicitan. Use este modo solo en entornos aislados como contenedores, máquinas virtuales, o dev containers sin acceso a internet, donde Claude Code no puede dañar su sistema anfitrión.394El modo `bypassPermissions` desactiva los avisos de permisos y las comprobaciones de seguridad para que las llamadas a herramientas se ejecuten inmediatamente. A partir de v2.1.126, esto incluye escrituras en [rutas protegidas](#protected-paths), que las versiones anteriores aún solicitaban. Las [reglas ask](/es/permissions#manage-permissions) explícitas aún fuerzan un aviso en este modo, y las eliminaciones dirigidas al directorio raíz del sistema de archivos o al directorio de inicio, como `rm -rf /` y `rm -rf ~`, aún solicitan confirmación como un cortacircuitos contra errores del modelo. {/* min-version: 2.1.199 */}A partir de v2.1.199, las herramientas MCP marcadas con [`_meta["anthropic/requiresUserInteraction"]`](/es/mcp#require-approval-for-a-specific-tool) también aún solicitan confirmación. Utilice este modo solo en entornos aislados como contenedores, máquinas virtuales o dev containers sin acceso a Internet, donde Claude Code no pueda dañar su sistema anfitrión.

388 395 

389No puede entrar en `bypassPermissions` desde una sesión que se inició sin una de las banderas de habilitación; reinicie con una para habilitarlo:396No puede entrar en `bypassPermissions` desde una sesión que se inició sin una de las banderas de habilitación; reinicie con una para habilitarlo:

390 397 


400--dangerously-skip-permissions cannot be used with root/sudo privileges for security reasons407--dangerously-skip-permissions cannot be used with root/sudo privileges for security reasons

401```408```

402 409 

403La verificación se omite automáticamente dentro de un sandbox reconocido. Para ejecutarse de forma autónoma en un contenedor, use la configuración de [dev container](/es/devcontainer), que ejecuta Claude Code como un usuario no root.410La comprobación se omite automáticamente dentro de un sandbox reconocido. Para ejecutarse de forma autónoma en un contenedor, utilice la configuración de [dev container](/es/devcontainer), que ejecuta Claude Code como un usuario no root.

404 411 

405[Claude Code en la web](/es/claude-code-on-the-web) no respeta `defaultMode: "bypassPermissions"` o `"dontAsk"` de sus archivos de configuración, por lo que la configuración registrada en un repositorio no puede iniciar una sesión en la nube en modo bypass-permissions. La configuración se ignora silenciosamente y la sesión se inicia en el modo mostrado en el menú desplegable de modo en su lugar. Consulte [Cambiar modos de permisos](#switch-permission-modes) para ver qué modos ofrecen las sesiones en la nube.412[Claude Code en la web](/es/claude-code-on-the-web) no respeta `defaultMode: "bypassPermissions"` o `"dontAsk"` de sus archivos de configuración, por lo que la configuración registrada en un repositorio no puede iniciar una sesión en la nube en modo bypass-permissions. La configuración se ignora silenciosamente y la sesión se inicia en el modo que se muestra en el menú desplegable de modo. Consulte [Cambiar modos de permisos](#switch-permission-modes) para ver qué modos ofrecen las sesiones en la nube.

406 413 

407<Warning>414<Warning>

408 `bypassPermissions` no ofrece protección contra inyección de solicitud o acciones no intencionadas. Para verificaciones de seguridad de fondo con muchos menos avisos, use [modo automático](#eliminate-prompts-with-auto-mode) en su lugar. Los administradores pueden bloquear este modo estableciendo `permissions.disableBypassPermissionsMode` en `"disable"` en [configuración administrada](/es/permissions#managed-settings).415 `bypassPermissions` no ofrece protección contra inyección de prompts o acciones no intencionadas. Para comprobaciones de seguridad de fondo con muchos menos avisos de permisos, utilice el [modo automático](#eliminate-prompts-with-auto-mode) en su lugar. Los administradores pueden bloquear este modo estableciendo `permissions.disableBypassPermissionsMode` en `"disable"` en [configuración administrada](/es/permissions#managed-settings).

409</Warning>416</Warning>

410 417 

411<h2 id="protected-paths">418<h2 id="protected-paths">

412 Rutas protegidas419 Rutas protegidas

413</h2>420</h2>

414 421 

415Las escrituras en un pequeño conjunto de rutas nunca se auto-aprueban, en cada modo excepto `bypassPermissions`. Esto previene la corrupción accidental del estado del repositorio y la configuración propia de Claude.422Las escrituras en un pequeño conjunto de rutas nunca se aprueban automáticamente, en todos los modos excepto `bypassPermissions`. Esto previene la corrupción accidental del estado del repositorio y la configuración propia de Claude.

416 423 

417| Modo | Escrituras en rutas protegidas |424| Modo | Escrituras en rutas protegidas |

418| :------------------------------- | :----------------------------- |425| :------------------------------- | :----------------------------- |


421| `dontAsk` | Denegadas |428| `dontAsk` | Denegadas |

422| `bypassPermissions` | Permitidas |429| `bypassPermissions` | Permitidas |

423 430 

424Las reglas de [`permissions.allow`](/es/permissions#manage-permissions) en archivos de configuración no pre-aprueban escrituras en rutas protegidas. La verificación de seguridad se ejecuta antes de que Claude Code evalúe las reglas de permitir desde la configuración, por lo que una entrada como `Edit(.claude/**)` en `~/.claude/settings.json` o `.claude/settings.json` no cambia el resultado por modo en la tabla anterior. En modos que solicitan, la solicitud para una escritura en `.claude/` ofrece **Sí, y permitir que Claude edite su propia configuración para esta sesión**, lo que aprueba escrituras posteriores en `.claude/` en esa sesión sin solicitar de nuevo.431Las reglas [`permissions.allow`](/es/permissions#manage-permissions) en archivos de configuración no pre-aprueban escrituras en rutas protegidas. La verificación de seguridad se ejecuta antes de que Claude Code evalúe las reglas de permitir desde la configuración, por lo que una entrada como `Edit(.claude/**)` en `~/.claude/settings.json` o `.claude/settings.json` no cambia el resultado por modo en la tabla anterior. En modos que solicitan, la solicitud para una escritura en `.claude/` ofrece **Sí, y permitir que Claude edite su propia configuración para esta sesión**, lo que aprueba escrituras posteriores en `.claude/` en esa sesión sin solicitar de nuevo.

425 432 

426Directorios protegidos:433Directorios protegidos:

427 434 


434* `.devcontainer`441* `.devcontainer`

435* `.yarn`442* `.yarn`

436* `.mvn`443* `.mvn`

437* `.claude`, excepto para `.claude/worktrees` donde Claude almacena sus propios git worktrees444* `.claude`, excepto por `.claude/worktrees` donde Claude almacena sus propios git worktrees

438 445 

439Archivos protegidos:446Archivos protegidos:

440 447 


449* `.mcp.json`, `.claude.json`456* `.mcp.json`, `.claude.json`

450 457 

451<h2 id="see-also">458<h2 id="see-also">

452 Ver también459 Véase también

453</h2>460</h2>

454 461 

455* [Permissions](/es/permissions): reglas de permitir, preguntar y denegar; políticas administradas462* [Permisos](/es/permissions): reglas de permitir, preguntar y denegar; políticas gestionadas

456* [Configure auto mode](/es/auto-mode-config): dile al clasificador qué infraestructura confía tu organización463* [Configurar modo automático](/es/auto-mode-config): indique al clasificador qué infraestructura confía su organización

457* [Hooks](/es/hooks): lógica de permisos personalizada a través de hooks `PreToolUse` y `PermissionRequest`464* [Hooks](/es/hooks): lógica de permisos personalizada mediante hooks `PreToolUse` y `PermissionRequest`

458* [Ultraplan](/es/ultraplan): ejecuta modo de planificación en una sesión de Claude Code en la web con revisión basada en navegador465* [Ultraplan](/es/ultraplan): ejecutar modo plan en una sesión de Claude Code en la web con revisión basada en navegador

459* [Security](/es/security): salvaguardas y mejores prácticas466* [Seguridad](/es/security): salvaguardas y mejores prácticas

460* [Sandboxing](/es/sandboxing): aislamiento de sistema de archivos y red para comandos Bash467* [Sandboxing](/es/sandboxing): aislamiento del sistema de archivos y red para comandos Bash

461* [Non-interactive mode](/es/headless): ejecuta Claude Code con la bandera `-p`468* [Modo no interactivo](/es/headless): ejecutar Claude Code con la bandera `-p`

skills.md +2 −2

Details

278La tabla a continuación muestra de dónde proviene el nombre del comando para cada diseño:278La tabla a continuación muestra de dónde proviene el nombre del comando para cada diseño:

279 279 

280| Ubicación del skill | Fuente del nombre del comando | Ejemplo |280| Ubicación del skill | Fuente del nombre del comando | Ejemplo |

281| :--------------------------------------------------------------------------------------- | :------------------------------------------------------------------------------------------------ | :---------------------------------------------------------------------------------------------------------------------------------------------------- |281| :------------------------------------------------------------------------------------------------------------- | :------------------------------------------------------------------------------------------------ | :---------------------------------------------------------------------------------------------------------------------------------------------------- |

282| Directorio de skill bajo `~/.claude/skills/` o `.claude/skills/` | Nombre del directorio | `.claude/skills/deploy-staging/SKILL.md` → `/deploy-staging` |282| Directorio de skill bajo `~/.claude/skills/` o `.claude/skills/` | Nombre del directorio | `.claude/skills/deploy-staging/SKILL.md` → `/deploy-staging` |

283| Directorio `.claude/skills/` anidado, cuando el nombre entra en conflicto con otro skill | Ruta del subdirectorio relativa al directorio de trabajo, luego el nombre del directorio de skill | `apps/web/.claude/skills/deploy/SKILL.md` → `/apps/web:deploy` |283| [Directorio `.claude/skills/` anidado](#where-skills-live), cuando el nombre entra en conflicto con otro skill | Ruta del subdirectorio relativa al directorio de trabajo, luego el nombre del directorio de skill | `apps/web/.claude/skills/deploy/SKILL.md` → `/apps/web:deploy` |

284| Archivo bajo `.claude/commands/` | Nombre del archivo sin extensión | `.claude/commands/deploy.md` → `/deploy` |284| Archivo bajo `.claude/commands/` | Nombre del archivo sin extensión | `.claude/commands/deploy.md` → `/deploy` |

285| Subdirectorio `skills/` del plugin | Nombre del directorio, con espacio de nombres por plugin | `my-plugin/skills/review/SKILL.md` → `/my-plugin:review` |285| Subdirectorio `skills/` del plugin | Nombre del directorio, con espacio de nombres por plugin | `my-plugin/skills/review/SKILL.md` → `/my-plugin:review` |

286| `SKILL.md` de raíz del plugin | Frontmatter `name`, con el nombre del directorio del plugin como alternativa | `my-plugin/SKILL.md` con `name: review` → `/my-plugin:review`. Consulte [Reglas de comportamiento de ruta](/es/plugins-reference#path-behavior-rules) |286| `SKILL.md` de raíz del plugin | Frontmatter `name`, con el nombre del directorio del plugin como alternativa | `my-plugin/SKILL.md` con `name: review` → `/my-plugin:review`. Consulte [Reglas de comportamiento de ruta](/es/plugins-reference#path-behavior-rules) |