SpyBara
Go Premium

agent-sdk/permissions.md 2026-06-29 23:02 UTC to 2026-06-30 23:02 UTC

6 added, 2 removed.

2026
Tue 30 23:02 Mon 29 23:02 Sat 27 01:01 Fri 26 23:00 Thu 25 23:58 Wed 24 22:02 Tue 23 22:00 Mon 22 23:59 Fri 19 22:58 Thu 18 22:00 Wed 17 17:02 Tue 16 21:57 Mon 15 23:02 Sat 13 21:59 Fri 12 22:00 Thu 11 23:01 Wed 10 23:57 Tue 9 06:34 Mon 8 06:52 Sat 6 06:24 Fri 5 06:45 Thu 4 06:52 Wed 3 06:53 Tue 2 06:51

Настройка разрешений

Контролируйте использование инструментов вашим агентом с помощью режимов разрешений, hooks и декларативных правил allow/deny.

Claude Agent SDK предоставляет элементы управления разрешениями для управления использованием инструментов Claude. Используйте режимы разрешений и правила для определения того, что разрешено автоматически, и callback canUseTool для обработки всего остального во время выполнения.

Как оцениваются разрешения

Когда Claude запрашивает инструмент, SDK проверяет разрешения в следующем порядке:

1

Hooks

Сначала запустите hooks. Hook может отклонить вызов полностью или передать его дальше. Hook, который возвращает allow, не пропускает правила deny и ask ниже; они оцениваются независимо от результата hook.

2

Правила deny

Проверьте правила deny (из disallowed_tools и settings.json). Если правило deny совпадает, инструмент блокируется, даже в режиме bypassPermissions. Записи с простым названием, такие как Bash, удаляют инструмент из контекста Claude перед началом этой оценки, поэтому на этом шаге проверяются только правила с областью действия, такие как Bash(rm *).

3

Правила ask

Проверьте правила ask из settings.json. Если правило ask совпадает, вызов передаётся вашему callback canUseTool для подтверждения, даже в режиме bypassPermissions. В режиме dontAsk совпадающее правило ask отклоняется вместо этого, потому что этот режим никогда не запрашивает подтверждение.

4

Режим разрешений

Примените активный режим разрешений. bypassPermissions одобряет всё, что достигает этого шага. acceptEdits одобряет операции с файлами. plan маршрутизирует инструменты file-edit и shell-write к вашему callback canUseTool независимо от правил allow, поэтому операции записи не могут быть автоматически одобрены во время планирования. Другие режимы проходят дальше.

5

Правила allow

Проверьте правила allow (из allowed_tools и settings.json). Если правило совпадает, инструмент одобрен.

6

Callback canUseTool

Если не разрешено ни одним из вышеперечисленных, вызовите ваш callback canUseTool для принятия решения. В режиме dontAsk этот шаг пропускается и инструмент отклоняется.

Диаграмма потока оценки разрешений из шести шагов, соответствующая шагам выше: запрос инструмента проходит через hooks, правила deny, правила ask, режим разрешений, правила allow и canUseTool. Hooks, правила deny и canUseTool могут маршрутизировать вниз к Blocked; обход режима разрешений, правила allow и canUseTool могут маршрутизировать вверх к Execute; правила ask маршрутизируют к canUseTool.

На этой странице основное внимание уделяется правилам allow и deny и режимам разрешений. Для других шагов:

Правила allow и deny

allowed_tools и disallowed_tools (TypeScript: allowedTools / disallowedTools) добавляют записи в списки правил allow и deny в потоке оценки выше. Правила allow влияют только на одобрение: инструмент, не указанный в allowed_tools, всё ещё доступен для Claude и переходит к режиму разрешений. Правила deny ведут себя по-разному в зависимости от того, называют ли они инструмент или определяют шаблон в пределах одного.

Опция Эффект
allowed_tools=["Read", "Grep"] Read и Grep автоматически одобрены. Инструменты, не указанные здесь, всё ещё существуют и переходят к режиму разрешений и canUseTool.
disallowed_tools=["Bash"] Определение инструмента Bash удаляется из запроса. Claude не видит инструмент и не может попытаться его использовать.
disallowed_tools=["Bash(rm *)"] Bash остаётся доступным. Вызовы, соответствующие rm *, отклоняются в каждом режиме разрешений, включая bypassPermissions. Другие вызовы Bash переходят к режиму разрешений.
disallowed_tools=["*"] Каждое определение инструмента удаляется из запроса. Глобы имён инструментов поддерживаются в правилах deny: "*" соответствует каждому инструменту и "mcp__*" соответствует каждому инструменту MCP на всех серверах.

Правила allow принимают глобы имён инструментов только после буквального префикса mcp__<server>__. Сегмент сервера должен быть свободен от глобов, чтобы правило называло конкретный сервер, который вы настроили: mcp__puppeteer__* соответствует каждому инструменту с сервера puppeteer, и mcp__github__get_* соответствует его инструментам get_. Неякорированная запись, такая как allowed_tools=["*"] или allowed_tools=["mcp__*"], игнорируется с предупреждением при запуске и не одобряет ничего автоматически.

Для заблокированного агента объедините allowedTools с permissionMode: "dontAsk". Указанные инструменты одобрены; всё остальное отклоняется полностью вместо запроса:

const options = {
  allowedTools: ["Read", "Glob", "Grep"],
  permissionMode: "dontAsk"
};

Вы также можете настроить правила allow, deny и ask декларативно в .claude/settings.json. Эти правила читаются, когда включен источник параметра project, что происходит для параметров query() по умолчанию. Если вы явно установите setting_sources (TypeScript: settingSources), включите "project", чтобы они применялись. См. Параметры разрешений для синтаксиса правил.

Режимы разрешений

Режимы разрешений обеспечивают глобальный контроль над использованием инструментов Claude. Вы можете установить режим разрешений при вызове query() или изменить его динамически во время сеансов потоковой передачи.

Доступные режимы

SDK поддерживает эти режимы разрешений:

Режим Описание Поведение инструмента
default Стандартное поведение разрешений Без автоматических одобрений; несовпадающие инструменты запускают ваш callback canUseTool
dontAsk Отклонение вместо запроса Всё, что не предварительно одобрено allowed_tools или правилами, отклоняется; canUseTool никогда не вызывается
acceptEdits Автоматическое принятие редактирования файлов Редактирование файлов и операции с файловой системой (mkdir, rm, mv и т. д.) автоматически одобрены
bypassPermissions Обход всех проверок разрешений Инструменты работают без запросов разрешений, если только явное правило ask не совпадает (используйте с осторожностью)
plan Режим планирования Claude исследует и планирует без редактирования исходных файлов; редактирование файлов никогда не одобряется автоматически и запрашивается через ваш callback canUseTool
auto (только TypeScript) Одобрения, классифицированные моделью Классификатор модели одобряет или отклоняет каждый вызов инструмента. См. Режим Auto для доступности

Установка режима разрешений

Вы можете установить режим разрешений один раз при запуске запроса или изменить его динамически во время активного сеанса.

Передайте permission_mode (Python) или permissionMode (TypeScript) при создании запроса. Этот режим применяется для всего сеанса, если не изменён динамически.

import asyncio
from claude_agent_sdk import query, ClaudeAgentOptions


async def main():
async for message in query(
prompt="Help me refactor this code",
options=ClaudeAgentOptions(
permission_mode="default",  # Установите режим здесь
),
):
if hasattr(message, "result"):
print(message.result)


asyncio.run(main())

Детали режимов

Режим принятия редактирования (`acceptEdits`)

Автоматически одобряет операции с файлами, чтобы Claude мог редактировать код без запроса. Другие инструменты (например, команды Bash, которые не являются операциями с файловой системой) по-прежнему требуют обычных разрешений.

Автоматически одобренные операции:

  • Редактирование файлов (инструменты Edit, Write)
  • Команды файловой системы: mkdir, touch, rm, rmdir, mv, cp, sed

Оба применяются только к путям внутри рабочего каталога или additionalDirectories. Пути вне этой области и записи в защищённые пути по-прежнему запрашивают разрешение.

Используйте, когда: вы доверяете редактированию Claude и хотите более быстрой итерации, например во время прототипирования или при работе в изолированном каталоге.

Режим без запроса (`dontAsk`)

Преобразует любой запрос разрешения в отклонение. Инструменты, предварительно одобренные allowed_tools, правилами allow в settings.json или hook, работают нормально. Всё остальное отклоняется без вызова canUseTool.

Используйте, когда: вы хотите фиксированную, явную поверхность инструментов для автономного агента и предпочитаете жёсткое отклонение молчаливому полаганию на отсутствие canUseTool.

Режим обхода разрешений (`bypassPermissions`)

Автоматически одобряет все использования инструментов без запросов. Hooks всё ещё выполняются и могут блокировать операции при необходимости.

Режим планирования (`plan`)

Claude исследует кодовую базу и создаёт план без редактирования исходных файлов. Инструменты только для чтения работают как в режиме по умолчанию. Редактирование файлов никогда не одобряется автоматически в режиме планирования, даже если правило allow совпадает. Вместо этого они запрашиваются через ваш callback canUseTool. Claude может использовать AskUserQuestion для уточнения требований перед завершением плана. См. Обработка утверждений и ввода пользователя для обработки этих запросов.

Используйте, когда: вы хотите, чтобы Claude предложил изменения без их выполнения, например при проверке кода или когда вам нужно одобрить изменения перед их внесением.

Для других шагов в потоке оценки разрешений: