权限、审批与沙箱
安全不是每一步都弹窗,而是让低风险动作顺畅、高风险动作清晰且可控。
- 能建立动作风险矩阵
- 能设计低疲劳审批体验
- 能为权限拒绝设计替代路径
为什么审批越多,用户反而可能越不安全?
安全不等于每一步都问用户。无差别弹窗会产生确认疲劳,最终让真正危险的动作淹没在常规批准中。系统应根据数据敏感度、资源范围、可逆性、外部影响和用户意图置信度分层。
审批只是其中一层。沙箱限制 Agent 可以访问的文件、网络、进程和凭证;最小权限限制当前任务可用的资源;工具边界控制副作用;审计记录动作。即使模型判断错误,硬边界仍应阻止危险结果。
先记住这句话频繁无差别审批会形成确认疲劳。更好的系统根据资源范围、动作可逆性、外部影响和用户授权形成策略,在真正关键的节点提供具体、可理解的选择。

从 Capability Request 到执行
Agent 请求动作时应同时说明对象、范围、原因和预期影响。策略可以自动允许只读低风险动作,要求用户批准外部写入,默认拒绝敏感凭证和不必要网络访问。
审批卡需要回答将发生什么、作用多少对象、是否可撤销、授权持续多久。用户可以允许一次、本次任务或明确范围,而不是只能全开或全关。
拒绝也是正式产品状态
用户拒绝发布,不代表前面的分析全部作废。Agent 可以保留草稿、证据与操作清单,并停止再次请求相同权限。
恢复路径要在需求阶段设计。没有替代交付的审批,会把每次拒绝都变成任务崩溃。
Auto Mode 不是“跳过权限”的新名字
Claude Code 的 Auto Mode 会在工具执行前使用分类器判断风险:被判为安全的动作继续,风险动作被阻止或最终回到用户确认;而跳过权限会绕开这道检查。两者不能在产品文案里都写成“自动执行”。
Anthropic 同时明确说明分类器可能放过危险动作,也可能误拦正常动作,因此仍建议在隔离环境运行。产品设计要把分类器当作纵深防御的一层,并继续保留沙箱、最小权限、凭证隔离、审计和停止能力。
安全策略从 Capability Request 开始:系统根据资源范围、数据敏感度、可逆性、外部影响和用户意图置信度评分,再决定自动允许、需要批准或默认拒绝。
提出具体动作、资源范围和原因
结合动作风险、scope 与当前授权决策
必要时展示影响、可撤销性和替代方案
在隔离边界执行并记录审计与回滚信息
有术语没听懂?在这里用人话再看一遍6 个词+
- 最小权限
- 默认只给完成当前任务所需的最小资源与动作范围。
- 沙箱
- 用技术边界隔离文件、网络、进程、设备或凭证访问。
- Capability Request
- Agent 对某项具体能力、资源范围和执行理由的结构化请求。
- 确认疲劳
- 频繁低信号弹窗使用户形成无脑批准习惯,反而降低安全性。
- 可逆性
- 动作造成的变化是否能低成本、完整地撤销。
- 风险分类器
- 在动作执行前估计其破坏性并允许、阻止或升级审批的模型或规则组件;它不是安全证明。
Coding Agent 的分层授权
读仓库和跑单测可自动;安装依赖需批准;读取 .env 默认拒绝;推送分支与创建 PR 明确审批。
- 01
策略按目录、命令和外部影响授权
- 02
审批卡明确将发生什么和作用范围
- 03
拒绝推送后 Agent 仍交付本地 Diff 与命令
低风险工作顺畅,高风险节点明确,拒绝不会让已有成果丢失。
本章依据与证据边界4 条结论 · 10 份原始材料+
正文已经把关键来源放在相关概念旁边。这里保留完整核验清单:每条材料能支持什么、不能支持什么;不要求离开本站才能继续学习。
- [1]
OpenAI 公开描述了 Codex 在内部使用中的沙箱与安全运行实践;这是 Codex 案例而非唯一行业实现。
官方事实OPRunning Codex safely at OpenAI官方工程文章 · 核验 2026-07-14 - [2]
Anthropic 的可信 Agent 研究强调自主性必须配合监控、控制和现实部署中的安全边界。
官方事实ANTrustworthy agents in practice官方研究 · 核验 2026-07-14 - [3]
Anthropic 将 Auto Mode 描述为相对跳过权限风险更低的中间路径,同时明确分类器会误放行或误阻止,仍建议隔离环境。
官方事实CLAuto mode for Claude Code官方工程文章 · 核验 2026-07-14 - [4]
本站五维风险评分和三档授权是教学框架;具体权限模式与边界应以产品现行文档为准。
本站推演ANChoose a permission mode官方文档 · 核验 2026-07-14
查看全部一手材料与源码证据 10 条
这份文档说明 Claude Code 如何以 allow、ask、deny 规则和不同 Permission Mode 控制工具、命令、路径与外部访问,并明确 deny 优先于 ask 和 allow。它也说明权限由客户端执行而不是依赖模型遵守,以及权限、Hook、工作目录与 Sandbox 如何组合形成纵深防御。
官方产品实现 · 核验 2026-07-11SandboxingAnthropic这份文档界定了 Claude Code Sandbox 对 Bash 命令及其子进程施加的文件系统和网络边界,并区分自动允许与常规审批模式。它同时明确 Read、Edit、Write 等内置文件工具仍由权限系统控制,Sandbox 不是覆盖所有工具和桌面操作的通用隔离层。
官方产品实现 · 核验 2026-07-11Automate actions with hooksAnthropic这份指南以格式化、阻断危险命令、权限处理、通知和上下文注入等例子说明 Hook 适合确定生命周期事件上的自动化。它支持产品经理把必须执行的治理规则从概率性 Prompt 中移出,并理解多个匹配 Hook 并行执行时的合并与副作用风险。
官方产品实现 · 核验 2026-07-11Hooks referenceAnthropic这份参考文档定义 Session、Prompt、Tool、Permission、Subagent、Compaction 等 Hook 事件及其输入输出协议。它还区分 command、HTTP、MCP tool、prompt 与 agent handler,并说明异步 Hook、阻断决策、超时和 Subagent Hook 的具体限制。
官方产品实现 · 核验 2026-07-11Running Codex safely at OpenAIOpenAI这份材料展示 OpenAI 在真实内部工作流中如何组合 Sandbox、Approval、网络策略、身份凭证、规则和管理员强制配置。它也说明 Agent 原生遥测如何记录用户意图、审批、工具、MCP 与网络决策,让安全团队能够审计发生了什么以及为什么发生。
官方产品实现 · 核验 2026-07-14Auto mode for Claude CodeClaude by Anthropic官方说明 Auto Mode 会在工具调用前用分类器评估潜在破坏性动作,风险低于完全跳过权限,同时承认仍可能误放行危险动作或误拦截正常动作。
证据边界:分类器存在不等于风险被消除,也不替代隔离环境和最小权限。协议规范 · 核验 2026-07-14Model Context Protocol AuthorizationModel Context Protocol现行规范定义 HTTP MCP 的 OAuth 2.1 角色、Protected Resource Metadata、Resource Indicators、scope、token audience、PKCE 和授权错误处理。
证据边界:协议兼容不自动等于某个 Server 安全、可信或符合业务授权。协议规范 · 核验 2026-07-14MCP Security Best PracticesModel Context Protocol官方安全指南覆盖 confused deputy、token passthrough、SSRF、session hijacking、最小 scope、用户同意和本地 Server 信任。
证据边界:遵循清单不能消除 Prompt Injection、实现漏洞或第三方供应链风险。独立研究结论 · 核验 2026-07-14InjecAgent: Benchmarking Indirect Prompt Injections in Tool-Integrated LLM AgentsACL Anthology该同行评审 benchmark 用 1,054 个测试覆盖工具型 Agent 的间接 Prompt Injection、用户伤害和私有数据外泄。
证据边界:单一 benchmark 的攻击成功率不能直接代表当前某款产品的线上风险。一线课程案例 · 核验 2026-07-14Free Claude Code CourseFrontend Masters课程由 Claude Code 团队成员 Lydia Hallie 授课,覆盖 CLAUDE.md、权限、Skills、Hooks、Subagents、Plugins、MCP 和 Desktop 的操作语境。
证据边界:讲师身份与演示成功不等于 Anthropic 官方产品合同或普遍架构结论。