Sistema de Permisos

Claude Code tiene 6 modos de permisos que controlan cómo se aprueban o deniegan las llamadas a herramientas. El modo automático usa un clasificador de IA de 2 etapas llamado clasificador YOLO para decidir sin preguntar al usuario.

6 modos de permisos 2 etapas del clasificador 64 tokens: etapa 1 4096 tokens: etapa 2

Modos de permisos

default riesgo bajo

Pregunta al usuario en operaciones sensibles. Es el modo estándar para la mayoría de sesiones.

acceptEdits riesgo bajo

Aprueba automáticamente todas las operaciones de lectura/escritura/edición de archivos. Shell y red siguen pidiendo confirmación.

bypassPermissions riesgo alto

Aprueba automáticamente cada llamada a herramienta, incluidas las destructivas. Sin comprobaciones de seguridad.

dontAsk riesgo bajo

En lugar de preguntar, deniega automáticamente cualquier llamada que normalmente requeriría confirmación. Lo usa el agente Claude Code Guide.

auto riesgo medio

Un clasificador de IA decide permitir/bloquear sin preguntar. Usa un pipeline de 2 etapas. Los patrones peligrosos siempre se bloquean.

plan riesgo bajo

Modo de planificación especial con acceso restringido a herramientas. El clasificador se ejecuta si está activo, de lo contrario vuelve al modo normal.

Clasificador YOLO (modo auto)

Cuando el modo auto está activo, cada llamada a herramienta pasa por un clasificador XML de 2 etapas que decide permitir o bloquear sin involucrar al usuario.

Etapa 1: Decisión rápida 64 tokens

Máximo 64 tokens. Sí/no inmediato. Si la respuesta es claramente "permitir", pasa al instante. Sin razonamiento encadenado.

Etapa 2: Razonamiento profundo 4096 tokens

Solo se ejecuta si la Etapa 1 bloquea. Hasta 4096 tokens de razonamiento en cadena antes de emitir veredicto.

Salida: <block>no</block>

La llamada se permite. No se muestra nada al usuario.

Salida: <block>yes</block><reason>...</reason>

La llamada se bloquea. Se muestra una razón de una frase. Claude recibe un incremento de conteo de denegaciones.

Fallback: modo interactivo

Si el umbral de denegaciones se supera (demasiados bloqueos consecutivos), el modo auto vuelve a preguntar al usuario. Se resetea con cualquier uso exitoso.

Patrones bloqueados en modo auto

Estos patrones de comandos se clasifican como de alto riesgo y son bloqueados por el clasificador YOLO en modo auto. Debes aprobarlos manualmente.

Intérpretes

pythonnodedenorubyperlphplua

Ejecutores de paquetes

npxbunxnpm runyarn runbun run

Shells

bashshssh

Eval / exec

evalexecsudo

Red

curlwget

CLIs de cloud

kubectlawsgcloudgsutil

Git

git (riesgo de hooks)

GitHub

ghgh api

Cómo se decide una llamada a herramienta

¿La herramienta coincide con reglas de allow?

Se permite inmediatamente

¿La herramienta coincide con reglas de deny?

Se deniega inmediatamente

Método checkPermissions() de la herramienta

Cada herramienta puede devolver allow / ask / deny directamente.

Manejo por modo

bypassPermissions: permite todo. dontAsk: convierte ask en deny. auto: ejecuta clasificador. acceptEdits: fast-path para operaciones seguras.

Fallback: prompt interactivo

Preguntar al usuario si no coincidió ninguna regla y el modo lo permite.

× bypassPermissions omite todo

En modo bypassPermissions no hay comprobaciones de seguridad: sin clasificador, sin reglas de deny, sin prompts interactivos. Cada llamada a herramienta se aprueba automáticamente, incluidas las operaciones destructivas. Usa este modo solo en entornos aislados y de confianza total.