🛡️ 6 Chế Độ Quyền Hạn Claude Code: Từ "Hỏi Từng Bước" Đến "AI Tự Quyết Định"
Bạn đang dùng Claude Code mà cứ phải bấm "Yes" liên tục cho mọi thao tác? Hoặc ngược lại, bạn muốn để AI tự chạy nhưng sợ nó làm hỏng gì đó? Anthropic đã thiết kế hẳn một hệ thống phân quyền đa tầng để giải quyết đúng vấn đề này.
🎛️ 6 Chế Độ Quyền Hạn
Claude Code có 6 chế độ permission khác nhau, mỗi chế độ phù hợp với một kiểu công việc riêng. Default là chế độ mặc định, Claude hỏi bạn trước mỗi thao tác chỉnh sửa file hay chạy lệnh. AcceptEdits tự động duyệt chỉnh sửa file nhưng vẫn hỏi khi chạy lệnh Bash. Plan Mode chỉ cho Claude đọc code, phân tích và lên kế hoạch mà không được sửa bất kỳ thứ gì. Auto Mode là chế độ mới nhất, một AI classifier chạy ngầm để kiểm tra từng hành động có an toàn không, thay vì hỏi bạn. DontAsk chặn mọi tool trừ những gì bạn đã allow trước đó, phù hợp cho CI/CD. Cuối cùng, BypassPermissions bỏ qua mọi kiểm tra, chỉ nên dùng trong container hoặc VM cách ly.
🔐 Allow, Ask, Deny: Luật Chơi Rõ Ràng
Hệ thống permission hoạt động theo thứ tự ưu tiên: Deny luôn thắng, rồi đến Ask, cuối cùng mới đến Allow. Bạn có thể cấu hình chi tiết đến từng lệnh Bash cụ thể bằng wildcard pattern. Ví dụ cho phép **npm run *** nhưng chặn **git push ***. Với file, luật theo chuẩn gitignore, hỗ trợ đường dẫn tuyệt đối, tương đối, và home directory. Với web, bạn kiểm soát theo domain. Với MCP tools, bạn allow hoặc deny từng server hoặc từng tool cụ thể.
🤖 Auto Mode: AI Classifier Thay Bạn Quyết Định
Đây là tính năng đáng chú ý nhất. Khi bật Auto Mode, một model Claude Sonnet 4.6 chạy riêng biệt sẽ đánh giá từng hành động trước khi thực thi. Classifier này không bao giờ nhìn thấy nội dung file hay kết quả tool, nên prompt injection không thể thao túng nó. Mặc định, classifier chặn các hành động nguy hiểm như curl | bash, push lên production, xóa dữ liệu hàng loạt, hay gửi dữ liệu nhạy cảm ra ngoài. Nếu classifier chặn sai 3 lần liên tiếp hoặc 20 lần trong một phiên, Auto Mode tự động tắt và quay về hỏi thủ công.
📦 Sandbox: Cách Ly Cấp Hệ Điều Hành
Ngoài permission, Claude Code còn có sandbox cung cấp cách ly ở tầng OS. Trên macOS dùng Seatbelt, trên Linux dùng bubblewrap. Sandbox kiểm soát cả filesystem (giới hạn thư mục ghi) lẫn network (chỉ cho truy cập domain được duyệt). Khi bật sandbox với autoAllowBashIfSandboxed, lệnh Bash chạy trong sandbox sẽ tự động được duyệt mà không cần hỏi. Hai lớp bảo vệ này kết hợp tạo thành chiến lược defense-in-depth, permission chặn ở tầng quyết định, sandbox chặn ở tầng thực thi.
🏢 Managed Settings Cho Doanh Nghiệp
Admin có thể triển khai managed settings không ai ghi đè được, bao gồm chặn bypassPermissions mode, chỉ cho phép MCP server đã duyệt, khóa permission rules, và giới hạn domain network. Cấu hình phân cấp theo thứ tự: Managed > CLI args > Local project > Shared project > User settings. Nếu một tool bị deny ở bất kỳ tầng nào, không tầng nào khác có thể allow lại.
Bạn đang dùng chế độ nào trong Claude Code? Comment chia sẻ nhé!
#learnontiktok #ClaudeCode #AIpermissions #security #developer
