🔓 Ba Thời Đại Kiểm Soát Quyền Trong Claude Code: Từ --dangerously-skip-permissions Đến Auto Mode AI Classifier

🔓 Câu Hỏi Trung Tâm: Cho Phép Claude Đến Đâu?

Khi Anthropic ra mắt Claude Code, câu hỏi trung tâm không phải là Claude có thể làm gì — mà là nên cho phép nó làm đến đâu. Mỗi file Claude chạm vào, mỗi lệnh shell nó gọi, mỗi network request nó gửi đi đều có thể là một điểm thất bại.

Nhưng cũng chính những approval prompt liên tục đó — 100 lần mỗi giờ theo ước tính của cộng đồng — đã tạo ra "permission noise": người dùng bấm chấp thuận mà không đọc, tạo ra ảo giác an toàn còn nguy hiểm hơn không có gì.

Ba năm. Ba triết lý. Mỗi cách tiếp cận ra đời như phản ứng với giới hạn của cách trước — và mỗi cái để lại dấu vết riêng trong cách developer nghĩ về AI autonomy.

🔴 Thế Hệ 1 (2024) — Thời Đại Hoang Dã

Flag: --dangerously-skip-permissions

Flag này xuất hiện như một escape hatch được đặt tên cẩn thận — chữ "dangerously" là tên, không phải cảnh báo trang trí. Anthropic buộc người dùng phải gõ đủ 28 ký tự, không có alias ngắn, để đảm bảo đây là quyết định có chủ ý.

Cơ chế đơn giản đến thô: tắt toàn bộ permission check. Mọi file edit, bash command, network call đều auto-approve. Không classifier, không circuit breaker.

Hệ quả nổi tiếng nhất — tháng 12/2025, một người dùng yêu cầu Claude dọn dẹp repo cũ. Claude chạy:

rm -rf tests/ patches/ plan/ ~/

Dấu ~/ cuối cùng mở rộng thành toàn bộ home directory.

Phán xét:

• Tự động: Cao nhất — không hỏi gì.
• An toàn: Không có.
• Predictable: Hoàn toàn (theo nghĩa đoán được hậu quả).

"Thời điểm cộng đồng tìm ra cách để Claude làm việc thực sự — nhưng cũng tìm ra cách nó có thể phá hủy mọi thứ."

🟡 Thế Hệ 2 (2025) — Thời Đại Kiểm Soát Thủ Công

Flag: --allowedTools "Bash,Read,Write,Edit"

Phản ứng với thế hệ 1 không phải là bỏ autonomy, mà là định nghĩa lại phạm vi của nó. Thay vì tắt tất cả check, bạn khai báo danh sách trắng — chỉ những tool trong list mới được gọi.

Đây là least privilege principle áp dụng vào AI: cho Claude đúng những gì nó cần, không hơn không kém. Bash trong list? Được chạy. Network tool không trong list? Bị reject ngay lập tức.

Điểm mạnh: predictability tuyệt đối — hành vi hoàn toàn xác định trước, dễ audit, không có yếu tố bí ẩn.

Điểm yếu: nếu Claude cần một tool ngoài danh sách, session dừng lại và không tự recover được. Bash vẫn có thể gây hại nếu không kết hợp --disallowedTools để giới hạn bên trong.

Phán xét:

• Tự động: Trung bình — trong phạm vi list.
• An toàn: Kiểm soát được.
• Predictable: Hoàn toàn.

"Whitelist là triết lý bảo mật cổ điển nhất: nếu không được liệt kê, không được phép. Đơn giản. Minh bạch. Kiểm toán được."

🟢 Thế Hệ 3 (Mar 2026) — Thời Đại AI Tự Giám Sát

Flag: --enable-auto-mode

Ra mắt 24/3/2026, auto mode không phải là flag theo nghĩa truyền thống — nó là một kiến trúc hoàn toàn mới. Flag mở khóa để mode xuất hiện trong vòng xoay Shift+Tab