README

安全是 Claude Code 的核心设计原则之一。本章介绍权限系统和安全机制。

安全挑战

AI 编程助手面临的安全风险：

1. 恶意命令 - AI 可能被诱导执行危险命令

2. 数据泄露 - 敏感信息可能被发送到 API

3. 文件破坏 - 错误的编辑可能破坏代码

4. 权限提升 - 不当的权限控制

三层权限模型

┌─────────────────────────────────────┐
│      规则层 (Rules Layer)           │
│   硬编码的安全规则，不可绕过         │
└──────────────┬──────────────────────┘
               ↓
┌──────────────▼──────────────────────┐
│      模式层 (Mode Layer)            │
│   用户配置的权限模式                │
│   auto / manual / supervised        │
└──────────────┬──────────────────────┘
               ↓
┌──────────────▼──────────────────────┐
│      工具层 (Tool Layer)            │
│   工具级别的权限检查                │
└──────────────┬──────────────────────┘
               ↓
┌──────────────▼──────────────────────┐
│      分类器 (Classifier)            │
│   AI 辅助的智能审批                 │
└─────────────────────────────────────┘

章节内容

• 权限模式 - Auto/Manual/Supervised 模式

• Bash 权限检查 - 2600+ 行的命令权限规则

• 沙箱执行 - 隔离执行环境

• 分类器自动审批 - AI 辅助的权限决策

权限模式

Auto 模式

AI 自主执行，但受规则限制：

• 只读操作：自动批准

• 写操作：分类器审批

• 危险操作：拒绝

Manual 模式

Supervised 模式

安全规则

硬编码规则

const SECURITY_RULES = {
  // 禁止的命令
  forbidden: [
    /rm\s+-rf\s+\//,      // 删除根目录
    /sudo\s+/,            // 提权
    /chmod\s+777/,        // 危险权限
  ],
  
  // 禁止的文件操作
  protectedPaths: [
    '/etc/',
    '/sys/',
    '/proc/',
    '~/.ssh/',
  ],
  
  // 禁止的网络操作
  blockedHosts: [
    'localhost:22',       // SSH
    '169.254.169.254',    // AWS metadata
  ],
};

运行时检查

function checkSecurityRules(
  tool: string,
  input: any
): SecurityCheckResult {
  // 检查命令
  if (tool === 'executePwsh') {
    for (const pattern of SECURITY_RULES.forbidden) {
      if (pattern.test(input.command)) {
        return {
          allowed: false,
          reason: 'Forbidden command pattern',
        };
      }
    }
  }
  
  // 检查文件路径
  if (tool === 'fsWrite' || tool === 'deleteFile') {
    for (const protected of SECURITY_RULES.protectedPaths) {
      if (input.path.startsWith(protected)) {
        return {
          allowed: false,
          reason: 'Protected path',
        };
      }
    }
  }
  
  return { allowed: true };
}

数据保护

PII 过滤

function filterPII(content: string): string {
  return content
    .replace(/\b\d{3}-\d{2}-\d{4}\b/g, '[SSN]')
    .replace(/\b[\w.-]+@[\w.-]+\.\w+\b/g, '[EMAIL]')
    .replace(/\b\d{16}\b/g, '[CREDIT_CARD]')
    .replace(/sk-[a-zA-Z0-9]{48}/g, '[API_KEY]');
}

敏感文件检测

const SENSITIVE_FILES = [
  '.env',
  '.env.local',
  'secrets.json',
  'credentials.json',
  '.aws/credentials',
];

function isSensitiveFile(path: string): boolean {
  return SENSITIVE_FILES.some(pattern =>
    path.includes(pattern)
  );
}

审计日志

记录所有操作

function logOperation(
  tool: string,
  input: any,
  result: ToolResult
): void {
  const log = {
    timestamp: Date.now(),
    tool: tool,
    input: sanitizeInput(input),
    success: result.success,
    user: context.user,
  };
  
  auditLog.append(log);
}

下一步

• 深入 Bash 权限检查 的实现

• 了解 沙箱执行 的隔离机制

• 探索 分类器 的智能审批