权限模型与安全机制
默认 fail-closed:工具执行前经 规则 → Hooks → Auto 分类器 → UI,沙箱限制 bash/文件范围。
1. 权限模式
| 模式 | 行为 |
|---|---|
| 严格 / 默认 | 敏感操作需确认 |
| Auto | 分类器自动放行低风险 |
| 其他变体 | 以 settings 文档为准 |
2. 决策流
mermaid
flowchart TD
R[规则 allow/deny] --> H[Hooks]
H --> C[分类器]
C --> U[UI 确认]
U --> X[执行或拒绝]3. 权限规则
用户/项目配置:路径 glob、命令前缀、工具名。
allow list 优先于启发式;deny 绝对优先。
4. Auto 分类器
小模型或启发式判断「读 vs 写 vs 网络」风险,减少点击;误判可回退 UI(见 12 专题 8)。
5. 沙箱
Bash 解析器限制管道、重定向、敏感路径;与 worktree 隔离 配合(12 专题 13、17)。
6. 信任边界
- 项目外目录、
.env、SSH 密钥等为高敏感。 - MCP 工具继承服务器信任级别。
7. Hooks 安全
Hook 可 deny,但不应悄悄放大权限;插件 hook 需显式安装。
8. 总结
安全 = 规则配置 + 少开 Auto + 审 MCP;遇误拦查 rules 与 hooks 日志。