危险权限治理与 sandbox 实践

危险权限治理与 sandbox 实践

基础概念

CLI Agent 跑在终端里，比 IDE 插件、网页版多了一项致命的能力——它可以直接拿到 shell。Claude Code 跑 Bash、Codex CLI 跑 shell、Gemini CLI 跑 run_shell_command，本质上都是把模型生成的命令塞进你电脑的进程树里执行。一旦你为了"少敲几下回车"而把权限放开到底，Agent 就有能力 rm -rf 你的家目录、把 .env 里的 token 发到外网、把 SSH 私钥写进一段它觉得"很合理"的 commit。这就是 "危险权限" 这个词在 CLI Agent 语境下真正的含义。

具体来说，"危险权限"通常指三类被默认询问、可以一键绕过的能力：

1. 任意 shell 命令 — Bash / shell 工具本身
2. 任意写入 — Write / Edit 对文件系统的修改，尤其是 repo 之外的路径
3. 任意网络出站 — WebFetch / curl / wget 把数据传到外部域名

CLI Agent 默认会在执行这些动作前弹窗征求人类同意，这是为了挡住两条最高频的攻击路径：模型自己的判断失误（"我以为这个文件没用"）和 prompt injection（一段 README 里的恶意指令骗 Agent 把 ~/.aws/credentials 上传出去）。把权限"绕过"的代价，就是把这两条防线一起拆掉。

绕过的代价不是抽象的。2025 年 10 月，开发者 Mike Wolak 跑 Claude Code 时开了 --dangerously-skip-permissions，Agent 在一次"清理临时文件"中执行了从 / 开始的 rm -rf，日志里几千行 Permission denied: /bin /boot /etc，最终把这台机器上所有用户可写文件全部清空。还有一类更隐蔽的事故：2026 年 Johns Hopkins 的研究者用一段 prompt injection 同时劫持了 Claude Code Security Review、Gemini CLI Action、GitHub Copilot 三个跑在 GitHub Actions 里的 Agent，让它们把仓库 secret 发给了攻击者控制的服务。这两类事故的共同点都是"权限太大 + 沙箱太薄"。

治理纵深防御层级

危险权限治理不是一个开关，而是一组叠加的层。下图是当前业界（参考 Anthropic 官方 devcontainer、trailofbits 的 sandbox 模板、NVIDIA 的 Agentic Workflow 安全指南）收敛出来的纵深防御模型：

每一层都不是万能的。L4 hooks 拦不住"hooks 配置文件本身被改"；L2 容器拦不住"挂载进来的 .env 被读出去再 POST 出去"；L1 隔离拦不住"开发者自己把生产 token 拷到沙箱机器上"。真正的安全来自这些层之间的冗余——某一层失守时，下一层还兜得住。

核心要素

基础用法

下面四段是最常用的配置实操，按 "团队 settings → 容器隔离 → CI 场景 → hook 拦截" 的顺序逐层加固。

1. 团队级 settings.json 模板

把 settings.json 提交进仓库（路径 .claude/settings.json），让每个团队成员一启动 Claude Code 就拿到一致的安全基线。这一份模板覆盖了 95% 团队的实际需要：

{
  "permissions": {
    "defaultMode": "default",
    "allow": [
      "Read",
      "Edit(./src/**)",
      "Edit(./tests/**)",
      "Bash(npm run test:*)",
      "Bash(npm run lint:*)",
      "Bash(git status)",
      "Bash(git diff:*)",
      "Bash(git log:*)"
    ],
    "deny": [
      "Bash(rm -rf:*)",
      "Bash(sudo:*)",
      "Bash(curl:*)",
      "Bash(wget:*)",
      "Bash(chmod 777:*)",
      "Bash(git push --force:*)",
      "Edit(./.env*)",
      "Edit(./**/credentials*)",
      "Edit(/etc/**)",
      "Edit(~/.ssh/**)",
      "WebFetch"
    ]
  },
  "hooks": {
    "PreToolUse": [
      { "matcher": "Bash", "hooks": [{ "type": "command", "command": ".claude/hooks/bash-guard.sh" }] }
    ]
  }
}

要点：

• defaultMode 不要写成 bypassPermissions，团队基线必须是"默认要问"。
• allow 用细粒度的工具+参数模式，比起整段 Bash 放开靠谱得多。
• deny 列表要把"破坏性 + 提权 + 外传"三类常见动作堵死，注意 :* 是 Claude Code 的通配语法。
• 拦截脚本走 hooks，可以做更复杂的判断（见后文）。

2. devcontainer 容器隔离

Anthropic 官方推荐的隔离方式是 Development Containers，可以一行 feature 引入。下面这份 .devcontainer/devcontainer.json 是 Anthropic 官方模板的精简版，重点在 firewall 白名单 + 非 root 用户：

{
  "name": "claude-code-sandbox",
  "image": "mcr.microsoft.com/devcontainers/typescript-node:20",
  "features": {
    "ghcr.io/anthropics/devcontainer-features/claude-code:1": {}
  },
  "remoteUser": "node",
  "mounts": [
    "source=${localWorkspaceFolder},target=/workspace,type=bind"
  ],
  "runArgs": [
    "--cap-add=NET_ADMIN",
    "--cap-add=NET_RAW"
  ],
  "postCreateCommand": "sudo /usr/local/bin/init-firewall.sh",
  "containerEnv": {
    "ANTHROPIC_API_KEY": "${localEnv:ANTHROPIC_API_KEY}"
  }
}

init-firewall.sh 默认拒绝所有出站，再放行 npm registry、GitHub API、Anthropic API 等少数白名单域名。这样即便 Agent 在容器里被 prompt injection 控制，也无法把数据 POST 到攻击者的服务器。容器跑 --dangerously-skip-permissions 的代价被显著降低——但请记住官方明确写过的一句话：容器不能阻止 Agent 把容器内能看到的 Claude Code 凭证、.env 文件外传。所以即便在容器里，secret 也不该裸挂进去。

GitHub Codespaces 直接吃这份 devcontainer 配置；Cursor、VS Code 也都内置 devcontainer 支持，团队基线只用维护一份。

3. CI 场景：GitHub Actions runner

CI 是危险权限的高发地：因为 CI 没有人盯着，开发者倾向于直接开 --dangerously-skip-permissions。下面是一份"在 PR 上跑 Claude Code 自动 review"的最小安全模板：

name: claude-review
on:
  pull_request:
    types: [opened, synchronize]
permissions:
  contents: read
  pull-requests: write
jobs:
  review:
    runs-on: ubuntu-latest
    timeout-minutes: 10
    steps:
      - uses: actions/checkout@v4
        with:
          persist-credentials: false
      - name: run claude code in sandboxed mode
        env:
          ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
        run: |
          # 不开 dangerously-skip-permissions，依赖 settings.json 里的 allow 名单
          npx -y @anthropic-ai/claude-code \
            --settings .claude/ci-settings.json \
            --print "review the diff and post review comments" \
            --output-format stream-json

关键安全点：

• permissions: 用最小化的 GITHUB_TOKEN scope，不要默认 write-all。
• persist-credentials: false 防止 GITHUB_TOKEN 被写进 .git/config 后被 Agent 读到。
• timeout-minutes 兜底防 Agent 死循环跑爆 minute。
• 不要在 CI 里写 --dangerously-skip-permissions：CI 的"无人值守"恰恰是最不该绕过权限的场景。
• secret 只通过 env 传入，不要落盘。

4. PreToolUse hook 拦截脚本

settings.json 的 deny 名单是字符串匹配，覆盖不了"bash -c 'r''m -rf /'"这种变形。真正可靠的兜底是 hook 脚本——它在 Agent 想跑命令、命令真的下到 shell 之前那一瞬间执行，可以做完整的 AST/正则判断。下面是一份 .claude/hooks/bash-guard.sh 示例：

#!/usr/bin/env bash
# PreToolUse hook：在 Bash 工具真正执行前拦截高危命令。
# Claude Code 会把工具调用的 JSON 通过 stdin 传进来。
set -euo pipefail

input="$(cat)"
cmd="$(printf '%s' "$input" | jq -r '.tool_input.command // empty')"

# 高危命令模式（按需扩充，建议团队共维一份）
deny_patterns=(
  'rm[[:space:]]+(-[a-zA-Z]*r[a-zA-Z]*[[:space:]]|--recursive)'
  'sudo[[:space:]]'
  'chmod[[:space:]]+777'
  'curl[[:space:]].*\|[[:space:]]*(sh|bash|zsh)'
  'wget[[:space:]].*\|[[:space:]]*(sh|bash|zsh)'
  'git[[:space:]]+push[[:space:]].*--force'
  ':\(\)\{[[:space:]]*:\|:&[[:space:]]*\};:'   # fork bomb
  '/dev/(sda|nvme|tcp)'
  '\.ssh/(id_|authorized_)'
  '\.aws/credentials'
)

for pat in "${deny_patterns[@]}"; do
  if [[ "$cmd" =~ $pat ]]; then
    # exit 2 是 Claude Code 约定的"阻断"信号：阻止此次 tool 调用，并把 stderr 反馈给模型
    echo "blocked by bash-guard: matches /$pat/" >&2
    exit 2
  fi
done

exit 0

退出码语义来自 Claude Code hooks reference：exit 2 是阻断信号，Agent 会拿到 stderr 内容并知道"刚才那条命令被拦了，请换一个思路"。这一层兜底的好处是模型再怎么被 prompt injection 也绕不过——hook 是 shell 进程，不是 prompt，无法被劝说。

同类工具对比

四款主流 CLI Agent 在权限/沙箱设计上有显著差异，理解差异有助于团队按工具特性配规范。

核心区别：Codex CLI 的设计哲学是"沙箱在前，权限在后"——即便开了 --full-auto，还是被 OS 级 sandbox 兜底，所以实际事故率最低；Claude Code 走的是"协议在前，沙箱在外"——内置 hooks/permissions 协议非常完备，但 OS 级隔离要靠用户自己加 devcontainer；Gemini CLI 则在 yolo 模式上做了一个有意思的克制——yolo 不能写进 settings.json 的默认值，必须每次显式 --yolo，意在用"麻烦"对抗"惯性"。

常见误区

优劣势分析

思考题

参考资料

1. Claude Code 官方权限模式文档：https://code.claude.com/docs/en/permission-modes（查询日期 2026-04-22）
2. Claude Code 官方 devcontainer 文档：https://code.claude.com/docs/en/devcontainer（查询日期 2026-04-22）
3. Claude Code Hooks 完整参考：https://code.claude.com/docs/en/hooks（查询日期 2026-04-22）
4. Anthropic 官方公告："auto mode: a safer way to skip permissions"（2026-03-24）：https://www.anthropic.com/engineering/claude-code-auto-mode
5. Trail of Bits 安全沙箱模板：https://github.com/trailofbits/claude-code-devcontainer
6. NVIDIA：Practical Security Guidance for Sandboxing Agentic Workflows：https://developer.nvidia.com/blog/practical-security-guidance-for-sandboxing-agentic-workflows-and-managing-execution-risk/
7. VentureBeat：Three AI coding agents leaked secrets through a single prompt injection（Johns Hopkins 研究复盘，2026）：https://venturebeat.com/security/ai-agent-runtime-security-system-card-audit-comment-and-control-2026
8. Help Net Security：29 million leaked secrets in 2025（GitGuardian 报告）：https://www.helpnetsecurity.com/2026/04/14/gitguardian-ai-agents-credentials-leak/
9. Codex CLI 沙箱机制说明：https://developers.openai.com/codex/cli（查询日期 2026-04-22）
10. Gemini CLI Sandboxing 文档：https://geminicli.com/docs/cli/sandbox/（查询日期 2026-04-22）
11. ksred 博客：Claude Code --dangerously-skip-permissions 安全使用指南：https://www.ksred.com/claude-code-dangerously-skip-permissions-when-to-use-it-and-when-you-absolutely-shouldnt/
12. SES 博客：AI Agents Deleting Home Folders? Run Your Agent in Firejail：https://softwareengineeringstandard.com/2025/12/15/ai-agents-firejail-sandbox/