Claude Code --dangerously-skip-permissions Explicado: Riscos, Casos de Uso e Alternativas Mais Seguras

Introdução

O Claude Code pede permissão antes de tocar em qualquer coisa. Escrever um arquivo? Ele para e espera. Comando shell? Para novamente. Chamada de rede? A mesma coisa. Esses avisos de confirmação são intencionais — são o mecanismo que impede um agente de codificação autônomo de causar danos irreversíveis enquanto você não está olhando.

A flag --dangerously-skip-permissions elimina esse ciclo. Completamente. A Anthropic não escolheu esse nome para assustar as pessoas — eles o escolheram porque é exatamente o que acontece. As consequências de executá-lo descuidadamente? Elas estão bem documentadas agora.

Aqui está um caso que chamou muita atenção. Em dezembro de 2025, um usuário pediu ao Claude Code para limpar pacotes em um repositório antigo. Claude gerou rm -rf tests/ patches/ plan/ ~/. Vê aquele ~/" no final? O shell o expandiu para todo o diretório inicial do usuário. Arquivos da área de trabalho, senhas do Keychain, dados de aplicativos — tudo, sumiu. Simon Willison sinalizou isso no X. A postagem alcançou 197 pontos no Hacker News com mais de 156 comentários.

O que as permissões do Claude Code realmente governam? Por que a flag de bypass existe? Quando é realmente seguro usá-la? Abordamos todos os três.

O que é o Sistema de Permissões do Claude Code?

O Claude Code funciona com uma arquitetura baseada em permissões. Cada ação consequente que o agente realiza é apresentada para revisão. Por padrão, o Claude Code não permitirá a modificação do estado sem sua aprovação explícita. As ações se dividem em três níveis.

Operações de Leitura: Nenhuma Confirmação Necessária

Leitura de arquivos, listagem de diretórios, buscas em bases de código e navegação de código se enquadram aqui. Nada neste nível altera o estado. O Claude Code executa estas operações por conta própria, sem necessidade de aviso. A Anthropic mantém uma lista de permissões fixa de ferramentas seguras por padrão — busca de texto, busca por padrão de arquivo e utilitários de navegação de código se qualificam.

Operações de Escrita e Execução: Necessitam de Confirmação Explícita

Cada uma dessas operações para e espera pela sua "aprovação":

• Escrita de arquivos, criação de diretórios e modificações de código
• Comandos de shell e execução de scripts
• Instalações de pacotes
• Chamadas de API externas e Ferramenta MCP invocações

Uma refatoração de 10 arquivos gera mais de 30 prompts. A maioria dos desenvolvedores acaba carimbando-os sem ler um único.

Esse hábito de carimbar é um tipo de falha em si. É exatamente por isso que a flag de bypass existe.

Operações Sensíveis: Exigem Confirmação Adicional

Qualquer coisa que toque nessas áreas é sinalizada para análise mais rigorosa:

• Credenciais e variáveis de ambiente
• Segredos e chaves de API
• Ações irreversíveis como enviar para repositórios remotos ou excluir dados

As verificações de segurança integradas do Claude Code não prosseguirão sem reconhecimento explícito.

Por que tudo isso existe? Porque o Claude Code é um agente autônomo com amplo acesso ao sistema. Remova a camada de permissão e uma única instrução mal interpretada — ou pior, uma injeção de prompt maliciosa — pode causar danos irreversíveis. Sem ponto de verificação, sem recuperação. O guia de segurança empresarial para o Claude aprofunda-se em como as organizações devem abordar a governança em torno disso.

O Que --dangerously-skip-permissions Realmente Faz?

A flag --dangerously-skip-permissions é um argumento de CLI. Ela desativa a etapa de confirmação para cada operação de escrita e execução. Escritas de arquivos, comandos de shell, chamadas de rede, execuções de ferramentas — o Claude Code executa todas elas sem esperar pela sua aprovação.

A flag de CLI ativa o que a Anthropic chama de "modo bypassPermissions". Você também pode habilitar o mesmo modo através das configurações com --permission-mode bypassPermissions ou definindo "defaultMode": "bypassPermissions" em settings.json. 

O comportamento é funcionalmente equivalente — mas uma ressalva importante se aplica a ambos: desde a v2.1.78, as escritas em diretórios protegidos (.git/, .claude/, .vscode/, .husky/) ainda acionam um prompt mesmo com o bypass ativo. As exceções são .claude/commands, .claude/agents e .claude/skills, onde o Claude cria conteúdo rotineiramente. Não existe um alias curto. Não há atalho -y. Você digita a flag completa todas as vezes, e a Anthropic fez isso de propósito.

O que a flag remove especificamente:

• Diálogos de confirmação por ação para escritas e exclusões no sistema de arquivos
• Solicitações de confirmação antes da execução de comandos shell
• Etapas de aprovação antes de requisições de rede e chamadas de API externas
• Pausas antes de invocações de ferramentas MCP

O que a flag mantém intacto:

• Treinamento de segurança central do Claude Code (ele ainda recusa instruções claramente prejudiciais)
• Restrições de lista de permissões de rede definidas na sua configuração
• Escritas em caminhos protegidos — .git/, .claude/ (exceto /commands, /agents, /skills), .vscode/ e .husky/ ainda solicitam confirmação mesmo no modo de bypass (desde a v2.1.78)
• Hooks PreToolUse, que ainda são acionados e podem bloquear chamadas de ferramentas específicas mesmo no modo de bypass
• Regras de negação em disallowed_tools e settings.json, que são avaliadas antes da verificação do modo

Um detalhe que costuma causar confusão: você não pode mudar para o modo bypassPermissions no meio de uma sessão se não tiver iniciado com a flag. Reinicie com a flag, ou não funcionará. Os administradores também têm a opção de bloquear o modo em toda a organização — defina permissions.disableBypassPermissionsMode como "disable" em configurações gerenciadas, e ninguém poderá usá-lo.

O que você obtém é autonomia total dentro dos limites que você definiu. Se você não definiu nenhum — sem restrições de rede, sem escopo de acesso a arquivos, sem isolamento de credenciais — o agente pode acessar tudo o que sua conta de usuário pode acessar. Esse é o risco principal.

Por que os desenvolvedores usam --dangerously-skip-permissions?

Os casos de uso legítimos para a flag são restritos, mas reais. Cada um deles compartilha uma característica: o ciclo de confirmação humana é impossível porque não há um humano presente, ou redundante porque o ambiente já lida com a contenção.

Automação de Pipeline CI/CD

Pipelines automatizados não podem parar e esperar que alguém clique em "aprovar". Não há ninguém no terminal. As equipes executam o Claude Code em modo headless como parte dos fluxos de trabalho de build, teste e revisão — e a invocação típica combina -p (modo não interativo) com a flag de bypass:

claude -p "Fix all lint errors in the project" \
  --dangerously-skip-permissions \
  --output-format stream-json

O próprio ambiente do pipeline serve como camada de contenção aqui. Ele dita qual código o agente pode acessar e quais comandos pode executar.

Ambientes de Contêineres Isolados

Quando o Claude Code é executado dentro de um contêiner Docker construído para esse fim — sem credenciais carregadas, sem acesso à rede externa — os avisos de permissão apenas adicionam atrito. Eles não adicionam segurança. O limite do contêiner já está fazendo o trabalho de segurança. A flag remove a confirmação redundante dentro de um ambiente já restrito.

A Anthropic recomenda explicitamente o uso em contêineres. Eles fornecem configurações de devcontainer de referência com regras de firewall integradas exatamente para esse fim. Nicholas Carlini, pesquisador da equipe de Salvaguardas da Anthropic, executou claude --dangerously-skip-permissions em um loop while do bash para 16 agentes paralelos construindo um compilador C baseado em Rust em fevereiro de 2026.

A nota entre parênteses dele na postagem do blog diz tudo: "Execute isso em um contêiner, não na sua máquina real." As próprias pessoas da Anthropic não usarão essa flag em bare metal.

Refatoração e Análise Estendidas

Grandes tarefas de refatoração que abrangem dezenas de arquivos funcionam melhor sem interrupção constante. O fluxo de trabalho que desenvolvedores experientes seguem é direto:

1. Faça commit do seu estado atual
2. Execute o Claude Code com a flag
3. Revise todas as alterações assim que terminar
4. Faça commit do resultado ou git reset --hard

Seu histórico do git se torna o mecanismo de reversão. O sistema de permissões normalmente fornece essa rede de segurança — aqui, o git assume esse papel.

Quais São os Reais Riscos de Segurança?

Nada disso é hipotético. Vários incidentes documentados pintam um quadro claro do que dá errado quando a execução autônoma encontra contenção fraca.

Injeção de Prompt Aciona Ações Irrestritas

Sem confirmação por ação, uma instrução maliciosa oculta dentro de um arquivo que o Claude Code lê pode ser acionada imediatamente. Atacantes podem influenciar o que o Claude processa através de vários canais:

• Arquivos de repositório com instruções incorporadas
• Descrições de issues e comentários de PR
• Documentos obtidos via ferramentas MCP

Se algum destes contiver comandos injetados, o agente pode exfiltrar dados ou modificar arquivos que deveriam ser restritos.

A Anthropic leva este vetor a sério. O seu blog de engenharia sobre o modo automático detalha um conjunto de dados de avaliação sintético contendo 1.000 tentativas de exfiltração geradas:

• POSTs HTTP de dados sensíveis para servidores externos
• Pushes Git para remotos não confiáveis
• Credenciais inseridas em URLs, muitas usando ofuscação

Sem um prompt de aprovação, não há uma segunda chance de detetar instruções injetadas antes que sejam executadas.

Automação Descontrolada Causa Danos Reais

Os incidentes documentados falam por si. Em outubro de 2025, o desenvolvedor Mike Wolak pediu ao Claude Code para reconstruir um projeto Makefile a partir de um checkout novo no Ubuntu/WSL2. O Claude Code executou um rm -rf a partir da raiz (/). O seu relatório de bug do GitHub (#10077) contém logs de erro com milhares de mensagens de "Permissão negada" para /bin, /boot, /etc. Todos os arquivos de propriedade do usuário na máquina foram destruídos.

A parte alarmante? Wolak estava não a executar --dangerously-skip-permissions. O próprio sistema de permissões falhou em bloquear o comando destrutivo. A Anthropic marcou a questão como area:security e bug.

Novembro de 2025 produziu algo ainda pior. O desenvolvedor JeffreyUrban registou o problema #12637 no GitHub após descobrir que o Claude tinha acidentalmente criado um diretório literalmente chamado ~ durante uma sessão anterior.

Mais tarde, o Claude executou rm -rf * no diretório pai. O shell expandiu * para incluir o diretório ~ — e então interpretou esse ~ como o caminho do diretório inicial. Duas sessões separadas, uma falha em cascata.

Então veio o incidente do Reddit de dezembro de 2025: rm -rf tests/ patches/ plan/ ~/. O ~ final expandiu-se para todo o diretório inicial. Arquivos da área de trabalho, documentos, downloads, dados do Keychain, suporte a aplicativos — tudo apagado. E não são apenas as exclusões dramáticas. Um desenvolvedor documentou Claude sobrescrevendo um arquivo de configuração existente com valores em branco, sem backup, sem aviso.

Corrupções silenciosas como essa são, na verdade, mais difíceis de detectar e recuperar do que perder um diretório inteiro.

O Risco de Exposição de Credenciais Aumenta

Dê ao Claude Code acesso total de escrita sem prompts de confirmação, e ele pode:

• Ler variáveis de ambiente contendo segredos
• Despejar credenciais em arquivos de saída
• Disparar chamadas de rede que enviam dados sensíveis para endpoints externos

A pausa antes de operações sensíveis é o último ponto de verificação legível por humanos. Remova-a, e não haverá nada entre o agente e a exposição de credenciais.

O Raio de Impacto Aumenta para Qualquer Compromisso

Se alguém sequestrar a sessão do Claude Code ou manipular o prompt, terá acesso irrestrito a tudo o que o agente pode alcançar. Zero atrito, zero prompts, zero segundas chances. Vale a pena notar: um bug relatado (#17544) mostra que a combinação de --dangerously-skip-permissions com --permission-mode plan faz com que a flag de bypass silenciosamente sobreponha o modo de plano. Você acredita estar no modo de plano somente leitura. Na verdade, você está executando um bypass completo.

Quando é Seguro Usar --dangerously-skip-permissions?

A segurança aqui é uma propriedade do ambiente. Não da flag. A documentação da Anthropic afirma isso diretamente — o isolamento baseado em contêiner é o contexto pretendido. A flag permanece segura apenas quando todas estas condições são válidas ao mesmo tempo:

• A saída de rede está bloqueada. Ou o ambiente não tem acesso externo à rede, ou o tráfego é roteado através de uma lista de permissões rigorosa. O Claude Code não pode fazer chamadas arbitrárias para enviar dados para fora.
• Nenhuma credencial ou segredo é carregado. Nenhuma chave de API de produção, chave SSH ou segredo reside no ambiente de execução. Você o construiu especificamente para a tarefa em questão — não é um laptop de desenvolvedor com acesso a metade da sua infraestrutura.
• O acesso ao sistema de arquivos é rigidamente delimitado. O agente só pode acessar o repositório ou diretório específico relevante para a tarefa. Arquivos de sistema, diretórios pessoais e bases de código não relacionadas não são montados nem acessíveis.
• O ambiente é descartável. O contêiner ou VM é desativado após o término da sessão. Nada persiste. Se algo der errado, o dano fica contido a uma única instância descartável.
• Pontos de verificação Git estão em vigor. Confirme seu estado de trabalho antes de ativar a flag. Se algo quebrar, `git reset --hard` traz tudo de volta. O Git assume o papel de rede de segurança que o sistema de permissões normalmente preenche.

Neste ponto, o consenso da comunidade está praticamente estabelecido: contêineres ou nem se preocupe. Adicione pontos de verificação Git, restrições de ferramentas e isolamento de rede. Para equipes que gerenciam o Claude Code com vários desenvolvedores, o guia de governança apresenta a estrutura completa da política.

Alternativas Mais Seguras para --dangerously-skip-permissions

Nem toda equipe precisa anular todos os controles de segurança apenas para ter menos interrupções. O Claude Code agora vem com várias alternativas, e cada uma troca uma parte diferente de conveniência por uma parte diferente de segurança.

Modo Automático (Março de 2026)

A Anthropic lançou modo automático especificamente porque --dangerously-skip-permissions continuava causando problemas. O modo automático permite que o Claude execute sem solicitações de permissão, mas um modelo classificador separado (executando no Claude Sonnet 4.6) revisa cada ação antes de ser executada. O classificador monitora três categorias:

• Escalonamento de escopo — o Claude está fazendo mais do que você pediu?
• Infraestrutura não confiável — a ação está visando sistemas que o classificador não reconhece?
• Injeção de prompt — a ação parece ter sido impulsionada por conteúdo hostil que o Claude leu?

As ações que o classificador considera seguras são processadas automaticamente. As arriscadas são bloqueadas, e Claude recebe o motivo para que possa tentar uma abordagem diferente. Três bloqueios consecutivos ou 20 bloqueios totais em uma sessão fazem com que o modo automático seja pausado e retorne à solicitação manual. Você precisa do Claude Code v2.1.83 ou posterior, um plano Team ou Enterprise, e o provedor de API da Anthropic para usá-lo. Os planos Pro e Max não se qualificam.

Ative-o com:

claude --enable-auto-mode

Alterne para ele com Shift+Tab durante uma sessão. A Anthropic o rotula como uma "prévia de pesquisa" — menos resultados catastróficos do que o bypass completo, mas não risco zero.

Listas de Permissão em Nível de Ferramenta

A flag --allowedTools permite especificar exatamente quais ferramentas o Claude Code pode usar sem prompts. Você pode permitir a leitura e escrita de arquivos, mas bloquear a execução de shell ou chamadas de rede. O arquivo claude_code_settings.json também suporta estas operações pré-aprovadas:

{
  "permissions": {
    "allow": ["Read", "Write"],
    "deny": ["Bash(*)", "mcp__*"]
  }
}

Outra opção útil: --disallowedTools "Bash(rm:*)" bloqueia comandos rm mesmo quando o modo de bypass está ativo. As regras de negação são verificadas antes da avaliação do modo, então elas se aplicam independentemente do modo de permissão que você esteja usando.

Modo acceptEdits

O acceptEdits aprova automaticamente as operações de arquivo, para que Claude possa editar o código sem prompts. Comandos Bash e chamadas de rede ainda precisam da sua aprovação, no entanto. Funciona bem para sessões de prototipagem ou trabalho dentro de um diretório isolado onde você confia nas edições de arquivos, mas ainda quer monitorar a execução de comandos.

{
  "permissions": {
    "defaultMode": "acceptEdits"
  }
}

Modo Plano

O modo Plano dá a Claude acesso de leitura e capacidade de raciocínio, mas bloqueia edições de arquivos-fonte e execução de comandos. Claude lê a base de código, raciocina sobre ela e produz um plano de execução estruturado. Você revisa tudo antes que uma única alteração seja executada. Entre nele prefixando um prompt com /plan ou pressionando Shift+Tab. Particularmente útil para mudanças de alto risco onde você quer ter a visão completa primeiro.

Hooks PreToolUse

Aqui está um fato que surpreende as pessoas: os hooks são acionados mesmo no modo de bypass. Um hook PreToolUse pode bloquear qualquer chamada de ferramenta, independentemente do modo de permissão que você esteja usando. A Trail of Bits publicou um repositório de configuração com hooks que bloqueiam padrões rm -rf e pushes diretos para main. Guardrails, não paredes impenetráveis — mas eles impedem desastres óbvios antes que aconteçam.

Acesso a Diretório Delimitado

Monte apenas os arquivos relevantes no diretório de trabalho do Claude Code, e você limita o raio de impacto sem tocar na camada de permissão. Combine o escopo de diretório com o modo padrão, e você obtém automação com muito menos risco do que a flag de bypass acarreta. O guia de fluxo de trabalho do Claude Code aborda padrões práticos para execução com escopo.

Como a TrueFoundry Habilita a Automação Segura do Claude Code

A TrueFoundry existe para equipes que precisam de automação do Claude Code em escala empresarial — sem tratar --dangerously-skip-permissions como um atalho aceitável. A plataforma oferece controles em nível de infraestrutura que tornam a flag desnecessária na maioria dos cenários de produção.

Tudo é implementado no seu próprio ambiente AWS, GCP ou Azure. Cada sessão do Claude Code é executada num espaço de execução isolado por rede, sem saída externa por predefinição. As condições que tornam a flag de bypass segura — bloqueio de rede, isolamento de credenciais, acesso restrito — são aplicadas na camada de infraestrutura. Os desenvolvedores individuais não precisam de se lembrar de configurá-las manualmente.

• Execução nativa de VPC. As sessões do Claude Code são executadas na sua cloud privada, não em infraestrutura partilhada. As políticas de rede funcionam na camada de infraestrutura. O Gateway de IA fica entre os seus desenvolvedores e os fornecedores de modelos — um único endpoint, limites de taxa, limites de orçamento e controlo de acesso em cada pedido.
• Injeção de credenciais restritas. Segredos de produção nunca aparecem no contexto de execução do Claude Code. A plataforma injeta apenas as permissões que uma tarefa específica exige. O que --allowedTools tenta impor ao nível do desenvolvedor, a TrueFoundry gere automaticamente através de controlos de acesso de privilégio mínimo.
• Listas de permissões de ferramentas por sessão. As equipas especificam exatamente quais ferramentas o Claude Code pode aceder em cada ambiente — sem desativar completamente a arquitetura de confirmação. O Gateway MCP adiciona controlo granular sobre quais serviços externos o Claude Code pode aceder. Para contexto sobre como as conexões MCP funcionam internamente, o guia de integrações MCP abrange o panorama completo.
• Registos de auditoria imutáveis. Cada ação é registada com metadados completos — não importa se --dangerously-skip-permissions está ativo ou não. Os registos permanecem no seu ambiente para conformidade. Encaminhe-os para Grafana, Datadog ou Splunk através do OpenTelemetry para observabilidade centralizada. O guia de segurança empresarial abrange a configuração completa de auditoria em detalhe.
• RBAC ao nível do agente. As políticas de acesso ditam quais desenvolvedores podem iniciar sessões automatizadas do Claude Code e quais permissões essas sessões carregam. Sem escalonamento ad hoc. A estrutura de governação abrange todo o escopo — gestão de chaves de API, relatórios de conformidade e tudo o que está no meio.

Organizações que executam o Claude Code em produção através da TrueFoundry abandonaram o uso de --dangerously-skip-permissions na maioria dos fluxos de trabalho. A camada de contenção está integrada na plataforma. Ninguém precisa montá-la manualmente em cada sessão. Para equipes que gerenciam limites de uso do Claude Code juntamente com os requisitos de segurança, o AI Gateway lida com ambas as preocupações a partir de um único plano de controle.

Se sua equipe está usando --dangerously-skip-permissions porque os prompts de permissão bloqueiam seus pipelines de CI/CD, a TrueFoundry oferece um caminho melhor. A plataforma executa o Claude Code dentro de contêineres efêmeros em sua VPC com a saída de rede bloqueada, credenciais com escopo por tarefa e cada ação registrada — assim, a flag de bypass se torna desnecessária. Agende uma demonstração para ver como funciona.