パーミッション・セキュリティ

過去の会話ログをスキャンして頻繁に使われる読み取り専用BashコマンドとMCPツールを検出し、プロジェクトの `.claude/settings.json` に優先度付きの許可リストを追加して権限プロンプトを削減する組み込みスキル。

ツール権限のallow・ask・denyルールをインタラクティブに管理する。スコープ別のルール一覧・追加・削除・作業ディレクトリ管理・auto modeの最近の拒否履歴確認ができる。`/allowed-tools` でも起動可能。

現在のブランチの変更をセキュリティ脆弱性の観点でレビューする。git diffを解析しインジェクション・認証問題・データ漏洩リスクを特定する。

サンドボックスモードのオン/オフを切り替える。対応プラットフォームのみ利用可能。

Claudeがアクセスできる追加の作業ディレクトリを指定する。複数指定可能。各パスは実際に存在するディレクトリであることが検証される。

auto modeの組み込みclassifierルールをJSON形式で表示する。`claude auto-mode config` で設定を加味した有効なルールを確認できる。

**v2.1.111で削除済み。** 代わりに `--permission-mode auto` を使用すること。旧バージョンではShift+TabサイクルにAutoモードを追加するために使用。

`--dangerously-skip-permissions` または `defaultMode: "bypassPermissions"` でbypassPermissionsモードに入る前に表示される確認プロンプトをスキップする。プロジェクト設定（`.claude/settings.json`）での設定は無視される（信頼できないリポジトリからの自動バイパス防止のため）。

auto modeのclassifierに組織のインフラ情報を提供する設定ブロック。`environment`（信頼するリポジトリ・バケット・ドメイン）・`allow`（例外ルール）・`soft_deny`（ブロックルール）を設定する。

autoモードを無効化する。`"disable"` に設定するとauto modeが使用できなくなる。`permissions.disableBypassPermissionsMode` と同様に任意のスコープで設定可能。

ログインを特定の組織に限定する。単一UUIDで特定組織のみ許可（ログイン時に事前選択）、UUID配列でいずれかの組織のログインを許可。Managed設定で設定した場合、リスト外の組織アカウントはログイン失敗となる。

（Managed設定専用）CLIの起動をブロックし、サーバーからリモート管理設定を新鮮にフェッチするまで待機する。フェッチに失敗した場合、CLIはキャッシュを使わず終了する。フェールクローズドの起動強制に使用。

autoモードが利用可能な場合に、プランモードがautoモードのセマンティクスを使用するかどうかを設定する。デフォルト: `true`。プロジェクト設定（shared）からは読み込まれない。`/config` に「Use auto mode during plan」として表示される。

`"disable"` に設定するとautoモードが無効化される。Shift+TabサイクルからAutoが削除され、`--permission-mode auto` も起動時に拒否される。`permissions.disableAutoMode` と同様の効果だが、トップレベルキーとして設定する。

サブプロセス（Bash・フック・MCPサーバー）の環境からAnthropic・クラウドプロバイダー認証情報を削除する。プロンプトインジェクション攻撃による秘密情報の流出を防止できる。Linuxでは副作用として `ps`・`pgrep`・`kill` が制限される。

Perforce（P4）との互換性のある書き込み保護を有効化する。Perforceが管理するファイルへの書き込みをClaudeが行う前に、Perforceのチェックアウト操作が必要になる。

`sandbox.enabled` が `true` でもサンドボックスが起動できない場合（依存関係不足・非対応プラットフォーム等）に起動エラーで終了する。`false`（デフォルト）では警告表示のみで非サンドボックスモードで続行する。Managed設定でのハードゲート強制に使用。

コマンドが `dangerouslyDisableSandbox` パラメータでサンドボックス外実行を要求できるかを設定する。`false` にするとこのエスケープハッチが完全に無効になり、全コマンドはサンドボックス内か `excludedCommands` での実行が必須になる。デフォルト: `true`。

（Managed設定専用）Managed設定の `filesystem.allowRead` パスのみを尊重する。ユーザー・プロジェクト・ローカル設定の読み取り許可パスは無視される。`denyRead` は引き続き全ソースからマージされる。デフォルト: `false`。

サンドボックス内で全Unixソケット接続を許可する。Linux/WSL2ではseccompフィルタがソケットパスを検査できないため、Unixソケットを許可するにはこの設定が唯一の手段。デフォルト: `false`。

サンドボックス内でアクセスを許可するXPC/Machサービス名のリスト（macOSのみ）。末尾に `*` を使ったプレフィックスマッチングをサポート。iOSシミュレーターやPlaywrightなどXPC経由で通信するツールに必要。

（Managed設定専用）Managed設定の `allowedDomains` と `WebFetch(domain:...)` 許可ルールのみを尊重する。ユーザー・プロジェクト・ローカル設定のドメインは無視される。非許可ドメインはプロンプトなしで自動ブロックされる。デフォルト: `false`。

サンドボックスで使用するHTTPプロキシのポート番号を設定する。独自プロキシを持ち込む場合に指定する。未指定の場合はClaudeが自動でプロキシを起動する。

サンドボックスで使用するSOCKS5プロキシのポート番号を設定する。独自プロキシを持ち込む場合に指定する。未指定の場合はClaudeが自動でプロキシを起動する。

**セキュリティが低下する。** 権限のないDockerコンテナ（Linux/WSL2のみ）でより弱いサンドボックスを有効化する。デフォルトは `false`。

**セキュリティが低下する（macOSのみ）。** システムTLS信頼サービスへのアクセスを許可する。MITMプロキシとカスタムCAを使う場合に `gh`・`gcloud`・`terraform` などGoベースツールのTLS証明書検証に必要。デフォルトは `false`。