Claude Code の許可プロンプトを安全網を外さず減らす — 在席と無人で最適解は違う

• URL: https://zenn.dev/kojisumiyoshi/articles/claude-code-permission-prompts-guide
• 日付: 2026-06-16
• Tier: Tier 3
• 要旨: Claude Codeの許可プロンプト削減と安全網維持の両立は「在席か無人か」という1軸で最適解が分かれる。在席ではautoモード+sandboxで減らして残りを即答し、無人ではdontAskモードでプロンプト自体を出さず自動denyとエージェントの自己修正で回すのが正道。

詳細

評価順はdeny→ask→allow→modeの固定順で、どのルールにも当たらない場合にdefaultModeが作用する。askはallowより優先されるため「より具体的なallow」があってもaskが一致すればプロンプトが出る。

sandbox（macOSはSeatbelt）の書き込み可能境界はCWDとその配下。autoAllowBashIfSandboxed: trueで箱に収まるBashはプロンプトなしで実行される。秘密情報はpermissions.deny（Readツール経由）とsandbox.filesystem.denyRead（Bash経由）の二層で遮断しないと片方からの漏れが残る。

在席向けの設定はdefaultMode: auto+sandbox+named-scriptのscoped allow+危険操作のask。無人向けはdefaultMode: dontAsk+allowUnsandboxedCommands: false（Strict sandbox）+network narrowing+git外データのbackup。dontAskではdenyがエージェントに即返るためエージェントが許可される書き方に自己修正して進み続けられる点が重要。bypassPermissionsはローカル運用向けではなく隔離コンテナ専用。