Claude Code久々設定チェック

見ていく。

そもそも太郎

acceptsEdit ONで許可しているEditとBash（実行）は別概念

Status Line

なんかアップデートされたらしいが。

なるほど、使用量など見ることができる。

スクリプトそのまま拝借しようかな。

カッコよくなった。

https://scrapbox.io/files/69bde545b9e150750aed16d9.png

Sandbox

調べる。とりあえず設定しておけが本当にそうなのか。

効果的なサンドボックス化には、ファイルシステムとネットワークの両方の分離が必要です。ネットワーク分離がない場合、侵害されたエージェントは SSH キーなどの機密ファイルを流出させる可能性があります。ファイルシステム分離がない場合、侵害されたエージェントはシステムリソースにバックドアを仕掛けてネットワークアクセスを取得する可能性があります。サンドボックス化を設定する際は、設定がこれらのシステムのバイパスを作成しないことを確認することが重要です。

sandbox.filesystem.allowWrite を設定で使用して、追加のパスへの書き込みアクセスを付与できます。これらの制限は OS レベル（macOS の Seatbelt、Linux の bubblewrap）で実施されるため、Claude のファイルツールだけでなく、kubectl、terraform、npm などのツールを含むすべてのサブプロセスコマンドに適用されます。

その環境からアクセスできる外部サイトを制限する

今回でいえばClaude Code がコマンドを安全に実行するために、ローカル実行環境の中で 触っていい場所とつながっていい先を制限する仕組み

ドメイン制限：承認されたドメインのみにアクセスできます

ユーザー確認：新しいドメインリクエストは許可プロンプトをトリガーします（allowManagedDomainsOnly が有効な場合を除き、許可されていないドメインを自動的にブロックします）

カスタムプロキシサポート：高度なユーザーは発信トラフィックにカスタムルールを実装できます

包括的なカバレッジ：制限はすべてのスクリプト、プログラム、およびコマンドによって生成されるサブプロセスに適用されます

ほーん

自動許可モード：Bash コマンドはサンドボックス内で実行を試みられ、許可なしに自動的に許可されます。サンドボックス化できないコマンド（許可されていないホストへのネットワークアクセスが必要なコマンドなど）は通常の許可フローにフォールバックします。設定した明示的な許可/拒否ルールは常に尊重されます。

通常の許可モード：すべての bash コマンドは、サンドボックス化されている場合でも標準的な許可フローを通じます。これはより多くの制御を提供しますが、より多くの承認が必要です。

両方のモードで、サンドボックスは同じファイルシステムとネットワーク制限を実施します。違いは、サンドボックス化されたコマンドが自動承認されるか明示的な許可が必要かだけです。

自動許可モードは許可モード設定とは独立して動作します。「編集を受け入れる」モードでない場合でも、自動許可が有効な場合、サンドボックス化された bash コマンドは自動的に実行されます。これは、ファイル編集ツールが通常は承認を必要とする場合でも、サンドボックス境界内のファイルを変更する bash コマンドはプロンプトなしに実行されることを意味します。

後でこれ英語の原文見よう。

sandbox外へのコマンドはこれで防げる

Claude Code には、必要に応じてコマンドをサンドボックス外で実行できるようにする意図的なエスケープハッチメカニズムが含まれています。コマンドがサンドボックス制限（ネットワーク接続の問題や互換性のないツールなど）により失敗した場合、Claude は失敗を分析するよう促され、dangerouslyDisableSandbox パラメータでコマンドを再試行する可能性があります。このパラメータを使用するコマンドは、実行するユーザー許可を必要とする通常の Claude Code 許可フローを通じます。これにより、Claude Code は特定のツールまたはネットワーク操作がサンドボックス制約内で機能できないエッジケースを処理できます。

使い方

有効にしておくと勝手に使われるのだろうか。