腾讯面试官问：Claude Code 自动跑命令还不删库，内部怎么实现的？

一、面试现场面试官提问“让 Claude Code 自己跑命令怎么防它删库”腾讯 Agent 安全面。面试官你让 agent 自动改代码、跑 shell万一它来个 rm -rf 怎么办候选人让它别乱跑就行……面试官追问怎么「让」写在提示里它就一定听——这题看似问安全意识实考你能不能区分「模型自觉」和「执行前的硬门」前者是 advisory模型可能忽略或被绕后者是工具执行前一道确定性的关卡副作用动作不过门就跑不了。安全不能赌模型自觉。**直接回答**靠工具执行前的权限门 模式分级不是靠模型自觉。二、大多数人怎么答的典型翻车回答“我在系统提示里写不要执行危险命令就行了。”这是把安全交给概率。系统提示是 advisory模型可能忽略、可能被一句巧妙的指令绕过、长会话压缩后那条规则还可能被丢。把绝不删库写进提示顶多降低概率给不了保证。安全边界必须是执行前的确定性硬门模型只是请求调工具真正执不执行由 harness 在门口判定的请求 vs 执行分界。我认为凡是出事就糟的动作都不能放在模型决策面必须落到执行前的硬门上。三、权限门怎么挡住一次删库权限系统的核心就一句话副作用动作在执行前过门。下面拆这道门怎么设、模式怎么分、被拒之后该干嘛——会冒出 default、acceptEdits 这几个模式名别紧张它们就是给 agent 调的信任档位下面逐个解释。① 门挡在执行前不是事后报警模型发起 tool_use 只是请求harness 在真正执行前过门只读工具Read/Grep默认放行副作用工具Write/Edit/Bash按规则判定——allow 直接跑、ask 弹给用户确认、deny 拒绝。关键在于rm -rf 必须在跑之前拦跑完再报警没意义呼应第 8 课 hook 时机。**违反后果**把安全检查放到执行后危险命令已经造成破坏门形同虚设。② 模式 给 agent 的信任档位Claude Code 的权限模式截至 2026-06default风险动作逐个确认、acceptEdits文件编辑免问、危险命令仍拦、plan只读、只出计划不动手接第 11 课、bypassPermissions全放行仅可信/隔离环境。模式就是你给 agent 调的信任档位越信任越少打断、风险也越高。**违反后果**全程开 bypass 图省事等于把信任档位拉满agent 一旦判断失误没有任何兜底。③ 颗粒度allowlist denylist 把全问降成只问该问的不要么全问么全放。把已知安全的git status、ls加allowlist自动放行把危险的rm -rf /、git push --force、chmod -R 777加denylist永久拦剩下拿不准的才 ask。这样既不被确认弹窗烦死又不失控。被 deny 的调用要把为什么拒喂回模型让它换方案而不是直接崩。**违反后果**规则只有粗档位、没有名单要么每条命令都弹确认烦到关掉、要么一刀全放失去控制。**我的优先顺序**先把「副作用执行前过门」焊死决定安全底线再用 allow/deny 名单调颗粒度决定好不好用最后才谈模式默认值。把顺序倒过来、先图省事开 bypass等于先拆了安全带再上路。四、面试官追问链追问 1“全程 bypass 最省事为什么不推荐什么时候才用”因为它把信任档位拉满、没有任何兜底——agent 一次判断失误就可能不可逆。它只适合隔离、可丢弃的环境一次性容器、沙箱那里搞砸也没代价。本机、生产、有真实数据的地方默认该用 default 或 acceptEdits在效率和安全之间留一道门。追问 2“每个命令都弹确认烦死了怎么减少打断又不失控”靠名单做颗粒度。把高频且安全的操作加 allowlist 自动放行你不会想为每个 git status 点确认把明确危险的加 denylist 直接拦中间地带才 ask。我认为确认疲劳是权限系统第二大坑第一是事后才拦——弹窗太多用户会习惯性狂点 yes门就名存实亡了。颗粒度对了确认才有意义。追问 3“权限门和 Hooks 都能拦工具差在哪”分工不同。权限门是 agent内建的 allow/ask/deny 决策是粗粒度开关Hooks第 8 课是可编程的事件钩子能在 PreToolUse 跑任意脚本做更复杂判断、还能注入上下文、记日志。简单黑白名单用权限门需要跑个脚本查一下再决定就用 hook。两者叠加门做基础放行hook 做定制拦截。五、给你的 agent 加权限门自造 agent 一旦能改文件、跑命令权限门就是必加件。下面四步给你一道能用的门。STEP 1 · 把工具分类只读 / 副作用只读工具默认放行副作用工具写、删、跑命令、发请求必须过门。↳ 关键分类清楚门才知道挡谁。STEP 2 · 定模式档位给 agent 几个信任档逐个确认 / 编辑免问 / 只读规划 / 全放行仅隔离环境。↳ 关键默认别给最高档。STEP 3 · 写 allow / deny 名单高频安全操作进 allowlist明确危险操作进 denylist按命令名 参数模式匹配。↳ 关键减少确认疲劳又守住红线。STEP 4 · deny 要把理由回灌拒绝时把为什么拒喂回模型让它换方案而不是让 agent 崩在门口。↳ 关键拒绝是反馈不是终点。**↳ 一句话验收**判断权限门设计得行不行问一句——**一条 rm -rf / 走到门口是被自动拦下并让模型换路还是已经跑完了才报警**前者门才算门后者只是块写着请勿删库的牌子。六、本课总结一句话总结让 agent 自动又不闯祸靠的是工具执行前那道权限门 模式分级——不是把别删库写进提示赌模型自觉副作用动作过门、危险命令前置拦截、被拒要回灌理由让它换路。面试锦囊**先说**先立场安全不能靠模型自觉提示是 advisory必须是工具执行前的确定性硬门。模型只请求、harness 在门口判执行。**再说**三件事门挡在执行前不是事后报警、模式分信任档default/acceptEdits/plan/bypass、allowdeny 名单调颗粒度防确认疲劳。**最后补**关键在于权限门是内建黑白名单、Hooks 是可编程拦截两者叠加用bypass 只在隔离环境用deny 把理由回灌让模型换方案。学AI大模型的正确顺序千万不要搞错了2026年AI风口已来各行各业的AI渗透肉眼可见超多公司要么转型做AI相关产品要么高薪挖AI技术人才机遇直接摆在眼前有往AI方向发展或者本身有后端编程基础的朋友直接冲AI大模型应用开发转岗超合适就算暂时不打算转岗了解大模型、RAG、Prompt、Agent这些热门概念能上手做简单项目也绝对是求职加分王给大家整理了超全最新的AI大模型应用开发学习清单和资料手把手帮你快速入门学习路线:✅大模型基础认知—大模型核心原理、发展历程、主流模型GPT、文心一言等特点解析✅核心技术模块—RAG检索增强生成、Prompt工程实战、Agent智能体开发逻辑✅开发基础能力—Python进阶、API接口调用、大模型开发框架LangChain等实操✅应用场景开发—智能问答系统、企业知识库、AIGC内容生成工具、行业定制化大模型应用✅项目落地流程—需求拆解、技术选型、模型调优、测试上线、运维迭代✅面试求职冲刺—岗位JD解析、简历AI项目包装、高频面试题汇总、模拟面经以上6大模块看似清晰好上手实则每个部分都有扎实的核心内容需要吃透我把大模型的学习全流程已经整理好了抓住AI时代风口轻松解锁职业新可能希望大家都能把握机遇实现薪资/职业跃迁这份完整版的大模型 AI 学习资料已经上传CSDN朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】