Cờ --dangerously-skip-permissions: Tại Sao Developers Dùng Và Giá Phải Trả

Flag Nguy Hiểm Nhất Trong Claude Code

Trong thế giới của Claude Code, có một lệnh mà chính Anthropic đặt tên với từ "dangerously" ở đầu: --dangerously-skip-permissions. Không phải vô cớ.

Flag này làm một việc đơn giản nhưng có hậu quả lớn: tắt hoàn toàn hệ thống xác nhận permission. Mọi lệnh bash, mọi file edit, mọi network request Claude muốn thực hiện — tất cả được tự động approve mà không hỏi bạn. Không có cửa sổ popup "Bạn có chắc không?". Không có cơ hội dừng lại.

Thomas Wiegold, developer đã nghiên cứu kỹ về vấn đề này, ghi lại những gì thực sự xảy ra khi mọi thứ sai.

Tại Sao Developers Vẫn Dùng Nó?

Trước khi phán xét, hãy hiểu tại sao flag này tồn tại và tại sao nhiều người dùng nó:

Vấn đề "Permission Noise"

Hệ thống permission mặc định của Claude Code yêu cầu bạn approve khoảng 100 actions mỗi giờ trong các workflow phức tạp. Nghe có vẻ an toàn, nhưng thực tế:

• Không ai thực sự đọc kỹ 100 approval requests
• Bạn bắt đầu click "Yes" theo phản xạ — tạo ra false sense of security
• Workflow bị gián đoạn liên tục, giảm năng suất đáng kể
• Không thể để Claude chạy overnight hay unattended

Như Wiegold nhận xét: "Ít nhất với YOLO mode, bạn biết mình đang bay không có lưới." Điều đó thực ra honest hơn việc click "approve" một cách mù quáng.

Automation workflows cần unattended execution

Có những use case hợp lý cần Claude Code chạy tự động không cần người giám sát — CI/CD pipelines, batch processing scripts, overnight tasks. Flag này là cách duy nhất để làm điều đó.

Ba Thảm Họa Đã Xảy Ra

Đây không phải lý thuyết. Wiegold ghi lại ba sự cố thực tế từ community:

Sự Cố Wolak — October 2025

Một developer dùng Claude Code với --dangerously-skip-permissions trên Ubuntu/WSL2. Claude tạo lệnh rm -rf bắt đầu từ root directory (/). Trước khi system permission tự nhiên chặn lại, hàng nghìn file người dùng đã bị xóa. Tổng thiệt hại: mất dữ liệu nghiêm trọng, không có backup.

Reddit Case — December 2025

Case thú vị và nguy hiểm hơn. Claude generate lệnh:

rm -rf tests/ patches/ plan/ ~/

Dấu ~/ ở cuối — người không để ý tưởng là vô hại. Nhưng trên Linux/macOS, ~/ expand thành /home/username/ — toàn bộ home directory. Kết quả: desktop files, passwords, application data — tất cả biến mất.

The Tilde Directory Trick — November 2025

Tình huống kỳ lạ nhất: Claude vô tình tạo một folder có tên là ~ (dấu tilde). Sau đó trong một session khác, Claude chạy rm -rf * trong directory đó. Shell interpret ~ là home directory, và thảm họa xảy ra — ảnh hưởng lan sang nhiều sessions khác.

Tại Sao LLM Tạo Ra Những Lệnh Như Vậy?

Đây là vấn đề cốt lõi: LLM không "nghĩ" về hậu quả theo nghĩa con người. Khi Claude generate lệnh xóa file, nó không có cảm giác "điều này nguy hiểm." Nó chỉ pattern-match dựa trên training data — và trong training data, rm -rf xuất hiện rất nhiều lần trong context hợp lý.

Flag --dangerously-skip-permissions không làm cho Claude "cẩn thận hơn" hay "cẩn thận hơn" — nó chỉ xóa cơ hội con người can thiệp trước khi hậu quả không thể đảo ngược.

Cơ Chế Kỹ Thuật

Để hiểu đầy đủ, biết rằng:

• Flag này tương đương với --permission-mode bypassPermissions
• Sub-agents kế thừa toàn bộ quyền này — bạn không thể override cho child agents
• Bỏ qua: command blocklists, write restrictions, permission prompts, MCP server verification
• Áp dụng cho toàn bộ session — không thể selective cho từng command

Những Lựa Chọn An Toàn Hơn

Thay vì dùng --dangerously-skip-permissions, community đề xuất những alternatives này:

1. acceptEdits Mode

Auto-approve file changes nhưng vẫn prompt cho shell commands. Tốt cho workflow viết code nhiều nhưng ít chạy lệnh nguy hiểm.

2. allowedTools Configuration

Whitelist các tools cụ thể được phép dùng:

claude --allowedTools "Read,Write,Bash(git *)" ...

Nguyên tắc least privilege — Claude chỉ có đúng những gì cần thiết, không hơn.

3. Plan Mode

Claude tạo read-only execution plan và đợi bạn approve toàn bộ trước khi thực thi bất kỳ thứ gì. Không bị "permission noise" nhưng vẫn có human checkpoint quan trọng.

4. PreToolUse Hooks

Viết script Python/bash kiểm tra mỗi command trước khi thực thi. Ví dụ: block bất kỳ command nào chứa rm -rf:

# .claude/hooks/pre-tool-use.py
import json, sys
tool = json.loads(sys.stdin.read())
if 'rm -rf' in str(tool.get('input', '')):
    print("BLOCKED: rm -rf not allowed")
    sys.exit(1)

5. Git Checkpoints

Đơn giản nhưng hiệu quả nhất cho code projects:

git commit -m "checkpoint before claude session"

Trước mỗi session Claude Code, commit tất cả. Nếu mọi thứ hỏng, git reset --hard HEAD trong vài giây.

Nếu Bạn Vẫn Phải Dùng — Chỉ Trong Container

Đây là đồng thuận tuyệt đối của community, được chính engineer của Anthropic xác nhận:

KHÔNG BAO GIỜ chạy --dangerously-skip-permissions trực tiếp trên máy host của bạn.

Nếu use case của bạn thực sự cần automation không gián đoạn, hãy containerize:

• Docker: Môi trường cô lập hoàn toàn, tắt container là mất tất cả (kể cả damage)
• VM: Snapshot trước khi chạy, restore nếu hỏng
• GitHub Actions / CI: Mỗi run là fresh environment

Anthropic engineer viết trong documentation: "(Run this in a container, not your actual machine.)" — dù được đặt trong ngoặc đơn, đây là advice quan trọng nhất trong toàn bộ docs.

Bài Học Từ Simon Willison

Simon Willison — người đã coined thuật ngữ "prompt injection" và là một trong những giọng nói uy tín nhất về AI security — validate những lo ngại này. Ông nhấn mạnh rằng prompt injection là mối đe dọa lớn nhất cho agentic AI: khi Claude đọc content từ web hoặc file, có thể bị "đầu độc" bởi instructions ẩn trong đó.

Với --dangerously-skip-permissions, một prompt injection thành công có thể ngay lập tức thực thi destructive commands — không có cơ hội bạn review.

Đánh Giá Thực Tế

Vấn đề cốt lõi không phải là flag — mà là thiết kế permission system hiện tại tạo ra false security. Khi permission fatigue khiến users approve mọi thứ mà không đọc, system đó không thực sự bảo vệ được gì.

Giải pháp lý tưởng (chưa tồn tại hoàn chỉnh): permission system thông minh hơn, phân loại actions theo mức độ nguy hiểm và chỉ hỏi khi thực sự cần — không phải mỗi lần tạo directory hay đọc file.

Trong khi chờ, best practice là: dùng alternatives, containerize khi cần automation, và luôn có git checkpoint. Đọc thêm về security khi dùng Claude tại Bảo mật và quyền riêng tư khi dùng Claude và Claude Code Review: Tự động tìm và sửa lỗi bảo mật.

Tóm Lại

--dangerously-skip-permissions tồn tại vì lý do hợp lý. Nhưng những thảm họa thực tế — 11GB files bị xóa, home directory biến mất — cho thấy rủi ro là thật, không phải lý thuyết.

Quy tắc vàng: nếu không có container, không có flag này. Và ngay cả trong container, hãy dùng các alternatives ít rủi ro hơn trước. Tìm hiểu thêm về Claude Code toàn diện tại Claude Code toàn tập — Lập trình với AI agent trong terminal.

Nguồn tham khảo

Bài viết tổng hợp từ: Thomas Wiegold, "Claude Code --dangerously-skip-permissions: What You Need to Know", đăng tại thomas-wiegold.com. Thomas Wiegold là developer và security researcher chuyên về AI tools.