claude --dangerously-skip-permissions là cờ (flag) chạy Claude Code ở chế độ bypassPermissions - Claude tự động duyệt mọi thao tác chỉnh sửa file, chạy shell command, gọi network mà không hỏi xác nhận. Đây là chế độ mà Anthropic gọi là "Safe YOLO mode", dành cho tự động hóa dài hơi không cần người ngồi nhấn Allow.
Cờ này làm gì
Mặc định Claude Code dừng lại hỏi trước mỗi lần ghi file, chạy bash, gọi API. Với một task refactor 10 file, bạn nhấn approve 30+ lần. --dangerously-skip-permissions tắt hết các prompt đó. Cùng tác dụng với --permission-mode bypassPermissions.
Cụ thể, cờ này bỏ qua:
- Permission prompt cho mọi tool (Read, Edit, Write, Bash, WebFetch, MCP tools)
- Command blocklist (mặc định chặn curl, wget và các lệnh fetch network)
- Hạn chế write access ngoài working directory
- Hooks vẫn chạy bình thường, nên PreToolUse hook có thể dùng làm guardrail tự build
Từ phiên bản v2.1.126 trở đi, cờ này cũng bypass luôn cả ghi vào protected paths (trước đó vẫn prompt). Chỉ còn một circuit breaker duy nhất: rm -rf / hoặc rm -rf ~ vẫn bị chặn.
Khi nào dùng
Dùng được:
- Trong Docker container hoặc VM cô lập (Anthropic ship sẵn devcontainer reference có firewall rule)
- CI/CD pipeline headless - không có người nhấn approve, nên flag này gần như bắt buộc
- Task scope rõ ràng, đã commit git checkpoint trước khi chạy
- Background tasks dài (build C compiler, refactor toàn repo, generate test suite) - nhân viên Anthropic chạy 16 agent song song với cờ này, nhưng trong container
Không dùng:
- Trên máy host có SSH key, .env, browser cookie, keychain
- Repo còn uncommitted changes
- Khi chạy với root/sudo - Claude Code tự refuse start trên Linux/macOS để chống tự bắn vào chân
- Session dài quá - context rot làm model giả định sai, không có permission prompt làm checkpoint nữa
Cú pháp cơ bản
claude --dangerously-skip-permissions "Fix all lint errors"Tương đương:
claude --permission-mode bypassPermissions "Fix all lint errors"Chạy headless trong CI:
claude -p "Review PR diff and suggest improvements" \
--dangerously-skip-permissions \
--output-format stream-jsonAlias cho gõ nhanh
Thêm vào ~/.zshrc hoặc ~/.bashrc:
alias yolo="claude --dangerously-skip-permissions"Sau đó:
yolo "Refactor src/auth module, add tests, commit per file"Sự cố thực tế đã có người dính
Tháng 10/2025, dev tên Mike Wolak chạy Claude Code trên Ubuntu/WSL2 trong nested directory - Claude execute rm -rf bắt đầu từ root /. Log lỗi cho thấy hàng ngàn "Permission denied" trên /bin, /boot, /etc. Issue #10077 trên GitHub có đầy đủ forensic log.
Khảo sát của eesel AI: 32% dev dùng cờ này từng gặp ít nhất một lần file bị sửa ngoài ý muốn, 9% report data loss.
Cách dùng an toàn
1. Luôn chạy trong container. Anthropic có reference devcontainer với firewall rule whitelist npm registry, GitHub, Claude API; default-deny tất cả egress còn lại.
docker run -it --rm -v $(pwd):/workspace -w /workspace \
--network none \
claude-code:latest --dangerously-skip-permissions "task"2. Commit git checkpoint trước khi chạy. Coi git history là rollback layer thay cho permission prompt.
git add -A && git commit -m "Checkpoint pre-YOLO"
claude --dangerously-skip-permissions "Refactor X"
# Nếu hỏng:
git reset --hard HEAD3. Kết hợp với --disallowedTools. Note: --allowedTools có bug bị bypass mode ignore, dùng --disallowedTools ổn định hơn:
claude --dangerously-skip-permissions \
--disallowedTools "Bash(rm:*)" "Bash(git push*)" \
"Refactor module"4. Xem xét dùng auto mode (mới từ tháng 3/2026) thay vì YOLO. Auto mode có classifier review từng action, chặn các action nguy hiểm thay vì hỏi user. Nếu 3 lần liên tiếp hoặc 20 lần tổng trong session bị block, Claude pause và escalate cho người.
Lưu ý quan trọng về subagent
Khi enable bypass mode, tất cả subagent kế thừa full autonomous access. Không override được. Permission mode trong frontmatter của subagent bị ignore. Nghĩa là một subagent đọc file bị prompt injection có thể tự chạy lệnh phá hoại mà parent agent không kiểm soát được.
Tóm lại
Cờ --dangerously-skip-permissions là công cụ tăng năng suất cực mạnh cho long-running task, CI/CD, batch refactor. An toàn không phải property của cờ - nó là property của môi trường bạn chạy. Container + git checkpoint + scope task rõ ràng = dùng được hằng ngày. Chạy bare metal trên máy có credential = một prompt sai là mất sạch.
