Модель формирует вызов инструмента, но запускать действие разрешает хост и человек. Это и есть точка контроля: ты решаешь, что разрешить без вопросов, а что — только с подтверждением.
Правило простое: читать — можно, менять — спрашивать
Раздели инструменты на два типа:
- Читающие (
find_task, чтение записи, поиск) — ничего не меняют. Ошибочный вызов в худшем случае вернёт лишние данные. Такие можно разрешать автоматически. - Меняющие состояние (
create_task,close_task, удаление, отправка письма) — последствия необратимы. Их выполнение должно требовать подтверждения от человека.
Как это выглядит на практике
Запросив у Claude Code список и описания подключённых инструментов, ты видишь, что они умеют:
claude mcp list
Дальше при работе хост сам спрашивает разрешение перед действиями, меняющими состояние. Подтверждение можно дать разово или, осознанно, на сессию — для часто повторяющихся безопасных действий.
Не раздавай автоматическое разрешение «всему подряд» ради удобства. Один невидимый вызов меняющего инструмента — и задача закрыта, письмо ушло, запись удалена. Подтверждения существуют именно для таких случаев.
Как обосновать выбор
Спроси себя про каждый инструмент: «Что будет, если он сработает не вовремя?» Если ответ — «ничего, просто покажет данные», его можно разрешить автоматически. Если «изменит данные у меня или у других» — оставь подтверждение. Чем опаснее последствие, тем строже право.
Эти команды показаны как примеры для чтения. Встроенный терминал-тренажёр платформы — это Unix-песочница флагманского курса; он не выполняет claude mcp. Команды отрабатывают в настоящем Claude Code на своём компьютере.