권한
에이전트의 도구 접근을 제어하는 권한 모드와 규칙 지정자.
권한 모드는 일치하는 명시적 규칙이 없을 때 에이전트가 도구 사용을 어떻게 처리할지 제어합니다. 규칙은 어떤 명령, 파일 경로, MCP 도구를 허용·확인·거부할지 지정하며, 와일드카드, 복합 명령, 리다이렉션을 지원합니다.
권한 모드
auto— 기본 모드. 읽기 전용 도구는 어디서나 확인 없이 실행되고, 프로젝트 내 편집은 자동 적용되며, 프로젝트 외부 쓰기만 확인을 요청합니다.plan— 읽기 전용이며, 편집은 차단됩니다.accept-edits— 프로젝트 내 편집은 자동으로 수락되고, 외부 읽기는 확인을 요청합니다.
규칙 지정자
규칙은 전역 permissions 객체와 레이어별 permission 재정의에서 사용됩니다. 리졸버는 deny > ask > allow > 모드 기본값 순서로 규칙을 적용합니다.
| 형식 | 일치 대상 |
|---|---|
Bash(npm run *) | bash 명령 (* 와일드카드, 끝의 :* = 접두사). |
Read(//etc/**) | 파일 읽기 경로 (/=프로젝트 루트, //=절대 경로, ~/=홈). |
Write(**) | 파일 쓰기 경로 (동일한 경로 구문). |
Edit(**) | 파일 편집 경로 (동일한 경로 구문). |
Mcp(server, tool) | MCP 도구 (tool은 선택 사항 / 모든 도구는 *). |
Bash (인자 없음) | 해당 도구의 모든 bash 명령. |
복합 bash 에스컬레이션
복합 bash(
a && b)는 구성 요소별로 게이팅되며(가장 제한적인 규칙이 우선), 리다이렉션 / $() / 백틱 / &가 포함된 bash 명령은 allow를 ask로 에스컬레이션합니다.