概要
apps/claude/settings.json の permissions が広めに開いており、機密ファイルの読み出しや危険なコマンド実行を阻止できていない箇所がある。安全寄りに締め直す。
検出した問題
1. ファイル系 allow が広すぎる
deny で ~/.aws/, ~/.ssh/, .env 等は塞いでいるが、未列挙の機密パスは素通り:
~/.config/gcloud/**~/.kube/**~/.docker/config.json~/.gnupg/**~/Library/Keychains/****/.netrc**/credentials*, **/*.pem, **/*.key, **/id_rsa*, **/id_ed25519*
2. 三重スラッシュのタイポ(無効ルール)
Read(/tmp/**) の誤記でマッチしない。意図通りに修正。
3. defaultMode × skip* の重ね合わせが攻撃面を広げる
3 つ同時オンは事故耐性が低い。defaultMode を default に戻し、auto は起動時に明示する運用に変更する案。
4. deny に致命パターンを追加
Bash(*rm -rf /*), Bash(*rm -rf ~*), Bash(*rm -rf $HOME*)Bash(*curl*|*sh*), Bash(*wget*|*sh*) (リモートスクリプト直接実行)Bash(*op item get*) (1Password CLI のシークレット取り出し)Bash(sudo *) (対話可否は別途検討、最低でも ask)
5. cleanupPeriodDays: 9999 は実質無効化
history.jsonl (3.4MB) や sessions/, projects/ が無制限に膨張する。90 日程度に下げる。
対応方針
apps/claude/settings.json の allow / deny / defaultMode / skip* / cleanupPeriodDays をまとめて更新- 変更後に
./scripts/doctor で確認
HISTORY.md に追記
関連
- AGENTS.md: 「許可ルールの定期メンテナンス」「設計方針」
- 後続:
tools:suggest-permissions の "review" モードで網羅性検証
概要
apps/claude/settings.jsonのpermissionsが広めに開いており、機密ファイルの読み出しや危険なコマンド実行を阻止できていない箇所がある。安全寄りに締め直す。検出した問題
1. ファイル系 allow が広すぎる
denyで~/.aws/,~/.ssh/,.env等は塞いでいるが、未列挙の機密パスは素通り:~/.config/gcloud/**~/.kube/**~/.docker/config.json~/.gnupg/**~/Library/Keychains/****/.netrc**/credentials*,**/*.pem,**/*.key,**/id_rsa*,**/id_ed25519*2. 三重スラッシュのタイポ(無効ルール)
Read(/tmp/**)の誤記でマッチしない。意図通りに修正。3.
defaultMode×skip*の重ね合わせが攻撃面を広げる3 つ同時オンは事故耐性が低い。
defaultModeをdefaultに戻し、auto は起動時に明示する運用に変更する案。4. deny に致命パターンを追加
Bash(*rm -rf /*),Bash(*rm -rf ~*),Bash(*rm -rf $HOME*)Bash(*curl*|*sh*),Bash(*wget*|*sh*)(リモートスクリプト直接実行)Bash(*op item get*)(1Password CLI のシークレット取り出し)Bash(sudo *)(対話可否は別途検討、最低でもask)5.
cleanupPeriodDays: 9999は実質無効化history.jsonl(3.4MB) やsessions/,projects/が無制限に膨張する。90日程度に下げる。対応方針
apps/claude/settings.jsonのallow/deny/defaultMode/skip*/cleanupPeriodDaysをまとめて更新./scripts/doctorで確認HISTORY.mdに追記関連
tools:suggest-permissionsの "review" モードで網羅性検証