Sistema de Permissoes Avancado

O ChatCLI implementa um sistema de permissões avancado que controla quais operações o agente pode executar automaticamente, quais requerem aprovacao e quais sao sempre bloqueadas. O sistema combina políticas de múltiplas fontes, rastreia negacoes do usuário e mantem padroes de segurança imunes a bypass.

Resolução de Politicas Multi-Fonte

As políticas de permissao sao carregadas e mescladas de múltiplas fontes, com prioridade definida:

Prioridade	Fonte	Arquivo	Escopo
1 (mais alta)	CLI flags	Argumentos de linha de comando	Sessão atual
2	Projeto	`.chatcli/coder_policy.json`	Workspace atual
3	Usuário	`~/.chatcli/coder_policy.json`	Global do usuário
4 (mais baixa)	Defaults	Regras embutidas no binario	Todos

Fontes de prioridade mais alta prevalecem sobre as mais baixas. Se uma regra do projeto diz allow para @coder exec, mas a regra do usuário diz deny, a regra do projeto prevalece.

Formato do Arquivo de Política

{
  "rules": [
    {
      "pattern": "@coder exec *",
      "action": "ask"
    },
    {
      "pattern": "@coder read *",
      "action": "allow"
    },
    {
      "pattern": "@coder write *.go",
      "action": "allow"
    },
    {
      "pattern": "@coder exec rm *",
      "action": "deny"
    }
  ],
  "merge": true
}

Acoes Disponíveis

Acao	Comportamento
`allow`	Execução automatica sem perguntar
`deny`	Bloqueio automático sem perguntar
`ask`	Solicita aprovacao interativa do usuário

Rastreamento de Negacoes

O Denial Tracker monitora quando o usuário nega permissao para prevenir prompts infinitos:

Bloqueio por Ferramenta
Escalação de Sessão

Quando o usuário nega a mesma ferramenta 3 vezes consecutivas, ela e auto-bloqueada para o resto da sessão.

[1] @coder exec "npm install" → usuário nega
[2] @coder exec "npm install" → usuário nega
[3] @coder exec "npm install" → usuário nega
→ @coder exec auto-bloqueado para esta sessão

O contador consecutivo e resetado quando o usuário aprova uma execução da ferramenta.

Quando o total de negacoes em todas as ferramentas atinge 20, a sessão entra em modo escalado: todas as ferramentas passam a requerer aprovacao explicita, mesmo as que tinham allow.

Total de negacoes: 20+
→ Sessão escalada: todas as tools requerem aprovacao

Configuração do Denial Tracker

Variável de Ambiente	Descricao	Default
`CHATCLI_MAX_CONSECUTIVE_DENIALS`	Negacoes consecutivas antes de bloquear a tool	3
`CHATCLI_MAX_TOTAL_DENIALS`	Negacoes totais antes de escalar sessão	20

Imunidade de Segurança (Safety Bypass)

Existem 40+ padroes de operação que SEMPRE requerem aprovacao do usuário, independentemente de qualquer regra allow na política. Esses padroes protegem contra erros catastroficos:

Operações Destrutivas de Filesystem

rm -rf / rm -fr e variantes
mkfs (formatar filesystem)
dd escrevendo em devices (of=/dev/)
shred (exclusao segura)

Diretorios de Sistema

Escrita em /etc/, /boot/, /sys/, /proc/
Redirecionamento de output para /etc/

Escalação de Privilegios

sudo qualquer comando
su - (troca de usuário)
chmod 777 (world-writable)
chmod +s (setuid/setgid)
chown root

Manipulacao de Kernel/Sistema

insmod, rmmod, modprobe (modulos de kernel)
sysctl -w (escrita em sysctl)
iptables -F (flush de firewall)
systemctl stop/disable/mask

Exfiltracao de Rede

/dev/tcp/ (reverse shell bash)
nc -l / ncat -l (netcat em modo listen)

Acesso a Credenciais

.ssh/ (chaves SSH)
.gnupg/ (chaves GPG)
.aws/credentials
.kube/config

Destruicao de Banco de Dados

DROP DATABASE/TABLE/SCHEMA
TRUNCATE TABLE
DELETE FROM ... WHERE 1=1

Git Force e Processos

git push --force / git push -f
git reset --hard
git clean -f
kill -9, killall, pkill -9
shutdown, reboot, poweroff, halt

Esses padroes sao imunes a bypass: mesmo que @coder exec * esteja configurado como allow, comandos que matcham esses padroes sempre pedem confirmação.

Allowlist de Comandos Read-Only

O ChatCLI mantem uma allowlist de 90+ comandos que sao automaticamente aprovados por serem somente leitura:

ls, ll, cat, head, tail, less, more, wc, file, stat, du, df, find (sem -delete/-exec), tree, realpath, readlink, basename, dirname, md5sum, sha256sum

grep, egrep, fgrep, rg, ag, awk, sed (sem -i), sort (sem -o), uniq, cut, tr, diff, comm, jq, yq, xmllint

git status, git diff, git log, git show, git branch, git tag, git remote, git stash list, git rev-parse, git describe, git ls-files, git ls-tree, git cat-file, git blame, git shortlog, git reflog

go version/env/list/doc/vet, node -v, python --version, rustc --version, java -version

uname, hostname, whoami, id, date, uptime, env, printenv, which, whereis, echo, printf, pwdDocker: ps, images, inspect, logs, info, version, stats, topkubectl: get, describe, logs, top, version, config, cluster-info, api-resources

npm ls/list/outdated/info, yarn list/info, pip list/show/freeze, cargo tree/metadata

Protecoes Adicionais

Mesmo para comandos da allowlist, certas flags e padroes sao não auto-aprovados:

Comando	Flags Não Seguras
`tail`	`-f` (follow = long-running)
`find`	`-delete`, `-exec`, `-execdir`
`sed`	`-i`, `--in-place`
`sort`	`-o` (escrita em arquivo)
`git config`	`--global`, `--system`

Alem disso, comandos com pipe para destinos perigosos (| rm, | sudo, | xargs, | sh) ou redirecionamento de output (>, >>) nunca sao auto-aprovados.

Fluxo de Decisão

Tool call recebida
  │
  ├─ 1. Safety Bypass Check
  │   └─ Match em padrão imune? → SEMPRE ASK (ignora tudo abaixo)
  │
  ├─ 2. Denial Tracker Check
  │   ├─ Sessão escalada? → ASK
  │   └─ Tool bloqueada? → DENY
  │
  ├─ 3. Policy Resolution (CLI > Projeto > Usuário > Default)
  │   ├─ allow → próximo check
  │   ├─ deny → DENY
  │   └─ ask → ASK
  │
  ├─ 4. Read-Only Allowlist
  │   └─ Comando na allowlist sem flags perigosas? → ALLOW
  │
  └─ 5. Default → ASK

Próximos Passos

Segurança do Coder

Detalhes sobre a segurança do modo coder.

Sistema de Hooks

Hooks PreToolUse para guardrails adicionais.

Segurança

Modelo geral de segurança do ChatCLI.

Plugin @coder

Referência das ferramentas protegidas pelo sistema de permissões.

​Resolução de Politicas Multi-Fonte

​Formato do Arquivo de Política

​Acoes Disponíveis

​Rastreamento de Negacoes

​Configuração do Denial Tracker

​Imunidade de Segurança (Safety Bypass)

​Allowlist de Comandos Read-Only

​Protecoes Adicionais

​Fluxo de Decisão

​Próximos Passos

Segurança do Coder

Sistema de Hooks

Segurança

Plugin @coder

Resolução de Politicas Multi-Fonte

Formato do Arquivo de Política

Acoes Disponíveis

Rastreamento de Negacoes

Configuração do Denial Tracker

Imunidade de Segurança (Safety Bypass)

Allowlist de Comandos Read-Only

Protecoes Adicionais

Fluxo de Decisão

Próximos Passos