是否给予 Claude Code 对我自托管安装的只读访问权限?

我安装了 Claude Code,希望充分利用它来协助我设置和管理我的安装环境。我不想赋予它任何写入权限。请问是否有一种方法可以仅授予它对 Discourse 安装的 SSH 只读访问权限?数据库方面是否也是如此?同时,如何禁止其访问服务器上任何涉及“安全或机密”的内容?在我看来,如果能提供此类访问权限,效率会高得多,而不必让它去阅读网页、翻查 SQL 转储文件(顺便一提:仔细想想,这些转储文件在安全方面是否包含敏感信息?我认为是的),或者提供截图、复制粘贴设置和错误信息……

有人正在这样做吗?

可以,你可以创建一个仅具有只读权限的 SSH 用户,并让 Claude Code 使用该用户……这样能防止未经授权的修改,但它仍然能够读取敏感信息。

你的推测是正确的!个人消息的内容、哈希密码、IP 地址、API 密钥等等,包含大量敏感信息。

更简单的做法是创建一个不含敏感数据但配置相同的网站副本,将其用作沙箱。这样做也有权衡之处,因为你需要维护一个独立的网站并保持配置同步,而且有时你只能在生产环境中复现问题。不过,这是最安全的方式。

你保持谨慎是对的……我们 Discourse 团队自身的安全政策也对此加以限制,我们不能让大型语言模型访问生产数据库。