Experiência com Claude Code e permissões de banco de dados
Na última terça-feira, às 3 da manhã, um loop de múltiplos agentes atingiu 12K KV de gravações/minuto e congelou. O loop era um bug de contador de uma linha. Essa parte era corrigível. O que encontrei enquanto rastreava foi pior.
Eu tinha --dangerously-skip-permissions habilitado em uma sessão do Claude Code que estava executando migrações D1. Eu pensei que estava apontando para staging. Não estava — eu havia configurado incorretamente minha referência de arquivo env, carregando .env.production em vez de .dev.vars. Claude não perguntou. A flag disse para não perguntar. A migração era ADD COLUMN, não DROP COLUMN, então não houve perda de dados. Sobrevivível. Mas apenas por pouco.
A coisa que eu errei: eu tratei --dangerously-skip-permissions como "pular os pop-ups de confirmação irritantes." Na verdade, é "remover o único momento em que um humano vê qual comando está prestes a ser executado." Essas são coisas muito diferentes. Desligar a flag ajuda, mas não restringe o que Claude tenta — apenas adiciona um prompt que você clicará de qualquer maneira às 3 da manhã.
O que realmente funcionou foi adicionar uma regra de negação em .claude/settings.json:
{
"permissions": {
"allow": ["Bash(wrangler d1 execute * --local*)"],
"deny": ["Bash(wrangler d1 execute *)"]
}
}
A regra de permissão é mais específica do que a de negação, então chamadas --local passam e tudo o mais é bloqueado antes da execução. Mais de 2 semanas após a correção, Claude não tentou nenhum comando no banco de dados de produção. Três eventos de negação foram registrados — todos de prompts ambíguos que escrevi durante mudanças rápidas de contexto, não de Claude se tornando rebelde.
Acabei executando três camadas: a lista de permissões do settings.json, um worktree git separado para trabalho de migração que contém fisicamente apenas credenciais de staging, e um CLAUDE.md que instrui Claude a perguntar antes de qualquer coisa que toque na produção. A abordagem do CLAUDE.md tem uma verdadeira desvantagem, no entanto — em sessões longas, as instruções perdem peso à medida que o contexto cresce. Qualquer coisa crítica precisa ser reafirmada no próprio prompt.
Eu escrevi a análise completa — incluindo a configuração do worktree, a redação exata do CLAUDE.md, e por que as permissões da ferramenta MCP se comportam de maneira inconsistente com as regras de negação — no riversealab.com.
O artigo ilustra os riscos de automação sem supervisão adequada, um alerta para empresas brasileiras que utilizam agentes de IA. A gestão de permissões é crucial para evitar falhas em ambientes de produção. A experiência compartilhada pode ajudar na implementação de práticas seguras.
