Damage Control

Damage Control 為 Claude Code 代理提供一層縱深防禦機制，專門用於降低執行非預期或惡意指令的風險。透過實作 PreToolUse 鉤子，它能在 Bash 指令、檔案編輯與寫入執行前進行驗證。此工具適用於軟體工程師與重視安全的開發者，他們需要限制自動化代理的運作環境，確保關鍵的正式環境目錄、憑證檔案與系統設定不會因誤操作或未經授權的修改而受損。使用者可透過集中式的 patterns.yaml 檔案定義自訂原則，攔截如 rm -rf 或 git reset 等危險指令，並強制執行細緻的存取控制，包括完全禁止存取、唯讀，以及禁止刪除等保護等級。

• 指令樣式攔截：透過 PreToolUse 鉤子在指令送達 Shell 前攔截並阻止危險的 Bash 操作。

• 路徑保護等級：配置三種不同的存取控制層級，以保護機密資訊 (zeroAccessPaths)、系統設定 (readOnlyPaths) 及防止誤刪 (noDeletePaths)。

• 多層級部署：支援在全域使用者層級、專案共用層級或本地個人層級進行安裝，透過 .claude/settings.json 或 settings.local.json 設定。

• 互動式工作流程：內建工作指南，協助使用者完成安裝、修改、測試以及 Windows PowerShell 與 cmd 的跨平台配置。

• 自動驗證：提供測試提示詞與指令驗證功能，確保安全鉤子在操作執行前能正確攔截未經授權的行為。

• 此技能作為工具呼叫與實際執行間的中介層，視選擇的實作方式而定，需具備 UV (Python) 或 Bun (TypeScript) 等標準工具。

• 使用者可透過自然語言觸發工作流程，例如要求「安裝 Damage Control」或「封鎖 npm publish 指令」來立即更新安全原則。

• 系統透過正規表示式與結束代碼分析（exit 0 表示允許，exit 2 表示封鎖，或回傳 JSON 進行確認）來驗證輸入。

• 修改安全配置時，務必備份 .claude 設定檔，並確保鉤子路徑與當前代理的工作目錄相符。

• 在依賴其進行生產環境安全保護前，請務必使用技能目錄中提供的測試套件來驗證您的環境配置。