核心配置與能力

這一組解決“Claude Code 能執行之後，怎麼穩定、安全、可復現地用”。安裝和登入只是入口；真正進入專案後，先要分清配置放在哪一層、工具能做什麼、Claude 每次知道什麼、外部系統什麼時候值得接入。

1. 這一組包含什麼

核心配置與能力一共 4 章：

• 配置 Claude Code：managed（管理員）、user（使用者）、project（專案）、local（本地）四個作用域，settings（設定）合併規則，環境變數、Hooks、MCP、外掛和記憶的配置歸屬。
• 管理許可權：allow（允許）、ask（詢問）、deny（拒絕）、許可權模式、Bash / Read / Edit / WebFetch / MCP / Subagents 的工具邊界，以及 sandbox（沙盒）配合。
• 使用記憶機制：CLAUDE.md、CLAUDE.local.md、.claude/rules/、@import、auto memory、/memory 和排障。
• 連線 MCP：HTTP、SSE、stdio、local / project / user 作用域、OAuth、Tool Search（工具搜尋）、輸出限制和 managed MCP。

2. 章節入口

3. 推薦閱讀順序

按真實配置順序讀：

1. 先讀 settings（設定）。配置作用域錯了，後面的許可權、MCP、Hooks 都會難排查。
2. 再讀 permissions（許可權）。不要在沒理解工具邊界前開放自動執行。
3. 然後讀 memory（記憶）。把重複提醒沉澱到 CLAUDE.md、rules 或 auto memory。
4. 最後讀 MCP。外部系統接入會擴大訪問面，要放在許可權和記憶之後。

如果按問題跳轉：

• 不知道配置放 user 還是 project：讀 settings（設定）。
• 想減少許可權彈出視窗：先讀 permissions（許可權），不要直接開 bypass。
• 想禁止讀 .env 或危險命令：讀 permissions，再看 Hooks。
• Claude 老忘專案命令：讀 memory。
• CLAUDE.md 越寫越長：讀 memory 的 rules 和 Skill 分工。
• MCP token、OAuth、scope（作用域）不清楚：讀 MCP。
• MCP 工具輸出太大：讀 MCP 的輸出限制和 Tool Search。

4. 不要混淆的邊界

幾個邊界必須分清：

• CLAUDE.md 是上下文，不是許可權系統。
• allowed_tools 是預批准，不是工具沙盒。
• settings scope（設定作用域）是歸屬邊界，不是簡單優先順序猜謎。
• MCP prompt 是外部系統給的流程入口，不等於 MCP tool 許可權。
• sandbox 不是 MCP 的網路防火牆。
• auto memory 是本機學習筆記，不是團隊規範。

5. 完成後的驗收標準

讀完這一組，你應該能做到：

• 能判斷一條配置該放 managed、user、project 還是 local 作用域。
• 能寫出基本的 permissions（許可權） allow、ask、deny。
• 能解釋 default、acceptEdits、plan、auto、dontAsk、bypassPermissions 的差別。
• 能把專案長期規則放進合適的 CLAUDE.md 或 .claude/rules/。
• 能用 /memory 排查當前會話載入了什麼。
• 能判斷 MCP 該放 local、project 還是 user 作用域。
• 能確認 .mcp.json 不提交真實金鑰。
• 能控制 MCP 工具許可權和輸出大小。

6. 官方來源

• Claude Code settings
• Configure permissions
• How Claude remembers your project
• Connect Claude Code to tools via MCP