de: Ein kontextbewusster Berechtigungswächter für Claude Code

Was nah macht

nah ist ein Python-basierter Berechtigungswächter, der zwischen Claude Code und der Tool-Ausführung sitzt. Es adressiert die Einschränkungen von Claudes binärem Erlauben-oder-Verweigern-Berechtigungssystem durch kontextbewusste Entscheidungsfindung. Das Tool fängt jeden Tool-Aufruf ab, bevor er ausgeführt wird, und klassifiziert ihn basierend auf dem, was er tatsächlich tut.

Wie es funktioniert

Jeder Tool-Aufruf trifft zuerst auf einen deterministischen strukturellen Klassifikator (keine LLMs erforderlich), der in Millisekunden läuft. Der Klassifikator ordnet Befehle Aktionstypen zu wie:

• filesystem_read
• filesystem_delete
• package_run
• db_write
• git_history_rewrite
• lang_exec

Für jeden Aktionstyp wendet nah eine von vier Richtlinien an: allow, context (hängt vom Ziel ab), ask oder block. Derselbe Befehl erhält basierend auf dem Kontext unterschiedliche Entscheidungen:

• rm dist/bundle.js (innerhalb des Projekts) → Allow
• rm ~/.bashrc (außerhalb des Projekts) → Ask
• git push --force → Ask (History-Rewrite)
• base64 -d | bash → Block (Decode + Exec Pipe)

Was es schützt

nah prüft je nach Tool verschiedene Aspekte:

• Bash: Strukturelle Befehls-Klassifikation — Aktionstyp, Pipe-Komposition, Shell-Entpackung
• Read: Erkennung sensibler Pfade (~/.ssh, ~/.aws, .env, ...)
• Write: Pfadprüfung + Projektgrenze + Inhaltsprüfung (Geheimnisse, Exfiltration, destruktive Payloads)
• Edit: Pfadprüfung + Projektgrenze + Inhaltsprüfung des Ersetzungsstrings
• Glob: Schützt Verzeichnis-Scans sensibler Orte
• Grep: Erkennt Credential-Suchmuster außerhalb des Projekts
• MCP tools: Generische Klassifikation für Drittanbieter-Tool-Server (mcp__*)

Installation und Nutzung

Installieren mit: pip install nah && nah install

Deinstallieren mit: nah uninstall && pip uninstall nah

Das Tool funktioniert sofort mit sinnvollen Standardeinstellungen und erfordert keine Konfiguration. Sie können eine Sicherheitsdemo in Claude Code ausführen mit: /nah-demo, die 25 Live-Fälle über 8 Bedrohungskategorien abdeckt, einschließlich Remote-Code-Ausführung, Datenexfiltration und verschleierten Befehlen.

Konfigurationsoptionen

Wenn Sie das Verhalten anpassen möchten, können Sie konfigurieren über:

• ~/.config/nah/config.yaml (global)
• .nah.yaml (pro Projekt, kann nur Berechtigungen verschärfen)

Beispielkonfiguration:

actions:
  filesystem_delete: ask  # immer bei Löschvorgängen bestätigen
  git_history_rewrite: block  # niemals Force Push erlauben
  lang_exec: allow  # Inline-Skripten vertrauen

sensitive_paths:
  ~/.kube: ask
  ~/Documents/taxes: block

Optionale LLM-Schicht

Für Befehle, die der deterministische Klassifikator nicht auflösen kann, kann nah optional einen LLM konsultieren. Der Ablauf ist: Tool-Aufruf → nah (deterministisch) → LLM (optional) → Claude Code Berechtigungen → ausführen. Die deterministische Schicht läuft immer zuerst — der LLM löst nur verbleibende "ask"-Entscheidungen auf. Wenn kein LLM konfiguriert oder verfügbar ist, bleibt die Entscheidung "ask" und der Benutzer wird aufgefordert. Unterstützte Anbieter sind Ollama, OpenRouter, OpenAI, Anthropic und Snowflake Cortex.

Wichtige Hinweise

Die Entwickler warnen ausdrücklich vor der Verwendung von Claudes --dangerously-skip-permissions-Flag. Im Bypass-Modus feuern Hooks asynchron — Befehle werden ausgeführt, bevor nah sie blockieren kann. Stattdessen empfehlen sie, Tools wie Bash, Read, Glob und Grep zu erlauben und von nah schützen zu lassen.