4 файла, которые заставили Claude Code писать безопасный код для продакшн-базы данных

Разработчик на r/ClaudeAI делится практичным решением, позволяющим Claude Code безопасно взаимодействовать с продакшен-базой данных (Convex). Ключевая идея: безопасность обеспечивается системой, а не агентом, действующим наобум.

4 файла

• ~/projects/agent-os/CLAUDE.md — файл идентичности: кто вы, что продаете, кому продаете, приоритеты на 90 дней. Агент читает, никогда не спрашивает.
• ~/.claude/projects/-home-jon/memory/MEMORY.md — индекс автопамяти: профиль пользователя, правила обратной связи, состояние проекта между сессиями. Не дает агенту заново учиться в каждом разговоре.
• references/framework.md — руководство оператора: как принимаются решения, что оптимизировать, структурные правила для масштабирования.
• decisions/log.md — журнал решений только на добавление: обратимые решения — одна строка; критически важные — полная документация.

Мост: scripts/skool_sheets_to_convex.py

Стандартная библиотека Python, детерминированный, запускается по таймеру systemd каждые 10 минут. Агент вызывает его, но не генерирует на лету. Запись в продакшен требует:

• Переменную окружения SKOOL_ALLOW_PROD_WRITES=1
• 401-предварительную проверку на основе разрешенного слага Convex деплоя
• Составной ключ идемпотентности: {tab_slug}:{normalized_transaction_id}
• Логгер, редактирующий вывод: удаляет строки, похожие на email, и известные префиксы секретов до записи в журнал

Спецификация и процесс проверки

Спецификация была в references/skool-api.md до написания кода. Codex проверил ее дважды:

• Первый проход: отклонил подход с cookie-авторизацией, нарушивший бы Условия предоставления услуг Skool.
• Второй проход: добавил защиту записи в продакшен.
• Оба прохода пропустили предположение о поле, которое было выведено. Пробный прогон выявил ошибку.
• Более тихая ошибка кэша: _read_json проглатывал JSONDecodeError и возвращал пустой словарь. При тесте на повреждение (намеренно поврежденный кэш, запуск моста) он бы молча перестроил кэш обработанных событий и отправил каждую строку дважды. Ошибка была найдена и исправлена до запуска канарейки.

Вывод

Автор рекомендует сначала скопировать connections.md — знание того, к чему на самом деле может подключиться ваша установка Claude, — это самый легкий способ улучшить работу.

Ни одна из защит не была придумана агентом на ходу. Они появились из спецификации, которая появилась из исследования, которое появилось из правила рабочего процесса в памяти: исследование, планирование, спецификация, реализация, с последующей проверкой на каждом этапе.