Verde
Passa sozinho. Você nem vê.
Amarelo
Espera você. Pode virar “sempre” nesta sessão.
Vermelho
Espera você. Nunca vira “sempre”.
Verde
A lista inteira. Não há mais nada:cat a pedir permissão.
Vermelho
Repare no detalhe do
rm: rm -rf, rm -fr e rm -r -f são todos vermelhos. Já rm arquivo.txt é amarelo — apagar um arquivo dentro do worktree é trabalho normal de agente.
E o pipe para shell é o que pega curl ... | bash mesmo escrito de um jeito que o curl não é o primeiro token.
Amarelo
Todo o resto. Inclusive comando vazio.Sair do worktree pinta de vermelho
Independente do comando, qualquer token que comece com/ ou ~/ e resolva fora do worktree da sessão escala para vermelho:
cargo build 2> /dev/null continua amarelo em vez de escalar.
O mesmo vale para escrita: gravar dentro do worktree é verde; escapar dele — por caminho absoluto, por ../, ou através de um symlink que aponta para fora — é vermelho.
Por ferramenta
Rede é sempre vermelha porque é o caminho de saída: é por ali que conteúdo do seu disco viraria requisição para fora.
No Codex,
apply_patch é classificado pelo pior caminho que ele toca — um patch com dez arquivos dentro do worktree e um fora é vermelho.
O que você responde
Quando algo espera por você, o TYBA notifica e a sessão fica bloqueada até a resposta.- Verde e amarelo
- Vermelho
O que “Sempre” realmente significa
- Vale enquanto a sessão viver. Fechou, morreu.
- Casa a string exata: liberar
cargo testnão liberacargo test --release. - Nunca aceita vermelho.
O que nem chega a ser perguntado
main ou master é recusado pelo core. Não vira pedido de aprovação, não aparece no inbox, não tem botão. O agente recebe o erro direto:
HEAD:main, +main e afins caem na mesma regra.
Fail-closed
Se a sessão morre com pedidos pendentes, todos viram negados. Se o canal de aprovação quebra, o padrão é negar. Não há caminho em que a falha da infraestrutura vire permissão.Veja também
- Plataformas — o que o sandbox garante em cada sistema
- Configuração do repositório — o ambiente que o agente recebe