settings.json

denyWrite

サブプロセスに対して書き込みアクセスを明示的に拒否するパスを指定し、allowWrite設定よりも優先されます。

使い方・用途

/etc や /usr/local/bin など、システムの重要なディレクトリへの意図しない書き込みを確実にブロックし、サンドボックスの安全性を強化したい場合に使用します。

英語原文(公式ドキュメントより)

Paths where subprocesses are explicitly denied write access. Takes precedence over allowWrite. See https://code.claude.com/docs/en/sandboxing#filesystem-isolation

公式ドキュメントを参照