Тонкая настройка Claude Code и ChatGPT Codex для маркетолога: убрать подтверждения и не сжечь рекламный бюджет

Ты подключил ИИ-агента к рекламным кабинетам, доверил ему рутину — и превратился в кнопку «да». Каждое действие Claude Code или Codex упирается в подтверждение: «Выполнить эту команду? Изменить этот файл?» Ты уже не читаешь — просто жмёшь Enter. А когда отвернулся в браузер, агент тихо закончил работу пять минут назад и ждёт. Простаивает он, простаиваешь ты.

Лечится двумя настройками за десять минут. Ниже — как убрать подтверждения в Claude Code и Codex, как повесить звук на завершение задачи и, главное, как при этом не дать агенту самовольно поменять бюджет в Яндекс Директе. Разберём механизм, а не только тумблеры: где скорость, где риск и где проходит граница.

Это 11 урок бесплатного курса для маркетологов - как работать профессионально с ИИ и увеличить количество клиентов в несколько раз.

Две штуки съедают время незаметно.

Первое — подтверждения. Агент спрашивает разрешение почти на каждый шаг: запустить команду, отредактировать файл, дёрнуть API рекламного кабинета. По умолчанию это правильно. Но когда ты пятый час подряд гоняешь однотипные операции, чтение запросов отключается, и ты механически подтверждаешь. Защита превращается в ритуал театр.

Второе — разрыв внимания. Агент работает сам по несколько минут. Ты переключаешься в браузер, в почту, в созвон. Он заканчивает — и ничего не происходит. Тишина. Ты вспоминаешь про него через пять минут, в худшем случае через полчаса. Это видно невооружённым глазом: окно с агентом простаивает, пока ты простаиваешь рядом.

На пальцах. Прикинем грубо, без претензии на замер: если за рабочую сессию агент просит подтверждение 30–50 раз, и каждое — это пара секунд внимания плюс переключение контекста обратно, набегает не пара минут, а ощутимый кусок дня. Плюс простои по пять минут после каждой длинной задачи. Точную цифру под ваш кейс никто не измерял — но порядок понятен.

Маркетолога это бьёт сильнее, чем разработчика. У нас рутина идёт пачками: не один аккаунт, а десяток, не одно объявление, а сотня, и агент через MCP (об этом ниже) дёргает Яндекс Директ, VK Ads, Метрику по кругу. Каждое касание кабинета — потенциальное подтверждение.

Тут важно не путать двух разных зверей.

Веб-чат — это ChatGPT или Claude в браузере. Пишешь промпт, получаешь текст. Удобно для идей, заголовков, разбора. Но руками в твою рекламу он не лезет.

Claude Code и Codex — это агенты в терминале. Они не просто пишут текст, а выполняют действия: правят файлы, запускают команды, ходят в API. И вот тут появляется MCP (Model Context Protocol) — открытый стандарт, через который агент подключается к внешним инструментам. На пальцах: MCP — это «розетки», в которые агент втыкается, чтобы управлять Яндекс Директом, VK Ads, аналитикой, складом. Не пересказывать тебе, что делать в кабинете, а делать самому.

Отсюда и весь смысл затеи. Агент с доступом к кабинетам — это не советчик, а исполнитель. А исполнителю подтверждать каждый чих — значит не дать ему работать.

Интересно. Кодовое имя у «режима без тормозов» в Codex говорящее: флаг, который выключает разом и подтверждения, и песочницу, официально называется --dangerously-bypass-approvals-and-sandbox, а его короткий алиас — --yolo. Инженеры OpenAI не стали притворяться, что это безопасно. Честнее, чем маркетинговое «умный авто-режим».

Личная врезка, и сразу помечу уровень. Мы год работали на Claude Code, потом перевели управление рекламными кампаниями на Codex — нам он зашёл лучше под нашу задачу. Это опыт, а не бенчмарк: публичных замеров «кто лучше для маркетинговой рутины» мы не приводим, у вас на ваших задачах может выйти иначе. Уровень уверенности — «похоже», не «доказано». Дальше показываю на обоих, выбирайте сами.

Главный страх звучит так: «Уберу подтверждения — агент рано или поздно что-нибудь сломает или сольёт бюджет». Страх обоснованный. Но из него обычно делают неверный вывод — «значит, терпим подтверждения вечно».

Гипотеза №1: подтверждения можно снять глобально и при этом не дать агенту тронуть деньги. Не «разреши всё», а «разреши всё, кроме явно опасного».

Проверяем на двух инструментах плюс отдельный слой — точечные стоп-краны на критичные действия. Поехали.

Bypass Permissions — это режим Claude Code, в котором агент перестаёт спрашивать разрешение и выполняет действия сам. В интерфейсе он же мелькает как «skip permissions» и помечен как опасный — и не зря.

На момент написания (Claude Code v2.1+) у инструмента несколько режимов доступа:

default — спрашивает при первом использовании каждого инструмента;
acceptEdits — сам принимает правки файлов и базовые файловые команды;
plan — только чтение и планирование, без правок;
bypassPermissions — пропускает вообще все запросы. Это то, что нам нужно.

Включить можно тремя способами.

Флагом при запуске:

claude --dangerously-skip-permissions

Через settings.json (глобально в ~/.claude/ или для проекта в .claude/):

{"permissions":{"defaultMode":"bypassPermissions"}}

Или прямо в сессии — попросить Claude переключиться в bypass-режим, он подскажет, что поправить.

Теперь честно, чем это опасно — без этого абзаца статья была бы вредной:

режим пропускает все запросы, включая запись в служебные папки .git, .claude и подобные;
он не блокируется правилами deny. Запретил Bash(rm *) — в bypass-режиме это всё равно выполнится;
сохраняется ровно один предохранитель: удаление вроде rm -rf / или rm -rf ~ всё-таки переспросит — это аварийный стоп-кран на случай галлюцинации модели;
Anthropic прямым текстом рекомендует включать его только в изолированном окружении — контейнере или виртуалке, где агент физически не дотянется до лишнего.

Вывод. Bypass Permissions решает проблему подтверждений целиком и сразу. Но включать его вслепую на машине с доступом к боевым кабинетам — значит менять минуты на потенциально слитый бюджет. Поэтому дальше — два защитных слоя.

Вторая потеря — простой после завершения. Лечится звуком.

Hooks — это механизм Claude Code, который запускает твою команду в ответ на событие. Не модель «решает» проиграть звук, а система гарантированно его проигрывает. Детерминированно, в отличие от просьб в промпте.

Нам нужно событие Stop — оно срабатывает, когда Claude закончил отвечать. Не путать с Notification: оно про «агенту нужно твоё внимание прямо сейчас», например, упёрся в запрос. Для «он доделал длинную задачу, позови меня» — это именно Stop.

Конфиг кладётся в settings.json (в ~/.claude/ или .claude/ проекта). Пример для macOS — проигрываем системный звук через afplay:

{"hooks":{"Stop":[{"matcher":"","hooks":[{"type":"command","command":"afplay /System/Library/Sounds/Glass.aiff"}]}]}}

На Linux вместо afplay подойдёт notify-send, на Windows — команда через PowerShell. Файл звука меняй на любой свой.

Вывод. Теперь агент сам «звякает», когда закончил, даже если ты ушёл в браузер. Простой между «он доделал» и «ты вернулся» схлопывается до длины одного «пям-пам».

Вот ключевой нюанс, ради которого вся статья. Bypass-режим снял подтверждения глобально. Как вернуть стоп-кран на одно конкретное опасное действие — скажем, на изменение бюджета?

В Claude Code для этого есть файл-память проекта — CLAUDE.md (у Codex аналог называется AGENTS.md). Лежит в корне проекта, подхватывается в начале каждой сессии и переживает сжатие контекста. Туда пишут правила работы. Например:

И вот тут — честность, которую обычно проглатывают. Правило в CLAUDE.md — это мягкий ограничитель, а не firewall. Это инструкция, которую модель читает и старается выполнять. Насколько часто она реально срабатывает — надёжных замеров у нас нет, поэтому относимся к ней как к мягкому слою, а не как к гарантии: запутавшаяся модель или промпт-инъекция из внешнего источника могут её проигнорировать. Это guidance, не запрет на уровне системы.

Нужен жёсткий замок, а не просьба? Складывай защиту в три слоя:

CLAUDE.md / AGENTS.md — поведенческое правило «спроси про бюджет» (мягкий слой);
permission deny-правила в settings.json — заблокировать правку конкретных файлов или команд намертво. Но помни: в чистом bypass-режиме deny не действует, поэтому либо не гоняем голый bypass на боевой машине, либо держим критичное вне досягаемости;
лимиты в самом рекламном кабинете — дневной бюджет, который агент физически не может превысить, потому что ограничение стоит на стороне Яндекса или VK, а не на стороне модели.

Вывод. Самый надёжный стоп-кран — не в промпте и не в правиле, а в системе, которая не зависит от настроения модели. CLAUDE.md удобен и нужен, но не делайте его единственной преградой между агентом и вашими деньгами.

В Codex логика идентичная, отличаются названия.

Убрать подтверждения — две строки в ~/.codex/config.toml:

approval_policy = "never" sandbox_mode = "danger-full-access"

Первая строка убирает запросы (never — никогда не спрашивать), вторая снимает ограничения песочницы. То же самое одним флагом при запуске:

codex --yolo # то же, но явно: codex -a never -s danger-full-access

Звук по завершении в Codex вешается через настройку notify — она запускает внешнюю программу на событиях агента. Важно: notify работает только в пользовательском конфиге ~/.codex/config.toml, в проектном .codex/ его игнорируют.

notify = ["python3", "/Users/you/.codex/notify.py"]

Codex передаёт скрипту JSON с типом события (сейчас это agent-turn-complete — «ход завершён»). Минимальный notify.py для macOS, который на завершении проигрывает звук:

#!/usr/bin/env python3import json, subprocess, sys defmain()->int:iflen(sys.argv)<2:return1 note = json.loads(sys.argv[1])if note.get("type")!="agent-turn-complete":return0 subprocess.run(["afplay","/System/Library/Sounds/Glass.aiff"], check=False)return0if __name__ =="__main__": sys.exit(main())

Две оговорки, чтобы не словить грабли:

на корпоративной или управляемой машине админский конфиг может запрещать never и danger-full-access — тогда настройки просто не применятся;
в расширении для VS Code, по открытым багрепортам, approval_policy = "never" иногда срабатывает не так, как в CLI. Поведение странное — проверяйте в терминале.

Вывод. Гипотеза №1 подтверждается на обоих инструментах: подтверждения снимаются полностью, звук возвращает тебя к завершённой задаче. Разница между Claude Code и Codex здесь — только в словаре.

Итак, чтобы не держать в голове два словаря — вот соответствие настроек один в один.

| Что делаем | Claude Code | Codex |

|—|---|—|

| Убрать все подтверждения | bypassPermissions / флаг --dangerously-skip-permissions | approval_policy = "never" + sandbox_mode = "danger-full-access" / флаг --yolo |

| Звук по завершении | hook на событие Stop + afplay | notify + скрипт notify.py + afplay |

| Правила и стоп-краны | CLAUDE.md + deny-правила в settings.json | AGENTS.md |

| Где лежит конфиг | ~/.claude/settings.json или .claude/ | ~/.codex/config.toml |

| Имя «опасного» режима | Bypass Permissions (Dangerous mode) | danger-full-access / YOLO |

Паттерн, а не приказ: режим без подтверждений хорош ровно там, где цена ошибки контролируема. Не включайте полный bypass:

на чужой или продакшн-машине, где агент дотянется до боевых данных и секретов;
при общем доступе к компьютеру — кто угодно запустит агента с полными правами;
когда у агента есть доступ к реальным деньгам без лимита на стороне кабинета;
если агент ходит в сеть и читает внешние страницы — это вектор для промпт-инъекции, когда вредная инструкция приезжает извне и выполняется без вопросов.

OpenAI и Anthropic тут сходятся: связку «без подтверждений + без песочницы» обе компании помечают как «повышенный риск, не рекомендуется для обычной работы» и советуют держать её для изолированных контейнеров и виртуалок. Разумный дефолт для боевой машины — оставить лёгкие подтверждения на опасных действиях, а bypass включать в песочнице.

Для Claude Code:

добавить в .claude/settings.json hook на Stop со звуком;
решить, где будет жить bypass: либо --dangerously-skip-permissions в песочнице, либо defaultMode в settings;
прописать в CLAUDE.md правило про бюджет;
выставить дневной лимит в рекламном кабинете — настоящий стоп-кран.

Для Codex:

две строки в ~/.codex/config.toml (approval_policy, sandbox_mode) либо запуск через --yolo;
положить notify.py и прописать notify в пользовательском конфиге;
правила — в AGENTS.md;
лимит в кабинете — там же, на стороне платформы.

Две потери времени у агента — подтверждения и простой после завершения. Лечатся настройкой за десять минут.
Подтверждения снимаются: в Claude Code — Bypass Permissions, в Codex — approval_policy = "never" + danger-full-access.
Звук по завершении: hook Stop в Claude Code, notify + notify.py в Codex.
Бюджет защищаем тремя слоями: правило в CLAUDE.md (мягко), deny-правила (жёстче), лимит в кабинете (надёжно).
Полный bypass — только там, где цена ошибки контролируема. На боевой машине без лимитов — не надо.

Что такое режим bypass permissions в Claude Code?

Это режим, в котором Claude Code перестаёт спрашивать разрешение на каждое действие и выполняет всё сам. Включается флагом --dangerously-skip-permissions или параметром defaultMode: bypassPermissions в settings.json. Помечен как опасный, потому что пропускает все запросы и не подчиняется deny-правилам.

Опасно ли отключать подтверждения у ИИ-агента?

Да, если у агента есть доступ к боевым данным, деньгам или сети. Без подтверждений одна галлюцинация или промпт-инъекция выполнится без вопроса. Безопасно — в изолированном окружении (контейнер, виртуалка) и при лимитах на стороне рекламного кабинета.

Codex или Claude Code — что выбрать маркетологу?

Оба умеют одно и то же: убрать подтверждения, играть звук, читать правила проекта. Мы перешли с Claude Code на Codex под свои задачи — но это наш опыт, не универсальный вердикт. Начните с того, что у вас уже подключено к кабинетам через MCP, и сравните на своей рутине.

Как запретить агенту менять рекламный бюджет?

Тремя слоями. Правило в CLAUDE.md/AGENTS.md «не меняй бюджет без подтверждения» — мягкий слой. Permission deny-правило на конкретный файл или команду — жёстче. Дневной лимит в самом кабинете — самый надёжный, потому что не зависит от модели.

Что такое hooks и MCP простыми словами?

Hooks — твои команды, которые Claude Code запускает на событиях, например звук на завершении. MCP — стандарт, через который агент подключается к внешним инструментам: Яндекс Директу, VK Ads, аналитике. Hooks — про реакции, MCP — про доступы.

Это работает из России?

Сами настройки (bypass, hooks, notify, config.toml) от страны не зависят — это локальные файлы. Вопрос только в доступе к самим Claude Code и Codex; способы подключения мы разбирали в отдельных уроках.

Скорость и контроль — не противоположности. Подтверждения можно снять глобально, а защиту вернуть точечно: правилом в CLAUDE.md, deny-правилом и — главное — лимитом на стороне кабинета, который не зависит от настроения модели. Тогда агент работает сам, но в очерченных границах, а ты к концу квартала разбираешь результаты, а не последствия.

Чего мы не проверяли и где наша уверенность не максимальная: какой из двух инструментов объективно лучше под маркетинговую рутину — это наш опыт, а не замер; и насколько надёжно CLAUDE.md держит правило в редких сценариях с инъекциями — поэтому и настаиваем на лимите в кабинете как последней преграде.

Уже гоняете Claude Code или Codex на рекламе — расскажите в комментариях, какие стоп-краны ставите вы и ловили ли момент, когда агент пытался сделать лишнее. А в следующих уроках разберём тонкую настройку кампаний в Яндекс Директе и VK через ИИ — там этих граблей ещё больше.

Это 11 урок бесплатного курса для маркетологов - как работать профессионально с ИИ и увеличить количество клиентов в несколько раз