非工程师如何使用 Claude Code:安全流程、提示词、权限与业务场景
面向非工程师的 Claude Code 实用指南:安全提示词、权限设置、风险表、业务案例和每日清单。
Claude Code 不只是工程师的工具。市场、运营、客服、销售、人事、产品经理和创业者,也可以用它整理文档、修改网站文案、处理 CSV 报表、生成检查清单,或者把一句模糊的需求拆成可以审核的小任务。
但它不是“自动发布按钮”。Claude Code 可以读取文件、修改文件、执行命令。能力越强,越需要边界。对非工程师来说,最重要的习惯是:一次只让它做一个小任务,先看 diff,再决定下一步;一旦涉及密钥、客户数据、生产环境、支付或安全,就停下来找工程师确认。
如果你还没有安装,可以先看 Claude Code 入门指南。安全边界可以继续阅读 Approval / Sandbox 指南 和 权限设置指南。
先理解几个词
终端是用文字给电脑下指令的窗口。diff 是“修改前和修改后有什么不同”。权限 是告诉 Claude Code:哪些操作可以直接做,哪些要先问你,哪些永远不能做。
| 词 | 通俗解释 | 你要检查什么 |
|---|---|---|
| Terminal | 文字版控制台 | 当前文件夹是否正确 |
| Diff | 文件变化清单 | 是否只改了预期文件 |
| Approval | 执行前确认 | 你是否看懂了操作 |
| Sandbox | 受限制的工作区 | 命令是否越界 |
| Secret | API key、密码、token | 不要随便让它读取 |
安全工作流
flowchart LR
A["写清目标"] --> B["只要求检查"]
B --> C["阅读问题和风险"]
C --> D["批准一个小修改"]
D --> E["查看 diff 摘要"]
E --> F{"涉及生产或密钥?"}
F -->|是| G["停止并询问工程师"]
F -->|否| H["运行检查并人工决定"]
第一句话建议写成:“请先不要编辑任何文件。” 这会让 Claude Code 先调查、提问、列计划,而不是马上动手。
权限设置示例
建议收藏的官方文档:
初学者可以允许读取和测试,写入前要求确认,禁止密钥和不可逆命令。
{
"$schema": "https://json.schemastore.org/claude-code-settings.json",
"permissions": {
"allow": [
"Read",
"Grep",
"Glob",
"Bash(npm run build)",
"Bash(npm run test)"
],
"ask": [
"Edit",
"Write",
"Bash(git diff)",
"Bash(git status)"
],
"deny": [
"Read(.env*)",
"Read(**/secrets/**)",
"Bash(rm -rf *)",
"Bash(git reset --hard)",
"Bash(git push *)",
"Bash(npm publish *)"
]
}
}
allow 表示允许,ask 表示执行前询问,deny 表示禁止。.env 文件经常保存 API key 或密码,普通内容工作不应该读取它。
把模糊需求变成安全清单
请作为谨慎的工作助手。现在不要编辑文件。
目标:
我想让联系页面对第一次访问的客户更清楚。
请完成:
1. 找出可能相关的文件。
2. 列出编辑前必须确认的 5 个问题。
3. 把工作拆成小任务。
4. 标记需要工程师确认的高风险任务。
5. 推荐今天可以做的最小安全任务。
这个提示词适合网站文案、FAQ、内部文档、邮件模板和运营流程。
场景1:修改网站文案
不要发布,也不要部署。
只检查价格页面的文案。
文件:
- site/src/content/pricing.mdx
- site/src/pages/pricing.astro
任务:
1. 找出新客户不容易理解的表达。
2. 用表格给出替代表达。
3. 等我确认。
4. 只应用我批准的文案。
5. 用中文解释 git diff。
不要把文案、设计、价格逻辑、支付流程和发布放在同一个请求里。风险等级完全不同。
场景2:内部文档和培训材料
读取 docs/onboarding/,创建 docs/onboarding/day-one-checklist.md。
规则:
- 不删除已有文档。
- 技术术语第一次出现时用简单中文解释。
- 不确定的内容标记为“待确认”。
- 最后列出 3 个需要问 HR 或 IT 的问题。
更多文档整理方法可以看 Claude Code 文档生成。
场景3:CSV 和表格处理
处理真实客户数据前,先用样例数据验证。
date,customer,plan,status,amount
2026-06-01,Acme,Standard,open,12000
2026-06-01,Northwind,Pro,closed,30000
2026-06-02,Contoso,Standard,open,12000
检查 data/inquiries.csv,并创建安全的提取脚本。
规则:
- 先只报告列名和行数。
- 如果某列看起来像个人信息,立即停止。
- 创建 scripts/open-inquiries.mjs。
- node scripts/open-inquiries.mjs 应生成 output/open-inquiries.csv。
- 报告提取了多少行。
表格自动化可以继续看 Claude Code 表格自动化。
场景4:业务自动化草案
不要一开始就做“全自动”。先写出人可以照着执行的流程。
为每天上午 9 点的运营例行工作创建 docs/daily-ops-checklist.md。
输入:
- 检查未解决的客户咨询。
- 查看昨天的收入。
- 检查错误通知。
- 在 Slack 发布今天的优先事项。
输出:
- 分步骤清单。
- 预计耗时。
- 哪些可以自动化。
- 哪些需要人工判断。
- 自动化失败时的回退方案。
从清单走向脚本时,可以参考 工作流自动化案例。
风险表
| 风险 | 可能后果 | 更安全的做法 |
|---|---|---|
| “全部修好” | 修改太多,无法审核 | 一个文件,一个目标 |
读取 .env | 密钥泄露 | 禁止并询问工程师 |
允许 git push | 未审核内容被推送 | 发布保持人工操作 |
| 真实客户数据 | 隐私或合规风险 | 先用样例数据 |
| 没有测试或预览 | 错误进入线上 | build、test、目视检查 |
| 反复重试错误 | 同样失败不断发生 | 先让它解释错误 |
出现删除、发布、支付、登录、客户数据、合同、生产环境这些词时,请暂停。
每日检查清单
| 时间点 | 检查项 |
|---|---|
| 开始前 | 今天只定义一个要完成的目标 |
| 调查时 | 写明“不要编辑文件” |
| 编辑前 | 确认目标文件 |
| 批准时 | 看清工具和命令 |
| 编辑后 | 让 Claude 用中文总结 diff |
| 分享前 | 确认没有发布、发送、删除或部署 |
| 不确定时 | 把 diff 和疑问发给工程师 |
给团队落地的小建议
如果团队里大多数人不是工程师,不要一开始就追求“每个人都会写脚本”。更现实的做法是先统一三件事:常用提示词、禁止操作清单、找工程师确认的标准。比如,市场同事可以负责文案修改和 FAQ 整理,运营同事可以负责 CSV 样例和日报清单,工程师只在权限、发布、数据和安全边界上把关。这样既能提高效率,也不会把风险全部压给不熟悉代码的人。
培训与咨询
ClaudeCodeLab 可以帮助非技术团队制定 Claude Code 使用规则:团队提示词、权限配置、审核流程,以及网站更新、FAQ、CSV 报表和内部文档的第一批自动化案例。
最好的第一个项目不是大型自动化,而是小、重复、容易验证的任务。团队先学会提问、审核和停止,后续自动化才可靠。
实测结果
我用这个流程测试了三类任务:网站文案修改、入职清单生成、CSV 提取。最有效的安全提示是“先不要编辑”“先提问题”“把风险任务分开”。省略这些句子时,diff 会变大,非工程师很难判断是否安全。
免费 PDF: Claude Code 速查表
输入邮箱即可获取一页 PDF,整理常用命令、审查习惯和安全工作流。
我们会妥善保护你的信息,不发送垃圾邮件。
把 Claude Code 变成真正能带来结果的工作流
先领取中文说明的免费 PDF,再进入英文商品页选择合适的教材。如果你需要团队落地、流程设计或内容变现支持,也可以直接咨询。
关于作者
Masa
专注 Claude Code 实务流程、团队导入和内容转化的工程师。
相关文章
Claude Code首次仓库审计清单:第一次编辑前先画清地图
面向初学者的20分钟仓库审计:确认入口、风险区、验证命令和收入CTA路径。
Claude Code 轻量 Harness:新手安全修改代码的最小脚手架
把阅读、修改、验证、公开页面检查和收入 CTA 分开的 Claude Code 新手工作流。
Claude Code Repo Map 初次梳理:在不浪费上下文的情况下读懂旧项目
用 Claude Code 阅读既有仓库的安全第一步:先做 repo map,再选小任务,并把免费 PDF、Gumroad 教材和咨询入口串起来。