AI Coding 翻车的 8 个瞬间,我用 Claude Code Hooks 全堵住了(附配置)

凌晨 2 点。

我让 Claude Code 帮我清一个 demo 测试目录，话还没说完，它已经跑了 rm -rf ~/Code。

眼睛瞪到桌上。

幸好我提前装了一个 8 行的 Hook，命令在执行前 0.2 秒被拦下。终端弹出一行红字："拦截：rm -rf 命令需要二次确认"。

那一刻我意识到：AI Coding 这件事，没有 Hook 兜底就是裸奔。

AI 不会累、不会犹豫、不会问"你确定吗"。它只会按你的指令执行。

Skill 是 AI 的"建议"——能不能听看 AI 心情。Hook 是 AI 的"法律"——必须执行，违反就阻塞。

这一篇我把过去半年踩过的 8 个 AI Coding 翻车场景，连同我现在每天都在用的 Hook 配置，全部端出来。每一段配置都能直接抄进你的 settings.json。

▲ AI Coding 凌晨翻车，Hook 兜底拦截

一、Hook 比 Skill 更暴力，到底差在哪

我之前两篇文章讲过 Skills——上一篇还教了"5 分钟写自己的 Skills 5 件套"。Skills 牛在哪？牛在给 AI 一套通用方法论。

但 Skills 有个天生缺陷：它依赖 AI 主动调用。

AI 心情好就调，心情不好就跳过。你说"删之前先备份"，AI 八成会忘。

Hook 不一样。Hook 是 Claude Code 在每个生命周期事件（工具调用前、工具调用后、用户输入提交、会话开始、会话结束……）强制执行的钩子。AI 想跳都跳不过去。

一句话区别：🔧 Skill = 你写给 AI 看的"建议书"，AI 自主决定调不调用⚓ Hook = Claude Code 帮你装的"法律拦截网"，AI 不调用都不行

Hook 由谁触发？由 Claude Code 这个壳子触发，不是 AI 模型。所以哪怕 GPT-5.5、Claude 4.7、Gemini 3 Pro 哪个底模在跑，Hook 一视同仁。

二、Hook 的 7 大触发时机（按生命周期）

Anthropic 官方文档列了 30+ 个 hook 事件，但日常 90% 用得上的就这 7 个。我按一次完整的 AI Coding 对话顺序排：

▲ Claude Code Hook 7 大触发时机

① SessionStart会话启动时 — 自动加载上下文、注入项目状态。

② UserPromptSubmit你按下回车提交 — 检测告别词、改写指令、注入提醒。

③ PreToolUse工具调用前 — 这一类最重要，可以 exit 2 阻塞 工具执行（比如拦截 rm）。

④ PostToolUse工具调用后 — 自动 commit、自动 lint、自动跑测试。

⑤ Notification需要通知用户时 — 可以推到企微、邮件、桌面通知。

⑥ PreCompact上下文压缩前 — 备份关键状态。

⑦ Stop / SubagentStop主会话或子代理结束 — 触发持久化、归档。

核心规则记住一条：退出码 0 = 放行；退出码 2 = 阻塞（PreToolUse / UserPromptSubmit / Stop 这一类才支持）。其他退出码 = 报错但继续。

三、8 个 AI Coding 翻车场景 + Hook 救场配置

下面每个场景都是我自己踩过的坑。每段 JSON 都是我现在 ~/.claude/settings.json 里跑着的配置。直接抄。

▲ 8 个 AI Coding 翻车场景的 Hook 救场清单

场景 ① rm -rf 误删（PreToolUse + if 条件）

翻车故事：让 AI 清测试目录，AI 把 ~/Code 整个端了。GitHub 上每个月都有人发这种事故贴。

救场思路：PreToolUse 拦截所有 Bash 工具调用，遇到 rm -rf 直接 exit 2 阻塞。

Anthropic 最新文档支持 if 字段，用 permission rule 语法直接过滤命令模式，不用自己写脚本判断。

{ "hooks": { "PreToolUse": [ { "matcher": "Bash", "hooks": [ { "type": "command", "if": "Bash(rm -rf *)", "command": "echo '拦截：rm -rf 命令需手动确认' >&2; exit 2", "timeout": 5, "statusMessage": "校验危险命令..." } ] } ] }}

心法：危险命令清单要进化——除了 rm -rf，git push --force、DROP TABLE、kill -9 都该列上。每踩一次坑就加一条。

场景 ② cd 跨项目错目录（PreToolUse + freeze 范围）

翻车故事：手上同时跑 5 个客户项目，让 AI "把这个改一下"，AI cd 到了上一个会话的项目，改完才发现改错仓库。

救场思路：在项目根 .claude/settings.json 装 PreToolUse，白名单只允许本项目目录及其子目录。

{ "hooks": { "PreToolUse": [ { "matcher": "Bash", "hooks": [ { "type": "command", "if": "Bash(cd *)", "command": ".claude/hooks/freeze_dir.sh", "timeout": 5 } ] } ] }}

freeze_dir.sh 核心逻辑（5 行）：

#!/bin/bashTARGET=$(jq -r '.tool_input.command' | grep -oE 'cd [^ ;&|]+' | awk '{print $2}')ALLOWED="$CLAUDE_PROJECT_DIR"if [[ "$TARGET" != "$ALLOWED"* ]] && [[ -n "$TARGET" ]]; then echo "拦截：禁止 cd 到项目外（目标=$TARGET）" >&2 exit 2fi

心法：搭配 $CLAUDE_PROJECT_DIR 这个内置变量，每个项目自己用自己的范围，互不影响。

场景 ③ 改完代码忘 commit 丢了（PostToolUse + 自动 git）

翻车故事：让 AI 重构了 200 行，没立刻 commit，下一轮 AI 又改了一版覆盖前面，前面的工作完全丢失。

救场思路：PostToolUse 监听 Edit / Write 工具，每次改完立刻 git add + git commit（消息写"WIP - AI auto"）。

{ "hooks": { "PostToolUse": [ { "matcher": "Edit|Write|MultiEdit", "hooks": [ { "type": "command", "command": "cd \"$CLAUDE_PROJECT_DIR\" && git add -u && git diff --cached --quiet || git commit -m 'WIP: AI auto-commit' --no-verify", "timeout": 15, "async": true } ] } ] }}

心法：

• async: true——异步执行，不卡 AI 下一步。

• commit 是临时存档，不是最终提交。等任务完成再合并成一个干净 commit。

• 差异为空时不提交（git diff --cached --quiet || git commit），避免空 commit 污染历史。

场景 ④ Bash 调用全无痕（PostToolUse + 异步日志）

翻车故事：AI 跑了 30 个 Bash 命令，结果出 bug 想复现，不知道之前跑了什么。

救场思路：PostToolUse 监听 Bash，把每条命令、stdout、退出码异步追加到 ~/.claude/logs/bash.log。

{ "hooks": { "PostToolUse": [ { "matcher": "Bash", "hooks": [ { "type": "command", "command": "jq -c '{ts: now, cmd: .tool_input.command, exit: .tool_response.exit_code}' >> ~/.claude/logs/bash.log", "async": true } ] } ] }}

心法：日志 = 复盘弹药库。每周扫一次 bash.log，找出"AI 老在跑同一条命令"——这就是下一个 Skill 的候选。

场景 ⑤ 长任务跑完没人知道（Notification + 推企微）

翻车故事：让 AI 跑数据回填，预计 40 分钟。我去开会回来 90 分钟，AI 早跑完在等指令，纯浪费 50 分钟。

救场思路：监听 Notification 事件，AI 一旦需要用户响应（包括 idle），立刻推企微机器人。

{ "hooks": { "Notification": [ { "hooks": [ { "type": "command", "command": "curl -s -X POST '$WECHAT_BOT_WEBHOOK' -H 'Content-Type: application/json' -d '{\"msgtype\":\"text\",\"text\":{\"content\":\"[Claude] 任务完成，请处理\"}}'", "async": true, "timeout": 10 } ] } ] }}

心法：Notification 事件 不能阻塞（exit 2 无效），但适合做"出口通知"。配合企微 webhook，5 分钟接好。

场景 ⑥ 进项目不知道接到哪（SessionStart + stdout 注入）

翻车故事：上次会话写到一半 quit，今天进来，AI 完全不记得上次做到哪了，又重新探索一遍仓库结构。

救场思路：SessionStart 触发时，把 phase.txt + handoff.md + git log -5 全部 cat 出来，stdout 自动作为 context 注入给 AI。

这是 SessionStart 的特别之处——它的 stdout 不是写日志，是写给 AI 看的。

{ "hooks": { "SessionStart": [ { "matcher": "startup|resume", "hooks": [ { "type": "command", "command": "cd \"$CLAUDE_PROJECT_DIR\" && echo '=== phase ===' && cat phase.txt && echo '=== handoff ===' && cat .handoff-latest.md && echo '=== recent commits ===' && git log -5 --oneline" } ] } ] }}

心法：SessionStart 是给 AI 喂上下文的最佳时机。我现在每个项目根都装这个 hook，会话启动 0.5 秒就把上次状态全注入。

场景 ⑦ 告别词没触发持久化（UserPromptSubmit + 注入提醒）

翻车故事：忙完一天敲了句"拜拜"准备关电脑，AI 只回了句"拜拜"。明天进来发现 handoff 没写、git 没 commit，全靠运气。

救场思路：UserPromptSubmit 监听用户每次提交，遇到告别词就往 prompt 里追加一段提醒，强制 AI 走持久化流程。

{ "hooks": { "UserPromptSubmit": [ { "hooks": [ { "type": "command", "command": ".claude/hooks/detect_farewell.sh" } ] } ] }}

detect_farewell.sh：

#!/bin/bashPROMPT=$(jq -r '.prompt')if echo "$PROMPT" | grep -qE '拜拜|再见|bye|quit|收工|结束|88'; then echo "[系统提醒] 检测到告别词，请立即执行持久化流程：git commit + 写 .handoff-latest.md + 更新 CLAUDE.md"fiexit 0

心法：UserPromptSubmit 的 stdout 也会被注入给 AI 当 context。不直接命令 AI，而是注入提醒，让 AI 自己执行——这是最不容易出错的写法。

场景 ⑧ 危险 SQL 直接执行（PreToolUse + prompt 类 Hook）

翻车故事：让 AI 帮排查数据库，AI 直接发了 DELETE FROM users WHERE active=0。还好是测试库。

救场思路：用 Anthropic 新的 prompt 类型 hook——让另一个 AI 在 SQL 执行前先判断"这条语句安不安全"。这是 hook 类型里最暴力的玩法。

{ "hooks": { "PreToolUse": [ { "matcher": "mcp__.*__query|Bash", "hooks": [ { "type": "prompt", "if": "Bash(*DELETE*)|Bash(*DROP*)|Bash(*UPDATE*)", "prompt": "判断这条 SQL 是否会造成数据丢失或不可逆更改。如果是，输出 BLOCK 并说明原因；如果安全，输出 SAFE。SQL：$ARGUMENTS", "model": "claude-haiku", "timeout": 20 } ] } ] }}

心法：

• 用 Haiku 不用 Opus——成本低 10 倍，判断 SQL 安全性够用。

• matcher 用正则mcp__.*__query——一次拦截所有 MCP 数据库 server。

• prompt 类 Hook 是 "AI 监督 AI" 的官方实现，比写规则更聪明。

四、写 Hook 的 4 条铁律

铁律 1：副作用 hook 必须 async: true

日志、通知、git commit 这种"做完就好"的 hook，全部加 "async": true。否则每个工具调用都要等 hook 跑完，AI 会卡到怀疑人生。

阻塞类 hook（PreToolUse 拦截）反而要同步，因为要等 exit code 决定放行还是阻塞。

铁律 2：timeout 必给，不要用默认值

command 类型的默认 timeout 是 600 秒。一个写出 bug 的 hook 卡 10 分钟你都不知道。实战 timeout = 5~30 秒。

铁律 3：先在 .local.json 试，再进 settings.json

Hook 配置写错了，AI 整个没法跑。

正确流程：先在 .claude/settings.local.json（本地、不进 git）调通，再迁到 .claude/settings.json（项目共享）或 ~/.claude/settings.json（全局）。

铁律 4：用 if 字段，少自己写脚本

Anthropic 最新支持的 if 字段（permission rule 语法）能直接过滤工具入参，能用 if 解决就别写 .sh 脚本。

例子：

• "if": "Bash(rm *)" — 只在 rm 命令时触发

• "if": "Edit(*.ts)" — 只在编辑 .ts 文件时触发

• "if": "Write(./src/**)" — 只在 src 目录下写文件时触发

五、最强组合拳：Skill × Hook × Subagent

回到我前面三篇文章的总图：

装好的 Skill（5/7 那篇） → AI 拿到通用能力自己写的 Skill（5/8 那篇） → AI 干你的活Agent 工作流图（5/9 那篇） → AI 知道怎么走Hook 兜底（今天这篇） → AI 不能违法

Skill 教 AI 干活，Hook 防 AI 闯祸。两者搭配，缺一不可。

一个项目我现在的标配是：5 个 Skills（自己写的）+ 8 个 Hooks（兜底）+ 3 个 Subagents（并行干活）。

一周省 10 小时不是吹的——是把每天踩过的小坑一个个补上之后，必然的结果。

六、最后一句

AI Coding 不是"AI 写代码"。

AI Coding 是你和 AI 之间签了一份合同——什么能做、什么不能做、什么必须做、什么不许碰。

Skill 是合同正文，Hook 是违约处罚。

没有处罚的合同，AI 只会当作建议。

下篇预告：把 Skills + Hooks + Subagents 三件套真正串成一个流水线——一个完整的"早 6 点扫田、白天干活、晚 11 点持久化"的 AI 项目经理工作流，附完整配置。

关注「AI 落地手记」，不见不散。

关注「AI 落地手记」

一个人 + AI 管 20 个项目的真实记录