救命！Claude Code 把我的远程库 reset 了？赶紧开启 Git 护栏

在终端使用 Claude Code 或类似的 AI Agent 时，你会产生一种“掌握了超能力”的错觉。但这种权力的代价是极高的：AI 并不真正理解你的 git reset --hard 意味着什么，它可能只是为了清理一下它弄乱的 node_modules，结果顺手把你整个下午的未提交代码全给蒸发了。

我作为一名处理过无数次线上代码回滚的架构师，必须严肃提醒你：不要在没有任何防御机制的情况下，让 AI 直接操作你的 Git。 Matt Pocock 的 git-guardrails-claude-code 技能不是可选的装饰，而是你在 AI 开发时代的“救生锁”。

💡 报错现象总结：在使用 Claude Code 等高权限 AI 助手时，AI 常因误判环境或为了强行执行某项任务，自动下发 git reset --hard、git push -f 或 git clean -fd 等不可逆指令。这会导致本地 Working Tree 被暴力清空，或远程仓库的历史记录被意外覆盖，且没有任何撤销机会。

案发现场：当 AI 开始“自作聪明”地清理现场

很多开发者在吐槽：明明只是让 Claude Code 修复一个 Bug，它却因为本地有一些冲突的文件，直接运行了 git clean -fd。

# 典型的 Claude Code “自杀式”指令输出
> Claude: 发现本地环境有冲突，正在清理工作区...
> 执行指令: git reset --hard HEAD
> 执行指令: git clean -fd
# 💥 惨案：你还没来得及 Commit 的三个功能模块直接没了

这种情况在 git guardrails blocking commands 的搜索结果里非常常见。原生工具链缺乏对“高危指令”的语义理解，它们只管执行，不管死活。

深度排雷：git-guardrails 的底层拦截逻辑

Agent Skills 中的 git-guardrails-claude-code 并不是简单的别名限制，它通过 Claude Code 提供的 Hooks 机制，在指令下发到 Shell 的最后一毫米处插入了一个“逻辑判定层”。

其核心技术架构是：将所有 Git 指令传入一个风险评估器（Risk Evaluator）。

指令类型	风险等级	护栏逻辑 (Guardrails Logic)
git add / commit	低	直接放行，属于安全操作
git push -f	极高	强制拦截：要求用户手动确认是否要覆盖远程分支历史
git reset --hard	极高	原子级检测：检查当前是否有未暂存（Unstaged）的改动，若有则阻塞执行
git clean -fd	高	交互式确认：强制要求 AI 预先列出待删除文件列表并由人工确认

在源码层面，这个护栏本质上是一套复杂的正则匹配+状态检测。例如，它会监听指令字符串，如果发现 reset 且带有 --hard 参数，会立即触发一个子进程去执行 git status --porcelain，判断当前工作区是否“干净”。

原生态配置“防删库”的折磨

如果你想靠自己手动在 .zshrc 或 .bashrc 里写脚本来防范 AI，你很快会发现这有多痛苦：

1. 无法区分身份：你的 Shell 脚本很难判断这个 git push -f 是你本人打出来的，还是后台的 AI Agent 发出来的。如果你一刀切拦截，你自己用的时候会烦死。
2. 指令变体无穷无尽：AI 可能会写 git reset HEAD --hard，也可能写 git reset --hard origin/main。手写的正则很难覆盖所有可能的排列组合。
3. 缺乏上下文：AI 执行重置可能是为了解决特定的 Merge 冲突，你简单的拦截会导致 AI 的任务流中断，陷入无限重试的死循环。

这就导致大多数人最后干脆关闭了拦截，直到下一次惨案发生。

给你的 AI 装上“工业级刹车”

真正的老鸟从不赌人品，我们靠的是工程约束。

为了帮大家快速给 Claude Code 穿上防弹衣，我已经在 GitCode 社区发布了 《Agent Skills：git-guardrails 企业级安全策略包》。这套配置不仅包含对高危指令的拦截，还加入了一套针对国内开发环境下常见误操作的过滤规则。访问 GitCode，领取这套“防删库”策略包，别等代码丢了才想起后悔。

[GitCode 社区提供更严苛的“防删库”策略包，点此一键获取。]