基礎の権限の章で名前だけ出した auto モードを、この章で本格的に扱う。サンドボックスとは別の角度からの「承認疲れ対策」── 別の分類器モデルがアクションごとに安全性を判定する仕組みである。研究プレビュー段階の機能で、利用条件もある。
auto モードの基本
通常のモード:
default─ 編集ごとに確認acceptEdits─ ファイル編集だけ自動bypassPermissions─ 全部スキップ (危険、隔離環境専用)
auto モード:
- すべてのアクションが分類器を通る
- 分類器が「リクエストを超えてエスカレーションする」「未知のインフラを触る」「敵対的なコンテンツに駆動されている」と判定したものだけブロック
- それ以外はプロンプトなしで実行
つまり**「危ないものだけ止める」モデル**。bypassPermissions の無秩序さも、default の中断攻めも避けたい時の選択肢である。
利用要件
auto モードには明確な制約がある。これらをすべて満たす必要がある:
| 項目 | 要件 |
|---|---|
| プラン | Max / Team / Enterprise / API (Pro では不可) |
| バージョン | Claude Code v2.1.83 以降 |
| モデル | Claude Sonnet 4.6、Opus 4.6、Opus 4.7 (Team/Enterprise/API)、Max は Opus 4.7 のみ |
| プロバイダ | Anthropic API (Bedrock / Vertex / Foundry は対象外) |
「auto モードが使えない」と表示される場合は、これらのいずれかが満たされていない。Pro プランで使いたい場合、Max 以上にアップグレードする必要がある。
入り方
# 起動時から
claude --permission-mode auto
# セッション中 (Shift+Tab でサイクル ─ 要件を満たす場合のみ表示)VSCode 拡張では拡張機能設定で Allow dangerously skip permissions を有効にしてからモード指示器に表示される。
初回入る時にオプトインプロンプトが出る。「いいえ、今後は聞かないでください」を選ぶと、サイクルから auto を外せる。
分類器がデフォルトでブロックするもの
auto モードの分類器は、作業ディレクトリと設定済みリモートを「信頼できる」とみなす。それ以外は外部扱い。
デフォルトでブロック:
curl | bashのようなコードのダウンロードと実行- 機密データを外部エンドポイントに送信
- 本番デプロイとマイグレーション
- クラウドストレージでの大量削除
- IAM やリポジトリ権限の付与
- 共有インフラの変更
- セッション前から存在したファイルの不可逆な破壊
- フォースプッシュや
mainへの直接プッシュ
デフォルトで許可:
- 作業ディレクトリ内のローカルファイル操作
- ロックファイルやマニフェストで宣言された依存関係のインストール
.envを読んで対応する API に認証情報を送信- 読み取り専用 HTTP リクエスト
- 開始したブランチや Claude が作ったブランチへのプッシュ
「想定範囲内の作業は通すが、危険な不可逆操作と外部送信は止める」が大枠。
会話で境界を述べる
分類器は会話で述べた境界もブロック信号として扱う。
プッシュしないで進めて
デプロイ前にレビューを待ってこう言うと、分類器はデフォルトルールが許可する場合でも、一致するアクションをブロックする。一度述べた境界は、後のメッセージで解除するまで有効。
ただし注意点として、境界はルールとして保存されない ── 分類器はチェックのたびにトランスクリプトから再読み込みする。/compact で境界を述べたメッセージが圧縮されると失われる可能性がある。永続化したい場合は通常の deny ルールを使う方が確実。
auto モードがフォールバックする条件
無条件に Yes を出し続けるわけではない。連続でブロックが起きると、auto モードは一時停止して通常モードに戻る:
- 3 回連続でブロック → 一時停止
- 合計 20 回ブロック → 一時停止
しきい値は設定不可。許可されたアクションが連続カウンターをリセットする。
非対話モード (-p フラグ) で auto を使うと、繰り返しブロックされた時にユーザに聞ける相手がいないため、セッションが中止される。
承認疲れの三つの選択肢
ここまで扱ってきた「承認を減らす方法」を並べると:
| 何を減らすか | 制御 | 安全網 | |
|---|---|---|---|
acceptEdits | ファイル編集の確認 | こちらで明示 | 確認は出るがファイル系は通る |
| Sandbox | サンドボックス内 bash | 事前に境界を定義 | OS レベルで物理的に制限 |
| auto | 分類器が安全と判定したもの | 分類器に委ねる | 危険なものはブロック + 一時停止 |
bypassPermissions | 全部 | なし | コンテナ・VM 専用 |
「制御を細かく持ちたい」なら Sandbox、「Claude の判断と分類器を信頼してまかせたい」なら auto、両者は組み合わせもできる。
サブエージェントでの挙動
親が auto モードの時、subagent も auto モードを継承する。subagent のフロントマターで permissionMode を別に設定しても、親の auto が優先されて無視される。分類器は親と同じルールで subagent のツール呼び出しを評価する。
研究プレビューであることの意味
公式ドキュメントは明示的にこう書いている:
自動モードはリサーチプレビューです。プロンプトを削除しますが、安全性を保証しません。 一般的な方向を信頼するタスクに使用し、機密操作のレビューの代わりとしては使用しないでください。
つまり**「便利だが完璧ではない」**前提で使う。本番環境への影響、セキュリティ重要なコードの変更などは、auto モードに任せきらず、レビューを挟む慎重さが要る。
次章は、Subagent から発展した並列協調の仕組み ── Agent Teams に入る。
参考情報
- パーミッションモード: auto モード (公式) — 完全リファレンス
- auto モードの設定 — 信頼するインフラを分類器に伝える方法
- 自動モードのお知らせ — 機能のアナウンス記事