Anthropic añade auto mode a Claude Code: menos confirmaciones y protección contra comandos peligrosos

Anthropic añadió modo auto a Claude Code: menos confirmaciones y protección contra comandos peligrosos

Anthropic presentó un nuevo modo auto en Claude Code — un modo que elimina la mayoría de las confirmaciones molestas, pero no deja que el agente de IA funcione en modo completamente libre. La idea es acelerar sesiones largas de codificación y, al mismo tiempo, evitar que el modelo elimine accidentalmente ramas, robe secretos o acceda a producción.

Cómo funciona el modo

Hasta ahora, los usuarios de Claude Code enfrentaban una opción desagradable. O confirmar casi cada edición de archivo, comando shell y solicitud de red, o entrar en un modo con restricciones mínimas y asumir todo el riesgo por cuenta propia. En Anthropic, dicen que los desarrolladores confirman alrededor del 93% de las solicitudes de permiso. Esto significa que la protección existe formalmente, pero en la práctica se convierte rápidamente en rutina: una persona hace clic en approve casi automáticamente y deja de prestar atención cuidadosa a lo que el agente está a punto de hacer.

El modo auto está diseñado como un punto medio entre el control manual y la bandera `--dangerously-skip-permissions`. Para tareas típicas, Claude Code puede funcionar sin parar, y las acciones cuestionables se envían no a un humano, sino a un clasificador separado. El esquema es de dos capas: primero, la protección del lado del servidor verifica la salida de herramientas contra inyección de prompts, luego una segunda capa analiza la acción del agente en sí — por ejemplo, un comando, llamada de red o intento de ejecutar un subagent. Si la acción parece irreversible, sospechosa o fuera del alcance de la solicitud del usuario, se bloquea.

Qué se bloquea

Anthropic dejó deliberadamente configuraciones predeterminadas conservadoras para el modo auto. Dentro del proyecto de trabajo, Claude Code puede editar archivos libremente y realizar pasos normales de desarrollo sin perder tiempo en verificaciones. Pero tan pronto como entran en juego acciones con potencial de daño significativo, se activa una lógica de seguridad separada. Por defecto, el modo considera confiables solo el directorio actual y los repositorios remotos configurados, mientras que todo lo demás se percibe como un entorno externo.

• force push y pushes directos a main
• eliminación irreversible de archivos antiguos y eliminaciones masivas en almacenamiento en la nube
• deployments en producción, migraciones y ediciones de infraestructura compartida
• envío de secretos, `.env` o código interno a direcciones no confiables
• ejecución de código descargado desde el exterior como `curl | bash`

Si un equipo necesita permitir más, los límites se pueden describir a través de configuraciones: agregar dominios confiables, buckets, repositorios y servicios internos. Esto es importante para empresas donde un agente realmente necesita hacer push a una organización GitHub corporativa, escribir en almacenamiento en la nube o acceder a APIs internas. Al mismo tiempo, Anthropic enfatiza específicamente que las reglas del archivo común del repositorio no pueden expandir la allow-list por sí mismas y, por lo tanto, eludir la protección.

Dónde permanecen los riesgos

Anthropic no está vendiendo el modo auto como protección absoluta, y este es quizás el principal mérito del lanzamiento. Basándose en pruebas internas en tráfico real, el pipeline completo dio aproximadamente 0,4% de falsos positivos, pero dejó pasar aproximadamente el 17% de acciones peligrosas "demasiado entusiastas". Para un modo que debería ser más seguro que desabilitar completamente las confirmaciones, este es ya un paso útil. Para trabajar con producción, secretos o infraestructura crítica — todavía no es suficiente para relajarse y remover al humano del bucle.

"El modo auto está diseñado como un reemplazo para

dangerously-skip-permissions sin volver a pausas constantes."

Es por eso que la feature está actualmente en research preview. No está disponible para todos: necesitas el tier apropiado de Claude Code, habilitación del administrador para cuentas de equipo, un modelo compatible Sonnet 4.6 u Opus 4.6 y Anthropic API como proveedor. Si el clasificador bloquea acciones tres veces seguidas o 20 veces por sesión, Claude Code vuelve a las confirmaciones normales. Es decir, el sistema no solo corta pasos arriesgados, sino que también sabe cómo detener una sesión autónoma si ve que el agente está insistiendo demasiado en un escenario peligroso.

Qué significa esto

Claude Code está dando un paso importante de "asistente de chat para código" a un agente completo que puede recibir tareas largas sin supervisión constante. Pero Anthropic honestamente muestra los límites: modo auto no es un autopiloto mágico, sino una capa de seguridad de compromiso que es notablemente más conveniente que ventanas de aprobación manual y mucho más razonable que eliminar completamente las restricciones.