Anthropic ajoute auto mode à Claude Code : moins de confirmations et protection contre les commandes dangereuses

Anthropic a ajouté le mode auto à Claude Code : moins de confirmations et protection contre les commandes dangereuses

Anthropic a présenté un nouveau mode auto dans Claude Code — un mode qui supprime la plupart des ennuyeuses confirmations, mais ne laisse pas l'agent IA fonctionner en mode complètement libre. L'idée est d'accélérer les longues sessions de codage tout en empêchant le modèle de supprimer accidentellement des branches, de voler des secrets ou d'accéder à la production.

Comment le mode fonctionne

Jusqu'à présent, les utilisateurs de Claude Code faisaient face à un choix désagréable. Soit confirmer presque chaque édition de fichier, commande shell et requête réseau, soit entrer en mode avec des restrictions minimales et assumer tous les risques soi-même. Chez Anthropic, ils disent que les développeurs confirment environ 93% des demandes de permission. Cela signifie que la protection existe formellement, mais en pratique se transforme rapidement en routine : une personne clique sur approve presque automatiquement et cesse de faire attention à ce que l'agent est sur le point de faire.

Le mode auto est conçu comme un compromis entre le contrôle manuel et le drapeau `--dangerously-skip-permissions`. Pour les tâches typiques, Claude Code peut fonctionner sans interruption, et les actions douteuses sont envoyées non pas à un humain, mais à un classificateur séparé. Le schéma est à deux niveaux : d'abord, la protection côté serveur vérifie la sortie des outils contre l'injection de prompts, puis une deuxième couche analyse l'action de l'agent elle-même — par exemple, une commande, un appel réseau ou une tentative de lancer un subagent. Si l'action semble irréversible, suspecte ou hors de portée de la demande de l'utilisateur, elle est bloquée.

Qu'est-ce qui est bloqué

Anthropica délibérément laissé des paramètres par défaut conservateurs pour le mode auto. Au sein du projet de travail, Claude Code peut librement éditer les fichiers et effectuer des étapes de développement normales sans perdre de temps en vérifications. Mais dès que des actions ayant un potentiel de dégâts importants entrent en jeu, une logique de sécurité séparée s'active. Par défaut, le mode ne considère comme fiable que le répertoire courant et les dépôts distants configurés, tandis que tout le reste est perçu comme un environnement externe.

• force push et pushes directs vers main
• suppression irréversible d'anciens fichiers et suppressions massives dans le stockage cloud
• déploiements en production, migrations et modifications de l'infrastructure partagée
• envoi de secrets, `.env` ou code interne à des adresses non fiables
• exécution de code téléchargé de l'extérieur comme `curl | bash`

Si une équipe a besoin d'en permettre davantage, les limites peuvent être décrites via des paramètres : ajouter des domaines fiables, des buckets, des dépôts et des services internes. C'est important pour les entreprises où un agent a vraiment besoin de faire des pushes vers une organisation GitHub corporative, d'écrire dans un stockage cloud ou d'accéder à des API internes. En même temps, Anthropic souligne spécifiquement que les règles du fichier commun du dépôt ne peuvent pas elles-mêmes élargir la allow-list et contourner la protection.

Où les risques demeurent

Anthropic ne vend pas le mode auto comme une protection absolue, et c'est peut-être le principal avantage du lancement. Sur la base de tests internes sur du trafic réel, le pipeline complet a donné environ 0,4% de faux positifs, mais a laissé passer environ 17% d'actions dangereuses "trop enthousiastes". Pour un mode qui devrait être plus sûr que de désactiver complètement les confirmations, c'est déjà une étape utile. Pour travailler avec la production, les secrets ou l'infrastructure critique — ce n'est toujours pas suffisant pour se détendre et retirer l'humain de la boucle.

"Le mode auto est conçu comme un remplacement pour

dangerously-skip-permissions sans revenir à des pauses constantes."

C'est pourquoi la feature est actuellement en research preview. Elle n'est pas disponible pour tout le monde : vous avez besoin du niveau Claude Code approprié, de l'activation de l'administrateur pour les comptes d'équipe, d'un modèle compatible Sonnet 4.6 ou Opus 4.6 et d'Anthropic API comme fournisseur. Si le classificateur bloque les actions trois fois de suite ou 20 fois par session, Claude Code revient aux confirmations normales. C'est-à-dire que le système ne se contente pas de couper les étapes risquées, mais sait aussi comment arrêter une session autonome s'il voit l'agent insister trop sur un scénario dangereux.

Que cela signifie

Claude Code fait un pas important de "chat assistant pour le code" vers un agent à part entière qui peut recevoir des tâches longues sans surveillance constante. Mais Anthropic montre honnêtement les limites : le mode auto n'est pas un autopilote magique, mais une couche de sécurité de compromis qui est notablement plus pratique que les fenêtres d'approbation manuelles et beaucoup plus raisonnable que de supprimer complètement les restrictions.