Anthropic ajoute auto mode à Claude Code : moins de confirmations et protection contre les commandes dangereuses

Anthropic представила в Claude Code новый auto mode — режим, который снимает большую часть надоедливых подтверждений, но не отпускает AI-агента в полностью свободный режим. Идея в том, чтобы ускорить длинные сессии с кодом и при этом не дать модели случайно удалить ветки, утащить секреты или залезть в прод.

Как работает режим До сих пор у пользователей Claude Code был неприятный выбор.

Либо подтверждать почти каждую правку файла, shell-команду и сетевой запрос, либо уходить в режим с минимальными ограничениями и брать весь риск на себя. В Anthropic говорят, что разработчики подтверждают около 93% запросов на доступ. Это значит, что защита формально есть, но на практике быстро превращается в рутину: человек жмёт approve почти автоматически и перестаёт внимательно смотреть, что именно собирается сделать агент.

Auto mode задуман как средний вариант между ручным контролем и флагом `--dangerously-skip-permissions`. В обычных задачах Claude Code может работать без остановок, а спорные действия отправляются не человеку, а отдельному классификатору. Схема двухслойная: сначала серверная защита проверяет вывод инструментов на prompt injection, затем второй слой анализирует уже само действие агента — например команду, сетевой вызов или попытку запустить субагента.

Если действие выглядит необратимым, подозрительным или выходящим за пределы запроса пользователя, оно блокируется.

Что блокируется Anthropic специально оставила для auto mode консервативные настройки по умолчанию.

Внутри рабочего проекта Claude Code может спокойно редактировать файлы и выполнять обычные шаги разработки, не тратя лишнее время на проверки. Но как только речь заходит о действиях с заметным ущербом, включается отдельная логика безопасности. По умолчанию режим считает доверенной только текущую директорию и настроенные remote-репозитории, а всё остальное воспринимает как внешнюю среду.

force push и прямые пуши в main необратимое удаление старых файлов и массовые удаления в облачных хранилищах продовые деплои, миграции и правки общей инфраструктуры отправку секретов, `.env` или внутреннего кода на недоверенные адреса * запуск скачанного снаружи кода в духе `curl | bash` Если команде нужно разрешить больше, границы можно описать через настройки: добавить доверенные домены, бакеты, репозитории и внутренние сервисы. Это важно для компаний, где агенту реально нужно пушить в корпоративный GitHub-орг, писать в облачное хранилище или обращаться к внутреннему API.

При этом Anthropic отдельно подчёркивает, что правила из общего файла репозитория не могут сами расширять allow-список и тем самым обходить защиту.

Где остаются риски

Anthropic не продаёт auto mode как абсолютную защиту, и это, пожалуй, главный плюс запуска. По внутренним тестам на реальном трафике full pipeline давал около 0,4% ложных срабатываний, но при этом пропускал примерно 17% опасных «слишком инициативных» действий. Для режима, который должен быть безопаснее полного отключения подтверждений, это уже полезный шаг. Для работы с продом, секретами или критичной инфраструктурой — всё ещё недостаточно, чтобы расслабиться и убрать человека из контура.

«Режим auto задуман как замена dangerously-skip-permissions без возврата к постоянным паузам».

Именно поэтому feature пока находится в research preview. Она доступна не всем подряд: нужны подходящий тариф Claude Code, включение со стороны администратора для командных аккаунтов, совместимая модель уровня Sonnet 4.6 или Opus 4.6 и Anthropic API как провайдер. Если классификатор три раза подряд или 20 раз за сессию блокирует действия, Claude Code возвращается к обычным подтверждениям. То есть система не просто режет рискованные шаги, но и умеет остановить автономную сессию, если видит, что агент слишком настойчиво продавливает опасный сценарий.

Что это значит

Claude Code делает важный шаг от «чат-ассистента для кода» к полноценному агенту, которому можно отдавать длинные задачи без постоянного надзора. Но Anthropic честно показывает границы: auto mode — это не магический автопилот, а компромиссный слой безопасности, который заметно удобнее ручных approve-окон и намного разумнее полного снятия ограничений.