Anthropic adiciona auto mode ao Claude Code: menos confirmações e proteção contra comandos perigosos

Anthropic adicionou modo auto no Claude Code: menos confirmações e proteção contra comandos perigosos

Anthropic apresentou um novo modo auto no Claude Code — um modo que remove a maioria das confirmações chatas, mas não deixa o agente de IA rodar em modo completamente livre. A ideia é acelerar sessões longas de codificação e, ao mesmo tempo, impedir que o modelo acidentalmente delete branches, roubo segredos ou acesse produção.

Como o modo funciona

Até agora, os usuários do Claude Code enfrentavam uma escolha desagradável. Ou confirmar quase cada edição de arquivo, comando shell e requisição de rede, ou entrar em um modo com restrições mínimas e assumir todo o risco por conta própria. Na Anthropic, dizem que os desenvolvedores confirmam cerca de 93% das solicitações de permissão. Isso significa que a proteção existe formalmente, mas na prática se transforma rapidamente em rotina: a pessoa clica approve quase automaticamente e deixa de prestar atenção cuidadosa ao que o agente realmente está prestes a fazer.

O modo auto é pensado como um meio-termo entre o controle manual e a flag `--dangerously-skip-permissions`. Para tarefas típicas, Claude Code pode trabalhar sem parar, e ações questionáveis são enviadas não a um humano, mas a um classificador separado. O esquema é de duas camadas: primeiro, proteção do lado do servidor verifica o output de ferramentas contra prompt injection, depois uma segunda camada analisa a ação do agente em si — por exemplo, um comando, chamada de rede ou tentativa de executar um subagent. Se a ação parece irreversível, suspeita ou fora do escopo do pedido do usuário, ela é bloqueada.

O que é bloqueado

Anthropic deixou deliberadamente configurações padrão conservadoras para o modo auto. Dentro do projeto de trabalho, Claude Code pode editar arquivos livremente e executar etapas normais de desenvolvimento sem gastar tempo com verificações. Mas assim que ações com potencial de dano significativo entram em jogo, lógica de segurança separada entra em ação. Por padrão, o modo considera confiável apenas o diretório atual e repositórios remotos configurados, enquanto tudo mais é percebido como um ambiente externo.

• force push e pushes diretos para main
• exclusão irreversível de arquivos antigos e exclusões em massa em armazenamentos em nuvem
• deployments em produção, migrações e edições de infraestrutura compartilhada
• envio de segredos, `.env` ou código interno para endereços não confiáveis
• execução de código baixado de fora tipo `curl | bash`

Se uma equipe precisa permitir mais, os limites podem ser descritos através de configurações: adicionar domínios confiáveis, buckets, repositórios e serviços internos. Isso é importante para empresas onde um agente realmente precisa fazer push para uma org corporativa do GitHub, escrever em armazenamento em nuvem ou acessar APIs internas. Ao mesmo tempo, Anthropic enfatiza especificamente que as regras do arquivo comum do repositório não podem expandir a allow-list por si mesmas e, assim, contornar a proteção.

Onde os riscos permanecem

Anthropic não está vendendo o modo auto como proteção absoluta, e este é talvez o principal mérito do lançamento. Com base em testes internos em tráfego real, o pipeline completo deu cerca de 0,4% de falsos positivos, mas deixou passar aproximadamente 17% de ações perigosas "excessivamente zelosas". Para um modo que deveria ser mais seguro do que desabilitar completamente as confirmações, este é já um passo útil. Para trabalhar com produção, segredos ou infraestrutura crítica — ainda não é suficiente para relaxar e remover o humano do loop.

"O modo auto é pensado como uma substituição para

dangerously-skip-permissions sem retornar a pausas constantes."

É por isso que a feature está atualmente em research preview. Não está disponível para todos: você precisa do tier apropriado do Claude Code, habilitação do administrador para contas de equipe, um modelo compatível Sonnet 4.6 ou Opus 4.6 e Anthropic API como provedor. Se o classificador bloqueia ações três vezes seguidas ou 20 vezes por sessão, Claude Code volta às confirmações normais. Ou seja, o sistema não apenas corta passos arriscados, mas também sabe como parar uma sessão autônoma se vir o agente insistindo demais em um cenário perigoso.

O que isso significa

Claude Code está dando um passo importante de "assistente de chat para código" para um agente de funcionalidade completa que pode receber tarefas longas sem supervisão constante. Mas Anthropic honestamente mostra os limites: modo auto não é um autopiloto mágico, mas uma camada de segurança de compromisso que é notavelmente mais conveniente do que janelas de aprovação manual e muito mais razoável do que remover completamente as restrições.