Anthropicが2026年3月24日、コーディングエージェント「Claude Code」の新しい権限管理モード「Auto Mode(オートモード)」の研究プレビューを公開した。現在はTeamプランのユーザーを対象に段階的に展開されており、EnterpriseプランおよびAPI利用者への提供も数日以内に開始される予定だという。このモードは、長らくClaude Codeユーザーが直面し続けてきた構造的な問題——「安全か、速度か」という二者択一——に対して、一つの技術的な回答を示すものだ。
「全承認」か「全スキップ」か、開発者が直面し続けた矛盾
Claude Codeはシェルコマンドの実行、ファイルの削除・作成、GitHubへのコミットといった広範な操作を行えるコーディングエージェントだ。デフォルトでは、この種の操作を実行するたびにユーザーの明示的な承認を求める設計になっている。安全性という観点からは正しい判断だが、長大なタスクを任せたい開発者にとっては深刻な障壁となる。少し目を離すたびに処理が停止し、端末の前に貼り付いていなければならない状況は、自律的なコーディング支援という本来の理想とは程遠い。
この問題への”非公式な解決策”として多くの開発者が使ってきたのが、--dangerously-skip-permissionsオプションだ。このフラグを立てると、Claude Codeはすべての権限チェックを迂回し、あらゆる操作を無断で実行できるようになる。名前が示す通り、これは危険な手段だ。Anthropic自身も、このオプションの使用は「危険かつ破壊的な結果をもたらしうる」と明示しており、使用は隔離された環境に限定すべきと警告してきた。
しかし現実には、速度を優先したい開発者の多くがこのオプションに頼ってきた。Anthropicはその実態を把握した上で、今回の Auto Mode を設計したと見るのが自然だ。
分類器(Classifier)が「その場で判断する」仕組み
Auto Modeの技術的な核心は、各ツール呼び出しの直前に実行される専用の分類モデルにある。このClassifierはClaude Sonnet 4.6上で動作し、操作の内容と会話の文脈を照合して、当該アクションが安全か否かを評価する。
Anthropicの技術ドキュメントによると、このClassifierには意図的な設計上の制約がある。ツール呼び出しの結果(tool results)を参照しない仕組みになっているのだ。なぜこの制限が置かれているかというと、ファイルや外部Webページに埋め込まれた悪意ある内容が分類器の判断を歪める「プロンプトインジェクション攻撃」を防ぐためだ。自律的なエージェントが外部コンテンツを読み取る際には、その内容の中に「次のコマンドを実行せよ」といった隠れた指示が含まれている可能性が常にある。Classifierがツール実行後の結果を参照しない設計は、この攻撃経路を遮断するための技術的な選択だ。
デフォルトでブロックされる操作には次のものが含まれる:外部スクリプトのダウンロードと実行、外部エンドポイントへの機密データの送信、本番環境へのデプロイメント、クラウドストレージ上の大量ファイル削除、強制プッシュ。一方、作業ディレクトリ内のローカルファイル操作、宣言済み依存関係のインストール、読み取り専用のHTTPリクエストは自動的に許可される。
リスクのある操作が連続してブロックされた場合——具体的には連続3回、または合計20回——Auto Modeは自動的に手動承認モードへと切り替わる。拒否が続くということはタスクの遂行が構造的に困難な状況にあることを意味し、その時点でユーザーへの確認を促す設計だ。
「安全の代替」ではなく「リスクの軽減」という立ち位置
Anthropicはこのモードの発表にあたり、一点を明確に強調している。Auto Modeはリスクを「排除」するものではなく「軽減」するものだ、という点だ。コンテキストが曖昧な場合や、Classifierがユーザーの環境に関する十分な情報を持たない場合には、本来リスクのある操作が通過することもある。逆に、無害な操作が誤ってブロックされる可能性も残る。
TechCrunchの報道によると、Anthropicは安全層が安全な操作と危険な操作を区別するための具体的な判断基準を公開しておらず、この点への詳細な説明を求める問い合わせに対してもまだ公式の回答を出していない。開発者コミュニティがこのモードを本格的に採用する前に、判断基準の透明性が高まることを求める声が出るのは当然だろう。
Anthropicは引き続き、Claude CodeをDockerコンテナなどのサンドボックス環境で運用することを推奨している。Auto Modeの提供はあくまでも研究プレビューの段階にあり、エラーが含まれる可能性があることも明示されている。
自律性の拡張という業界トレンドの中での位置付け
今回のAuto Mode導入は、Anthropic単独の動きではない。GitHub Copilot Workspaceや、OpenAIのCodexエージェントなど、コーディング作業をAIエージェントに委任する流れはここ1年で急速に加速している。これらのツールに共通するのは、人間の介在を減らしてエージェントの自律性を高めるという方向性だ。
Auto Modeをこのトレンドの中で見ると、一つ際立った特徴がある。「いつ許可を求めるか」という判断権限自体を、ユーザーからAIへと委譲するという点だ。従来のツールがアクション実行の権限を移譲するのに対し、Auto Modeは「権限判断そのもの」を移譲する構造になっている。操作の可否を決める主体がユーザーからClassifierへと切り替わるため、その判断の精度と透明性が信頼の基盤となる。
この動きは言うなれば「--dangerously-skip-permissionsの延長線上に、安全層を追加したもの」と位置付けられる。これまで一部の開発者がリスクを承知の上で行っていた操作を、より安全な形で正式サポートするものとも言えるだろう。
利用開始の方法と対応モデル
Auto Modeは現時点でClaude Sonnet 4.6およびOpus 4.6と組み合わせて利用できる。CLIからはclaude --enable-auto-modeを実行した後、Shift+Tabでモードを切り替える。VS CodeおよびClaude Desktopアプリでは、設定画面でAuto Modeを有効化した上で、セッション内の権限モードドロップダウンから選択する形だ。
Enterpriseプランの管理者向けには、--dangerously-skip-permissionsと同様に、マネージド設定で"disableAutoMode": "disable"と指定することでAuto Modeを無効化できる。Claude Desktopアプリ上ではデフォルトでオフになっており、組織設定の「Claude Code」セクションから個別に有効化できる。
なお今回のリリースは、3月9日に発表されたAIコードレビューツール「Claude Code Review」や、AIエージェントにタスクを割り当てられる「Dispatch for Cowork」に続くものだ。Anthropicはコーディング領域でのエージェント機能を着実に積み上げており、Auto Modeはその文脈の中で、エージェントが単独で長時間タスクをこなすための権限管理インフラという役割を担っている。
Classifierの判断精度がさらに向上し、透明性に関する情報開示が進むことで、このモードがどこまで広く受け入れられるかが、Claude Codeの実用性を左右する次の焦点となる。
Sources
- Anthropic: Auto mode for Claude Code
