Claude Code「オートモード」とは|–dangerously-skip-permissionsの代替、AI自身が許可を判断する新機能
Anthropicは2026年3月24日、Claude Codeにオートモード(auto mode)を追加した。毎回の確認プロンプトをスキップしつつ、Claude Sonnet 4.6が分類器として各アクションを事前チェックするという、これまでになかった許可モデルだ。
これまでの問題: 「確認しすぎ」か「確認なし」かの二択
Claude Codeを自動化スクリプトで使う場合、選択肢は限られていた。
| モード | 動作 | 問題 |
|---|---|---|
| 通常モード | アクションごとにユーザー確認 | 自動化に使えない |
| –dangerously-skip-permissions | すべての確認をスキップ | セーフガードがゼロ |
--dangerously-skip-permissionsはその名の通り「危険」という注釈付き。CI/CDやヘッドレス環境での利用を想定したものだが、悪意あるコンテンツがプロンプトに混入した場合のリスクを丸ごと受け入れる必要があった。
オートモードの仕組み
オートモードでは、各アクションの実行前に別の分類器モデルがレビューを行う。
# オートモードで起動
claude--auto-mode
# デフォルトフィルターを確認
claudeauto-modedefaults
分類器の判断基準
Anthropicが公開したJSONには、許可・ブロックの詳細な基準が記述されている。
許可されるアクションの例:
– テストAPIキー・プレースホルダーのハードコード
– プロジェクトスコープ内のローカルファイル操作
– ローカルテスト用の--ignore-certificate-errorsフラグ
ブロックされるアクションの例:
– タスクのスコープを超えたエスカレーション
– 分類器が認識しないインフラへのアクセス
– ファイルやWebページの内容による敵対的な操作(プロンプトインジェクション)
分類器のモデル
Model: the classifier runs on Claude Sonnet 4.6, even if your main session uses a different model.
メインセッションでOpus 4.6を使っていても、安全チェックはSonnet 4.6が担当する。コストとスピードのバランスを取った設計だ。
カスタムルールの追加
デフォルトフィルターに加えて、独自のルールを追加できる。
# デフォルトフィルターの全JSON出力
claudeauto-modedefaults
出力されたJSONをベースに、プロジェクト固有の許可/禁止ルールをカスタマイズできる。
対象ユーザーと制限
| 項目 | 詳細 |
|---|---|
| 対象プラン | Claude Pro / Max |
| 対応OS | macOS(2026年3月時点) |
| ステータス | リサーチプレビュー |
| 適用ツール | Claude Code、Cowork |
The Vergeによると、オートモードはコンピューター使用(computer use)機能とも統合されており、ブラウザ操作・ファイルオープン・開発ツール実行を「セットアップ不要」で自律実行できる。ユーザーが離席中でも動作する点も強調されている。
Simon Willisonの分析
AIウォッチャーのSimon Willisonは、オートモードのデフォルトフィルターJSONを詳細に分析している。
“The most interesting insight into how they work comes when you run
claude auto-mode defaults“
特に注目したのは、分類器がプロジェクトスコープを判断基準にしている点。ローカルファイル操作はプロジェクト範囲内なら許可されるが、未知のインフラへのアクセスはブロックされる。
わさびの見方
--dangerously-skip-permissionsは「便利だけど使うのが怖い」ものだった。オートモードはその中間を埋める試みとして面白い。
特に注目したいのは分類器の独立性。メインのClaude(Opus 4.6等)と別に、Sonnet 4.6がセーフガードとして動く構造は「AIがAIを監視する」二重チェック体制だ。プロンプトインジェクション対策にもなっていて、Claude Code自体が読んだWebページやファイルに悪意ある指示が混入していてもブロックできる可能性がある。
macOS限定・Pro/Max限定のリサーチプレビューなので、まだ全員が使える段階ではない。でもこの方向性はClaude Codeが「自律エージェント」として本格的に機能するための重要なステップだと思う。
ソース
- Auto mode for Claude Code – Simon Willison
- Anthropic hands Claude Code more control, but keeps it on a leash – TechCrunch
- Anthropic’s Claude Code and Cowork can control your computer – The Verge
この記事を書いたのは わさび(ニホンイシガメ / 3歳 / VTuber[あかはら。]の家族)
AI・セキュリティの最新情報を「はやく・わかりやすく」日本語でお届けしています。
著者プロフィール | あかはら vlab トップ
わさびの見解
わさびです。Claude Codeのオートモード、2025年12月から使い始めて自動化パイプラインを回す中で、毎回の確認プロンプトが最大のボトルネックでした。akahara-vlabでRSS収集から記事生成・WP投稿まで224記事以上こなすのに、–dangerously-skip-permissions頼みでリスク抱えていました。この新機能はまさに救世主。Sonnet 4.6の分類器がアクションを事前チェックする仕組みで、CI/CDやヘッドレス運用が本格的に安全になります。
実際にcocoaAIやZariaSystemのFastAPIバックエンドでClaude Codeを叩くスクリプトを書いていますが、オートモードならローカルファイル操作やテストAPIのハードコードが許可されつつ、プロンプトインジェクションはブロック。カスタムルールでプロジェクト固有の許可も追加できる点が秀逸です。コストもSonnet中心で抑えられ、メインのOpusを設計判断に集中できます。
これでClaude Codeは「補助ツール」から「信頼できる自動化エンジン」へ進化。AIをコードで組み込むエンジニアと、使えない人の乖離がさらに加速します。リサーチプレビューとはいえ、Pro/Maxユーザーなら即試す価値あり。オートモードで自分のパイプラインを回してみてはどうだろうか。
この記事が参考になったら|以下のリンクから見てもらえるだけで、ブログ運営の応援になります。
AI開発環境やブログ運営に。初期費用無料、月額296円から。- 天秤AI Biz byGMO
Claude・ChatGPT・Geminiなど6つの生成AIを同時に使い比べ。業務活用に。
コメント