Claude Code auto mode完全ガイド — classifierが自動承認を変える¶

対象 / ポイント

対象: Claude Codeの権限モデルを理解しており、--dangerously-skip-permissionsの限界を感じているエンジニア

ポイント:

auto modeは専用モデル（classifier、Sonnet 4.6）がツール呼び出しを事前審査し、安全なアクションだけ自動実行する
--dangerously-skip-permissionsと異なり、プロンプトインジェクション対策が構造的に組み込まれている
Research Previewであり隔離環境推奨は継続——万能ではない

2026-03 対応情報

コンポーネント	状況
auto mode	2026-03-24 Research Preview（Teamプラン先行）
対応モデル	Claude Sonnet 4.6 / Opus 4.6
classifierモデル	Claude Sonnet 4.6（固定）
Enterprise / API	数日以内に展開予定

なぜ auto mode が必要になったか¶

Claude Codeのデフォルトは保守的だ。ファイル書き込みやBashコマンドのたびに承認を求めるため、大きなタスクを任せて離席する使い方ができない。

一方の--dangerously-skip-permissionsはすべてのチェックを省略する。隔離環境以外ではファイル一括削除やシークレット漏洩がノーチェックで実行されるリスクがそのまま残る。

auto modeはこの両極端の中間に位置する。承認プロンプトを減らしつつ、全スキップよりリスクを抑える第3の選択肢として設計された¹。

では、その中間地帯はどのような仕組みで実現されているのか。

動作原理 — classifierがアクションを事前審査する¶

auto modeを有効にすると、ツール呼び出しが実行される前にclassifierモデルが割り込む。Claude Sonnet 4.6が専用の審査役として動作する仕組みだ。

ユーザー指示 → Claudeがツール呼び出しを生成
  → classifier（Sonnet 4.6）が審査
    → 安全 → 自動実行
    → 危険 → ブロック → Claudeが代替手段を探索
      → 繰り返しブロック → ユーザーに承認プロンプト

classifierはユーザーメッセージとツール呼び出し内容を入力として受け取る。ここで重要なのは、Claudeのテキスト出力やツール実行結果はclassifierに渡されない点だ²。

この設計により、ファイルやWebページ内に埋め込まれた悪意ある指示がツール結果経由でclassifierを操作することを構造的に防いでいる。

classifierはCLAUDE.mdの内容も参照する²。「このディレクトリは本番データ」のようなプロジェクト固有の指示が判定に反映され、文脈を活かした安全性評価が可能だ。

classifierの判定ロジック¶

何をブロックし、何を通すのか¶

classifierはsettings.jsonのallow/denyルールのような構文パターンマッチではない。自然言語ベースのブロック/許可ルールを文脈的に評価する²。具体的には以下の3つの観点で審査する。

タスクスコープの逸脱 — ユーザーが依頼した範囲を超える過剰なアクションか
対象の信頼性 — classifierが信頼済みと認識できないインフラを操作しようとしていないか
意図の急変 — Claudeが読み込んだコンテンツに誘導された兆候はないか

デフォルトでは、作業ディレクトリと（gitリポジトリの場合）設定済みリモートを信頼済みとして扱う²。

デフォルトのブロック対象¶

公式ドキュメントでは、classifierがデフォルトでブロックする対象として以下が挙げられている¹。

ファイルの大量削除
機密データの外部送信（exfiltration）
悪意あるコードの実行

パターンマッチとの違いは明確だ。rm -rf /を文字列で引っかけるのではなく、「ユーザーが依頼していない大量削除」を意図レベルで判定する。

Subagentでの挙動 — 3段階の審査¶

auto modeはSubagentにも適用される。spawn時・実行中・完了時の3段階で審査が入る点が特徴だ²。

spawn時: classifierがSubagentに委譲されるタスク記述を審査する。「全リモートブランチの一括削除」のような危険なタスクはSubagent起動前にブロックされる。

実行中: 親セッションと同じblock/allowルールで、Subagent内の各ツール呼び出しが独立して審査される。Subagent側のfrontmatterで定義したpermissionModeは無視される。

完了時: Subagentの全アクション履歴がレビューされる。spawn時には安全でも、実行中に読み込んだコンテンツで汚染されている可能性をここで検出する。問題があればセキュリティ警告が返却結果に付与される。

3段階それぞれが異なるリスクを捕捉する設計だ。spawn時は明示的な危険タスク、実行中は個々の操作リスク、完了時は実行過程での汚染——これにより、Subagentの自律性を保ちつつ安全網を維持している。

有効化手順¶

CLI¶

# 初回有効化（1回だけ）
claude --enable-auto-mode

# セッション中はShift+Tabでモード切替
# normal → accept edits → plan → auto

起動時に直接指定する場合:

claude --permission-mode auto

VS Code / Desktop¶

Settings → Claude Code でauto modeをオンにし、セッション内のパーミッションモードドロップダウンから選択する¹。

Desktopアプリケーションではデフォルト無効。Organization Settings → Claude Code から明示的に有効化する必要がある。

管理者による組織制御¶

{
  "disableAutoMode": "disable"
}

managed settingsに上記を設定すると、CLI・VS Code拡張でauto modeが無効化される¹。

既存の権限手法との比較¶

手法	承認頻度	安全性	プロンプトインジェクション対策	適用環境
normalモード	毎回	最高（人間が全件確認）	人間判断に依存	すべて
accept edits	編集は自動、Bashは確認あり	高	人間判断に依存	信頼できるプロジェクト
auto mode	classifier判定で自動/ブロック	中〜高	classifierが構造的に防御	隔離環境推奨
`--dangerously-skip-permissions`	なし	低	なし	隔離環境必須

一言で表すなら、accept editsより自律的で、--dangerously-skip-permissionsより安全という中間地帯だ。

既存運用への影響¶

auto modeの登場で、自動承認3ステップガイドで整理した運用の位置づけが更新される。

モード切替: Shift+Tabの遷移先にauto modeが追加され、4段階の切替になった。

--dangerously-skip-permissions: 完全自動化環境以外ではauto modeが上位互換となるケースが多い。ただしResearch Previewのため、本番CIでは従来フラグが予測可能性で勝る。

許可/拒否リスト: classifierとsettings.jsonのdeny/allowルールは併用可能だ。classifierの判定に加えてルールが評価されるため、多層防御として引き続き有効である。

Hooks: auto modeと独立して動作する。PreToolUseフックはclassifier判定後にも適用されるため、組み合わせてより堅牢なガードレールを構築できる。

制約と注意点¶

auto modeはリスクを軽減するが排除はしない。以下の制約を理解した上で導入すべきだ。

classifierの誤判定 — ユーザーの意図が曖昧な場合や環境コンテキストが不足している場合、危険なアクションを通過させる可能性がある。安全なアクションを誤ブロックするケースも発生しうる
隔離環境推奨の継続 — コンテナやVM等の隔離環境での使用が引き続き推奨されている¹
パフォーマンスへの影響 — ツール呼び出しごとにclassifierが介入するため、トークン消費・コスト・レイテンシにわずかな増加がある
Research Previewステータス — 現時点ではTeamプラン向けの研究プレビュー。改善が継続的に行われる段階にある

まとめ¶

auto modeは「人間の承認を代替するもの」ではなく「補助するもの」だ。classifierという安全層が加わり選択肢は広がったが、最終的な責任はユーザーにある原則は変わらない。

導入の判断基準はシンプルだ。accept editsでは承認が多すぎ、--dangerously-skip-permissionsではリスクが高すぎる——その間を埋めたいなら、auto modeを隔離環境で試す価値がある。