刚刚发布：Claude Code 推出 Auto Mode（自动模式）。

核心思路很直接——让 Claude 自行判断哪些操作足够安全可直接执行，哪些存在风险应当自动拦截，从此不必再充当“人工点选审批”的操作员。

Auto Mode 解决了什么痛点？

在此之前，Claude Code 的权限策略走两头：

• 默认模式（default）：每一次文件写入、每一条 shell 命令，都要手动确认。安全但效率低，尤其重构涉及几十个文件时，手指先“重构”完。
• --dangerously-skip-permissions：一刀切跳过安全检查，过瘾但风险自担。若读取到带有恶意指令的文件并被误导执行危险操作，后果很难控制。

Auto Mode 就是两者之间的折中：在执行前用独立的分类器快速审查操作，符合用户意图的自动放行，偏离或危险的自动拦截，并由 Claude 尝试换一种安全方式继续完成任务。

分类器怎么判定风险？

这是自动模式的核心机制。

• 模型：分类器运行 Claude Sonnet 4.6。即使主会话选择了 Opus 4.6，分类器依旧使用 Sonnet 4.6。
• 判断方式：不是静态规则匹配，而是结合上下文做语义理解。分类器在每次工具调用前接收“用户的指令内容”和“拟执行的工具调用”，并判断：
  • 操作是否在用户授权的任务范围内？
  • 是否出现偏离用户意图的迹象？
  • 是否疑似受到文件或网页内容的“注入式”诱导？
• 关键安全点：工具的执行结果不会回传给分类器。也就是说，即便 Claude 读取了精心构造的恶意文件，其内容本身也不能直接影响分类器的判断。分类器只看“用户说了什么、Claude 准备做什么”，不看“Claude 读到了什么”。

评估顺序

1. 先应用你预设的 allow/deny 规则；
2. 只读操作与工作目录内的文件编辑，直接放行；
3. 其他操作交由分类器判定；
4. 若被拦截，Claude 会收到原因并尝试换一种更安全的实现路径。

“默认放行 / 默认拦截”的边界

开箱即用的默认策略相对稳健：

默认放行

• 工作目录内的本地文件操作；
• 安装 lock 文件中已声明的依赖；
• 读取 .env 并将凭证用于相应 API；
• 只读的 HTTP 请求；
• 推送到当前分支，或推送到由 Claude 新建的分支。

默认拦截

• 下载后直接执行代码（例如 curl | bash）；
• 向外部端点发送敏感数据；
• 生产环境部署与数据库迁移；
• 云存储的批量删除；
• IAM 权限变更；
• 强制推送或直接推送到 main 分支；
• 不可逆地删除会话开始前就存在的文件。

如果某些被拦截操作原本是你们团队的日常（例如推送到公司内部仓库），可能是分类器尚不了解你的基础设施。管理员可通过 autoMode.environment 进行信任环境配置。

子代理同样受控

Claude Code 的 subagent（子代理）机制十分强大，Auto Mode 会对其进行三重把关：

• 启动前审查：分类器先评估子代理的任务描述。如果本身就带有明显风险（例如“删除匹配某模式的所有远程分支”），会在启动前拦截。
• 运行中监控：子代理执行的每一次工具调用，都需独立通过分类器，沿用与主会话一致的规则。
• 完成后复查：结束时对完整操作历史做安全复核。即便起初无害，子代理也可能在执行中被输入内容“带偏”。一旦复查发现问题，返回结果前会附加安全警告。

容错与降级：避免误判“卡死”

为应对偶发误判，Auto Mode 设计了明确的降级策略：

• 若分类器连续拦截 3 次，或单次会话累计拦截 20 次，自动模式会暂停并回退到手动确认模式。
• 你手动批准一次被拦截操作后，计数器将清零，自动模式继续运行。
• 在非交互模式（-p 标志）下，由于无人可审批，触发降级将直接终止会话。

如何开启 Auto Mode？

当前以 Research Preview 形态发布。Team 计划用户可优先使用，Enterprise 与 API 接入将陆续开放。使用前需由管理员在 Claude Code 管理后台启用该功能。

CLI：启动时添加

claude --enable-auto-mode

会话中可按 Shift + Tab 切换为 Auto 模式。

VS Code / Desktop：在设置中启用后，通过模式选择器切换。

注意：自动模式要求将 Claude Sonnet 4.6 或 Opus 4.6 设为主模型；暂不支持 Haiku 或第三方提供商（如 Bedrock、Vertex）。

成本与延迟

• 计费：分类器调用计入 token 用量，计费方式与主会话一致。每次检查会发送部分上下文与待执行操作给分类器模型。
• 触发范围：并非所有操作都会经过分类器。只读操作与工作目录内文件编辑直接放行；额外成本主要来自 shell 命令与网络相关操作。
• 延迟：每次检查会增加一次往返时间。对于长任务，这点延迟相较手动审批几乎可以忽略。

写在最后

当 AI 编程助手日益强大，如何在效率与安全之间拿捏，是整个行业都在面对的问题。借助独立的 AI 分类器做安全审查，让开发者从“逐条确认”中解放，同时坚持对高风险动作的刚性拦截，这条路值得走。

“用 AI 监管 AI”仍处早期探索期，Anthropic 将其标注为 Research Preview 的态度也很稳妥。但对每天要在 Claude Code 里点上百次确认的开发者来说，这无疑是一个久盼的更新。

如果你在 Team 计划内，不妨立刻试试：

claude --enable-auto-mode

体验一下不再当“审批员”的畅快感。