Claude Code получил auto mode: автономный режим с встроенной защитой

Anthropic запустила auto mode для Claude Code. В этом режиме ИИ сам решает, какие действия безопасны, а какие требуют подтверждения пользователя. Функция доступна как research preview для Team-планов; расширение на Enterprise и API ожидается в ближайшие дни.

Зачем нужен auto mode

До сих пор у пользователей Claude Code было два крайних варианта. Стандартный режим запрашивает подтверждение на каждое действие: безопасно, но при активной работе Claude просит разрешение десятки раз за сессию. Флаг --dangerously-skip-permissions (он же bypassPermissions) отключает все проверки. Работать получается быстро, зато агент может удалить файлы, отправить данные наружу или выполнить вредоносный код из prompt injection.

Auto mode занимает место посередине. Отдельная модель-классификатор анализирует каждое действие Claude и решает: выполнить автоматически, запросить подтверждение или заблокировать. Anthropic описывает режим как «более безопасную альтернативу» полному отключению проверок.

Как это работает

При включённом auto mode (--mode auto или defaultMode: "auto" в настройках) каждый вызов инструмента проходит через фоновый классификатор. Модель оценивает действие по нескольким критериям:

• Соответствие запросу пользователя: действие должно логически следовать из того, что попросил разработчик
• Доверенная инфраструктура: запись в рабочую директорию или push в репозиторий компании считаются безопасными
• Потенциальная утечка данных: отправка на внешние URL блокируется по умолчанию

Если разработчик явно попросил выполнить конкретное действие (например, «сделай force-push этой ветки»), классификатор пропустит его даже при совпадении с правилом блокировки. Общие запросы вроде «почисти репозиторий» на опасные операции зелёный свет не дают.

Что блокируется по умолчанию

Из коробки auto mode блокирует:

• Force push, удаление веток и другие деструктивные git-операции
• Отправку данных на внешние домены (эксфильтрация)
• Выполнение скачанных скриптов (curl | bash)
• Изменение production-инфраструктуры
• Модификацию CI/CD пайплайнов

Полный список правил доступен по команде claude auto-mode defaults. Его можно настроить под свою среду.

Настройка под компанию

Конфигурация пишется на естественном языке. В секции autoMode.environment инфраструктура компании описывается обычным текстом:

{
  "autoMode": {
    "environment": [
      "Source control: github.com/acme-corp",
      "Trusted cloud buckets: s3://acme-builds",
      "Trusted internal domains: *.internal.acme.com"
    ]
  }
}

Классификатор читает эти строки как инструкции. Всё, что не указано как доверенное, считается потенциальной целью для утечки.

Для тонкой настройки есть два дополнительных поля:

• autoMode.allow для исключений из блокировок (например, «запись в s3://acme-scratch/ разрешена, это эфемерный бакет»)
• autoMode.soft_deny для дополнительных ограничений (например, «никогда не запускать миграции БД вне CLI для миграций»)

Установка allow или soft_deny полностью заменяет дефолтный список правил. Anthropic рекомендует сначала скопировать текущие правила через claude auto-mode defaults, а потом редактировать копию.

Где это работает

Auto mode пока доступен как research preview:

• Team-планы: включение через --mode auto или настройки
• Enterprise и API: ожидается в ближайшие дни
• Администраторы могут запретить использование, установив disableAutoMode: "disable" в managed settings

Anthropic предупреждает, что функция экспериментальная и «не устраняет риск полностью». Компания рекомендует запускать auto mode в изолированных средах, контейнерах или виртуальных машинах.

Что это меняет на практике

Разработчики, которые используют Claude Code каждый день, до сих пор были вынуждены выбирать: либо терять время на подтверждения, либо отключать проверки и рисковать. Auto mode позволяет работать в потоке, не жертвуя контролем над опасными операциями.

Для команд удобно, что администратор настраивает доверенную инфраструктуру один раз, а все разработчики получают единый набор правил. Каждый при этом может дополнить конфигурацию своими правилами через пользовательские или проектные настройки.

У GitHub Copilot, Cursor и других AI-помощников для кода сопоставимой системы контроля разрешений пока нет.

По теме: как разработчики уже используют Claude Code в реальных рабочих процессах — читайте в нашем обзоре 13 приёмов Бориса Черни. А о том, как Anthropic превращает Claude Code в постоянного агента в мессенджерах, — в материале о Claude Code Channels.