Claude Code に Auto Mode が登場 ── 「全承認」でも「毎回承認」でもない第三の道

• URL: https://zenn.dev/akasara/articles/e7b047f018e791
• 日付: 2026-06-26
• Tier: Tier 3
• 要旨: 2026年3月24日に発表されたClaude CodeのAuto Modeは、全承認の「–dangerously-skip-permissions」と毎回承認のデフォルトモードの中間に位置する第三の選択肢だ。ツール呼び出しのたびに独立したSonnet 4.6クラシファイアがリスクを評価し、低リスクは自動実行・高リスクはブロックする仕組みで、クラシファイア入力からClaude自身の生成テキストが除外されるためプロンプトインジェクション対策にもなっている。デフォルトの信頼境界は現在の gitリポジトリのみで、社内APIや組織リポジトリへの操作はsettings.jsonのautoModeブロックで宣言することでfalse positiveを解消できる。2026年6月時点ではMax・Team・Enterprise・APIプランが対象で、ProやBedrock/Vertex経由では利用不可だ。

詳細

Claude Code Auto Modeの詳細解説（2026年3月24日発表、6月時点最新情報で全面更新）。承認プロンプトの93%がapproveされるという非効率と–dangerously-skip-permissionsの危険性という二択を解消する第三の道。

クラシファイアの仕組み:

• セッションモデルとは独立したSonnet 4.6クラシファイアが各ツール呼び出しのリスクを判定
• クラシファイア入力からClaude自身の生成テキスト・ツール実行結果を除外（プロンプトインジェクション対策の核心）
• 判定3観点: スコープ逸脱・信頼できないインフラへのアクセス・プロンプトインジェクション誘導

ブロック対象（20個以上のルール）:

• Destroy/Exfiltrate: 履歴force-push・クラウドストレージ大量削除・内部データ外部送信
• Degrade security posture: ログ無効化・SSH鍵や cronによる永続化・エージェント自身の権限変更
• Safety-check bypass: 検証スキップフラグ付きの再デプロイ

autoMode設定ブロック（settings.json、4月以降整備）:

• environment: 信頼するインフラを自然言語で宣言（false positiveの大半はここで解消）
• allow: 組み込みブロックルールの例外を明示
• soft_deny: カスタムブロックルール追加
• hard_deny（v2.1.136+）: allowの例外もユーザーオーバーライドも無視する無条件ブロック
• $defaultsセンチネルを落とすと組み込み標準ルールが消える点に注意

権限モード一覧（最新）: default→acceptEdits→plan→auto→dontAsk→bypassPermissions

対応プラン（2026年6月）: Max・Team・Enterprise・API（Pro/Bedrock/Vertex/Foundryは非対応） Team・Enterpriseは管理者が先にClaude Code admin settingsで有効化必要

関連機能: /effortスライダ（low/medium/high/xhigh/max）、Dynamic workflows（Opus 4.8でEnterprise/Team/API向けに数百の並列サブエージェントを走らせる機能）