Claude Code「自動モード」の正体──"危険なスキップ"との決別は本物か
AIコーディングツールに突きつけられてきた二択がある。「すべてを監視するか、すべてを放任するか」。Anthropicの新機能は、その間に第三の道を敷こうとしている。だが、その道は本当に安全なのか。
AIコーディングツールに突きつけられてきた二択がある。「すべてを監視するか、すべてを放任するか」。Anthropicの新機能は、その間に第三の道を敷こうとしている。だが、その道は本当に安全なのか。
Claude Codeの「自動モード」は何を変えるのか
Anthropicが3月25日(日本時間)、Claude Codeに新しいパーミッションモードを投入している。リサーチプレビューとしてTeamプランのユーザーへの提供が始まっており、EnterpriseおよびAPIユーザーにも数日以内に展開される予定だ。
その名は 「自動モード」(auto mode) だ。ツール呼び出しのたびに分類器(classifier)がアクションを事前審査し、安全と判断されれば自動実行、危険と判断されればブロックする。ファイルの大量削除、機密データの流出、悪意あるコード実行、プロンプトインジェクションといったリスクが検知対象だ。
New in Claude Code: auto mode.
— Claude (@claudeai) March 24, 2026
Instead of approving every file write and bash command, or skipping permissions entirely, auto mode lets Claude make permission decisions on your behalf.
Safeguards check each action before it runs. pic.twitter.com/kHbTN2jrWw
ブロックされた操作をClaudeが繰り返し試みた場合、最終的にユーザーへの許可プロンプトが発生する。完全な放任ではなく、エスカレーションの仕組みが組み込まれている。対応モデルはClaude Sonnet 4.6とOpus 4.6。トークン消費量・コスト・レイテンシにわずかな影響がある点をAnthropicは公式ブログで認めている。
自動モードは--dangerously-skip-permissionsと比較してリスクを低減するが、完全に排除するものではない。引き続き隔離された環境での使用を推奨する。──Anthropic「推奨」ではなく「前提」と読むべきだろう。安全を保証する機能ではなく、リスクの発生確率を下げる機能だ。
なぜ開発者は「危険なスキップ」に手を伸ばしていたのか
この機能が生まれた背景には、Claude Codeのパーミッション設計が抱える構造的な矛盾がある。
デフォルト設定では、ファイル書き込みやBashコマンドのたびに人間の承認が必要になる。セキュリティとしては正しい。だが20ステップを超えるような長時間タスクでは、開発者は「承認ボタンを押すだけの番人」と化す。カリフォルニア大学アーバイン校の研究では、作業中断後に集中力を取り戻すまで20分以上かかるとされている。コーディング中にこの中断が数十回発生すれば、生産性への打撃は計り知れない。
その結果、多くの開発者が--dangerously-skip-permissionsフラグに逃げた。名前に「危険(dangerously)」と入っているにもかかわらず、だ。そして実際に事故は起きている。
2025年10月、開発者のマイク・ウォラクがファームウェアプロジェクトの作業中、Claude Codeがルートディレクトリからのrm -rfを実行した。GitHubのバグレポート(#10077)には、/bin、/boot、/etcといったシステムパスへの「Permission denied」エラーが何千行も記録されていた。ユーザー所有のファイルはすべて消失した。
会話ログにコマンドの出力は残っていたが、実行されたコマンド自体は記録されていなかった。原因のフォレンジック調査すら不可能──これがAIコーディングツールの「安全事故」の実態だ。
これは孤立した事故ではない。2025年12月にはRedditユーザーのホームディレクトリが消去される事例が、2026年1月にはClaude Coworkが明示的な保持指示を無視して約11GBのデータを削除する事例が報告されている。Anthropicの公式ブログでさえ、自社エンジニアが--dangerously-skip-permissionsをDockerコンテナ内で使っていることを公言していた。作った本人たちが、素の環境では使えないと認めているフラグだった。
分類器という「門番」は信頼できるのか
自動モードの成否は、この分類器の精度にかかっている。だがAnthropicは、安全と危険を判別する具体的なロジックを公開していない。TechCrunchの報道でも、この点について追加取材を行っていると記されている。
Anthropic自身が挙げる限界も率直だ。ユーザーの意図が曖昧な場合や、Claudeが環境の文脈を十分に把握していない場合、リスクのあるアクションを通してしまう可能性がある。逆に、安全な操作を誤ってブロックする偽陽性も起こりうる。
ここに本質的な問いがある。隔離環境での使用が前提なら、--dangerously-skip-permissionsと運用上の要件は変わらないのではないか。サンドボックスの中で走らせるなら、分類器の有無にかかわらず被害は限定的だ。自動モードの真価が問われるのは、開発者が「隔離環境の推奨」を無視して本番に近い環境で使い始めたときだ。
自動モードは実行時のセーフティフィルターだ。行動空間をポリシーで狭め、そのなかでAIに自律性を与える。だが、フィルターの精度は未知数のままだ。
そのとき、分類器は門番として機能するのか。それとも誤った安心感を与えるだけの飾りになるのか。
AIコーディングの自律性は、どこまで許されるか
自動モードは、Claude Code ReviewやCowork向けDispatchに続く、Anthropicの「管理された自律性」戦略の一環だ。ルーティンワークはAIに任せ、リスクが高まれば人間に戻す。方向性としては合理的だ。
だが9to5Macが指摘するように、これはGitHubやOpenAIのコーディングツールでも進行中の流れと重なる。AIが人間の代わりに行動する範囲は、業界全体で急速に拡大している。差別化のポイントは「どこで手綱を引くか」の設計思想にある。
Anthropicの選んだ答えは分類器による実行時フィルタリングだった。完璧ではないが、少なくとも「全承認か全放任か」の二択よりはましだ。有効化はclaude --enable-auto-modeコマンドか、Shift+Tabの切り替えで行える。管理者はdisableAutoMode設定で組織全体の無効化も可能だ。
正直なところ、自動モードは「革命」ではなく「妥協の最適化」だ。それでも、開発者のコーヒーブレイクがコードの破壊と隣り合わせだった時代に、一枚のセーフティネットが加わったこと自体には意味がある。問題は、このネットの目がどれだけ細かいかだ。それを確かめるのは、リサーチプレビューに飛び込んだ開発者たちの手に委ねられている。
#ClaudeCode #Anthropic #AIコーディング #自動モード #開発者ツール #AI #情報の灯台
