Claude Codeに「autoモード」が登場——AIが権限判断を自動化
Anthropicは2026年3月24日、コーディングエージェント「Claude Code」に新しい権限モード「autoモード」を導入した。従来の--dangerously-skip-permissionsフラグの代替として設計されたこのモードでは、Claudeがユーザーに代わって各アクションの実行可否を判断する。
仕組み:Claude Sonnet 4.6が「監視役」として動作
autoモードの核心は、メインセッションとは独立した分類器モデルにある。公式ドキュメントによれば、各アクションが実行される前にClaude Sonnet 4.6が会話全体を解析し、次の3点を検証する。
- タスクのスコープを超えたアクションの拡大(スコープエスカレーション)
- 信頼されていないインフラへのアクセス
- ファイルやWebページに埋め込まれた悪意あるコンテンツ(プロンプトインジェクション)による操作
注目すべき点は、メインセッションが別のモデルを使用していても、分類器は常にClaude Sonnet 4.6で動作することだ。
デフォルトフィルターの内容
ターミナルでclaude auto-mode defaultsを実行すると、デフォルトのフィルタールールをJSON形式で確認できる。主な内容は以下の通り。
許可(allow)されるアクションの例:
- テスト用APIキーやプレースホルダー認証情報のハードコード
- プロジェクトスコープ内でのローカルファイル操作
- 状態を変更しないGETリクエストや読み取り専用API呼び出し
requirements.txtやpackage.json等のマニフェストに既に宣言されているパッケージのインストール(pip install -r requirements.txt、npm install等)
警告付き拒否(soft_deny)の例:
git push --forceやリモートブランチの削除main/masterブランチへの直接プッシュ(PRレビューをバイパスするため)curl | bash等の外部コードの直接実行- S3、GCS、Azure Blobへの一括削除操作
専門家からの懐疑的な見方
Simon Willison氏(著名な技術ブロガー)は、AIに依存したプロンプトインジェクション対策に対して根本的な懸念を示している。AIの判断は本質的に非決定論的であり、公式ドキュメント自身も「ユーザーの意図が曖昧な場合や、環境に関する十分なコンテキストがない場合は、リスクのあるアクションを許可してしまう可能性がある」と認めている。
また、デフォルトのallowリストにpip install -r requirements.txtが含まれていることから、バージョン固定されていない依存関係を悪用したサプライチェーン攻撃には無防備な点も指摘されている。実際、同日にLiteLLMで類似した攻撃事例が報告されており、タイムリーな懸念といえる。
サンドボックスとの比較
Willison氏は「コーディングエージェントには、ファイルアクセスとネットワーク接続を決定論的に制限する堅牢なサンドボックスをデフォルトで使うべきだ」と主張する。autoモードのようなプロンプトベースの保護よりも、OS・コンテナレベルのサンドボックスの方が信頼性が高いという見解だ。
autoモードはフィルタールールをカスタマイズできる柔軟性を持ち、利便性と安全性のバランスを取る実用的なアプローチではある。ただし、セキュリティクリティカルな環境では、AIの判断に全面依存するのではなく、従来型のサンドボックスと組み合わせた多層防御が推奨される。