Claude Code Auto Mode完全ガイド|1日47回の承認地獄から解放される新機能
- Claude Codeを使っているエンジニア・フリーランス
- 承認プロンプトの多さに辟易しているが、
--dangerously-skip-permissionsは怖くて使えない方 - Auto Modeの仕組みと実用上の注意点を把握したい方
「1日に47回もYesを押している。何のためのセキュリティなのか、もはや意味がわからない」。rentierdigital.xyzで紹介されたこの開発者の声が、Claude Codeの長年の課題を正確に言い当てている。
2026年3月24日、Anthropicが発表したAuto Modeは、その47回の承認を静かに引き受ける機能だ。
問題の構造:承認疲れというバグ
Claude Codeのデフォルト動作は、ファイル書き込みやbashコマンドのたびに承認を求める。設計思想としては正しい。しかし現実には、複雑な機能実装で50件以上のプロンプトが発生することも珍しくない。
集中を要する作業を中断した後にフルフォーカスを取り戻すには20分以上かかるという研究知見がある(UC Irvineによる認知科学研究)。1時間あたり100件近い承認プロンプトが発生するとしたら、フロー状態に入ること自体が不可能だ。
問題はさらに深い。頻繁な割り込みが続くと、人間の脳はすべての割り込みを「どうせ安全なもの」と再分類し始める。これが**「承認疲れ(consent fatigue)」**と呼ばれる認知バグだ。複数行にまたがるbashコマンドの最初の数語だけ読んでAllowを押す。これはセキュリティチェックではなく、セキュリティの幻想だ。
結果、多くの開発者が--dangerously-skip-permissionsフラグに手を伸ばした。しかし名前が示すとおり、このオプションは危険だ。
実際に起きた事故
2026年1月、開発者のJames McAulay氏はClaude Coworkのフォルダー整理機能を検証中、「ユーザーデータは保持する」と明示的に指示していたにもかかわらず、rm -rfが実行され約11GBのファイルが削除された。
同月、セキュリティ研究機関PromptArmorは、.docxファイルに埋め込んだ隠しテキスト(1ptフォント、白背景に白文字)を使ったプロンプトインジェクション攻撃で、Claude Codeに機密ファイルを外部アカウントへアップロードさせることに成功したと発表している(詳細)。
--dangerously-skip-permissionsは承認疲れを解決するが、攻撃面を最大に開くトレードオフがある。
Auto Modeとは何か
Auto Modeは、この2択の間に存在しなかった第3の選択肢だ(公式ブログ、2026/3/24)。
動作の流れはシンプルだ:
- ユーザーがタスクを指示する
- Claude Codeが何らかのツール呼び出しを試みる
- 実行前にAI分類器が操作を検査する
- 安全と判断された操作は自動的に実行される
- 危険と判断された操作はブロックされ、Claudeが別のアプローチを取る
承認を求めてくるのは、分類器が繰り返しブロックを行っても回避できないケース、つまり「本当に人間が判断すべき状況」に絞られる。
分類器の中身
分類器はClaude Sonnet 4.6が担当する。メインセッションでOpus 4.6を使っていても、安全チェックはSonnet 4.6が引き受ける設計だ(TechCrunch報道)。
検査対象の主な危険操作:
- 大量ファイル削除(上記のrm -rf問題に直接対応)
- 機密データの外部送信
- 悪意あるコードの実行
Anthropicの表現は「research preview」。つまり現時点では実験的な機能であり、仕様が変わる可能性がある。本番クリティカルな環境での使用は、様子を見てからにするのが無難だ。
3つのモードを比較する
| モード | 承認頻度 | リスク | 用途 |
|---|---|---|---|
| デフォルト | 高(全操作) | 低 | 慎重な作業、本番環境 |
| Auto Mode | 低(危険操作のみ) | 中 | 日常開発、長時間タスク |
--dangerously-skip-permissions | なし | 高 | 隔離環境のみ |
Auto Modeは中間地帯を埋める存在だ。コーヒーを入れに席を立っても、Claudeが止まらずに作業を続けられる。かつ、11GB削除のような取り返しのつかない操作は自動的に阻止される。
開発者の反応:期待と懐疑
「Claudeが本当に厄介な開発者問題を修正しようとしている」。AIエンジニアのRohan Paul氏がXに投稿したこの一言が、多くの開発者の気持ちを代弁している(X投稿)。
一方、懐疑的な声もある。Simon Willisonは自身のブログで、Auto Modeの仕組みを丁寧に解説しつつ、「コーディングエージェントはそもそもファイルアクセスやネットワークを制限したサンドボックスでデフォルト動作すべきで、プロンプトベースの保護に頼るのは限界がある」という観点を紹介している(simonwillison.net)。
サイバーセキュリティ専門家も同様の見解を示す。Help Net Securityの記事(2026/3/25)は、Auto ModeがAI判断の精度に依存するため、分類器を欺くプロンプトインジェクションには依然として注意が必要だと指摘する。
Auto Modeを過信するのは禁物だ。Anthropic自身も公式ブログで「隔離された環境での利用を引き続き推奨する」と明記している。
可用性と注意点
現在利用可能:
- Teamプラン: リサーチプレビューとして即日利用可能
- 対応モデル: Claude Sonnet 4.6、Claude Opus 4.6
近日中に対応:
- Enterpriseプラン
- APIユーザー
対応外(現時点):
- ProプランおよびMaxプランへの展開は未発表
- 旧モデルおよびサードパーティプラットフォーム
Auto Modeは研究プレビュー段階だ。Anthropicは今後の仕様変更を示唆しており、本番サービスのCIや自動化パイプラインに組み込む際は、動作の変化に注意する必要がある。
PMとして見た評価
PMとして率直に言う。Auto Modeは「使える機能」だが、「信頼しきっていい機能」ではまだない。
承認疲れの問題は実在する。47回Yesを押した後の100回目の承認は、ほぼ確実に惰性で押される。その点でAuto Modeのアプローチは正しい方向だと思う。
ただし、分類器がどこまで正確か、どんなプロンプトで欺けるか、まだ検証されていない部分が多い。個人の開発機でのローカル開発なら試す価値は十分ある。本番インフラに触れるパイプライン、機密データを含む環境、チームが共用するサーバー、この3つでは引き続き明示的な承認フローを維持すべきだ。
3月の更新を振り返ると、Claude CodeはVoice Mode、/loop、/effortに続いてAuto Modeと、「使い勝手」の改善を集中的に進めている(3月アップデート全体像)。分類器の精度が向上し、本格的な本番対応になった暁には、Claude Codeの自律エージェントとしての実用性は大きく変わるだろう。
それはまだ先の話かもしれないが、方向性は正しい。
Claude Codeをさらに使いこなすなら
マルチエージェント機能やセキュリティ設定についても詳しく解説しています。
本記事は2026年3月25日時点の情報に基づいています。Auto Modeはリサーチプレビュー段階であり、仕様は予告なく変更される場合があります。本情報は一般的な技術情報の提供を目的としており、特定の環境での動作を保証するものではありません。
