LIVE//NAKODIL.SITE//PAYLOAD :: GUIDE
Auto Mode в Claude Code: как перестать подтверждать каждый шаг и не сломать проект
Auto Mode стал доступен всем 10 июля 2026: Claude Code работает без бесконечных «разрешить?», но каждое действие проверяет модель-классификатор. Чем он отличается от отключения разрешений, как включить и когда его лучше не трогать.
- Что это. Auto Mode — режим, в котором Claude Code действует без вопросов, но каждое действие перед выполнением проверяет отдельная модель-классификатор. Доступен всем с 10 июля 2026.
- Зачем. Пользователи и так одобряли 93% запросов на разрешение — Auto Mode убирает бессмысленные клики и оставляет вопросы для того, что их правда стоит.
- Не путать. Это НЕ `--dangerously-skip-permissions`: там проверок по сути нет, здесь они есть, просто фоновые. Плюс режим временно отключает твои широкие разрешения вроде `Bash(*)`.
- Где осторожно. В тестах классификатор пропускал 17% рискованных действий, а 8 июля вышел эксплойт Friendly Fire — через ревью заражённой чужой библиотеки. На непроверенном коде не включать.
Если ты работал с Claude Code, то знаешь это чувство: агент спрашивает разрешение на каждую мелочь. Прочитать файл — можно? Поправить строку — можно? Через полчаса ты жмёшь «да» не глядя, а это ровно то, ради чего разрешения и придумали. Auto Mode — официальный ответ Anthropic на эту усталость, и 10 июля 2026 он стал доступен всем.
Ниже — что это такое, чем он принципиально отличается от «просто отключить разрешения», как его включить и — честно — где он всё-таки не спасёт. Последнее важно: в июле по Auto Mode вышел рабочий эксплойт, и об этом стоит знать до того, как ты его включишь.
Что такое Auto Mode и какую боль он лечит
Auto Mode — режим, в котором Claude Code выполняет действия без вопросов, но каждое действие перед выполнением проверяет отдельная модель-классификатор. Если действие выглядит опасным, оно блокируется, и Claude ищет другой путь.
Смысл в цифре, которую Anthropic привела в своём инженерном разборе: пользователи одобряли 93% запросов на разрешение. То есть в подавляющем большинстве случаев ответ всё равно был «да» — и эти «да» просто тренировали привычку не читать. Auto Mode автоматизирует безопасное большинство и оставляет вопросы для того, что действительно того стоит.
Работает это в три уровня: встроенный список безусловно безопасных команд проходит сразу; правки файлов внутри твоей рабочей папки — тоже без проверки; а всё остальное (запуск команд, сеть, git, инфраструктура) идёт через классификатор. Сам классификатор двухступенчатый — сначала быстрый фильтр, который намеренно перестраховывается, потом подробный разбор только того, что он пометил. С 14 июля 2026 он по умолчанию работает на Claude Sonnet 5 — с парой исключений: если твоя сессия идёт на Sonnet 4.6, проверку ведёт модель сессии, а на Fable 5 — Opus.
Отдельная деталь, которая мне нравится: классификатор не видит результаты инструментов — только твои сообщения, сами вызовы и CLAUDE.md. Сделано нарочно, чтобы враждебный текст, подсунутый в файле или на веб-странице, не мог напрямую уговорить проверяющего.
Auto Mode — это НЕ «отключить разрешения»
Это главное, что стоит понять, потому что путают постоянно. У Claude Code есть режим --dangerously-skip-permissions (он же bypass permissions), и звучит он похоже — «не спрашивай». Но это разные вещи:
- bypass permissions — проверок практически нет. Спросит только в исключениях:
rm -rf /иrm -rf ~как последний предохранитель, плюс то, что ты сам явно пометил правилом «спрашивать». - Auto Mode — проверки есть, просто они фоновые. Классификатор блокирует больше двух десятков категорий опасных действий по умолчанию.
Документация Anthropic говорит об этом прямо: bypass permissions не даёт никакой защиты от prompt injection и непреднамеренных действий, и если тебе нужно меньше вопросов — бери Auto Mode.
Есть и приятная деталь: когда ты входишь в Auto Mode, твои широкие разрешения вроде Bash(*), которые ты мог себе понаписать в настройках, временно отключаются и возвращаются на выходе. То есть режим не наследует дыры, которые ты сам себе прокопал.
Вот как режимы соотносятся между собой:
- Manual (по умолчанию) — без вопроса только чтение. Про него и диалог «Allow Claude to edit…?» я показывал скриншот в гайде по desktop-приложению.
- Accept edits — чтение плюс правки файлов в рабочей папке.
- Plan — только чтение, правки заблокированы, пока не утвердишь план.
- Auto — всё, но с фоновыми проверками.
- Bypass permissions — всё без проверок, только для изолированных контейнеров.
Как включить Auto Mode
В приложении (Desktop): режим переключается прямо в сессии. Рядом с полем ввода есть индикатор режима — по умолчанию он показывает Manual. Открой его и выбери Auto. Если пункта Auto в списке пока нет, включи режим один раз через настройки (см. ниже) или запусти из терминала с флагом — дальше он появится в переключателе.
Desktop: режим переключается индикатором у поля ввода — тем самым, что по умолчанию показывает Manual.
Если работаешь в терминале, всё то же самое: листай режимы клавишами Shift+Tab, пока в статус-баре не появится auto (он в цикле по умолчанию), или стартуй сразу через claude --permission-mode auto.
Чтобы включить навсегда, добавь в ~/.claude/settings.json:
{
"permissions": {
"defaultMode": "auto"
}
}
Важно: это работает только в пользовательских настройках. Проект не может сам себе выдать Auto Mode через .claude/settings.json в репозитории — специально закрыли, чтобы чужой репозиторий не мог поднять себе права.
Что Auto Mode всё равно не даст сделать
Классификатор блокирует по умолчанию довольно длинный список. Вот то, что важно знать на практике:
- скачать и сразу выполнить код (
curl | bash); - отправить чувствительные данные на внешний адрес;
- деплой на прод и миграции базы;
- force push,
git reset --hard,git clean -fd, откат правок черезgit checkout -- .; - править чужой или уже запушенный коммит через
--amend; - необратимо удалить файлы, которые существовали до начала сессии;
- смерджить пул-реквест без ревью человека или отключить проверки CI;
- запушить секреты в публичный репозиторий;
- закомментировать или удалить тесты безопасности;
- писать в файлы сессий (чтобы агент не подчищал собственную историю);
- выполнить
rm -rf "$VAR", если из контекста не ясно, что за путь в переменной — попросит назвать явно.
А вот что он спокойно сделает сам: локальные правки в рабочей папке, установку зависимостей из lock-файла, чтение .env и запросы к API с этим ключом, read-only HTTP, push в ветку текущего репозитория и создание пул-реквеста.
Когда классификатор что-то останавливает, он не делает это молча: причина отказа видна прямо в сессии рядом с заблокированным действием, а всё отклонённое собирается в списке «Recently denied» (в разделе /permissions) — оттуда любое действие можно пересмотреть и при желании разрешить вручную. Так ты всегда видишь, что именно агент хотел сделать и почему это не прошло.
Что будет, если классификатор сработает несколько раз подряд
Тут заложена разумная страховка. Если классификатор заблокировал действия три раза подряд или двадцать раз за сессию, Auto Mode ставится на паузу и Claude Code возвращается к обычным вопросам. Стоит тебе одобрить очередное действие вручную — режим продолжает работать.
Логика простая: если агент раз за разом упирается в стену, значит, что-то идёт не по плану, и человека лучше вернуть в контур. Отдельно учти, что в неинтерактивном режиме (claude -p) спрашивать некого, поэтому повторные блокировки просто оборвут сессию.
Механизм при этом не чёрный ящик: если работаешь в терминале, команда claude auto-mode config печатает действующие правила классификатора, а claude auto-mode critique проверяет твои собственные правила на неоднозначность. Видно, по каким критериям режим принимает решения.
Честно про риски: чего Auto Mode не умеет
Тут начинается часть, которую в новостных заметках обычно пропускают. Auto Mode снижает риск, но не убирает его.
Классификатор ошибается. По собственным замерам Anthropic, на реальном трафике ложных блокировок мало — 0,4%. А вот в обратную сторону хуже: на отдельном наборе реальных «слишком ретивых» действий агента классификатор пропустил 17% — примерно каждое шестое рискованное действие в том наборе проходило мимо. Это две разные выборки, но вывод один: полностью полагаться на автопроверку нельзя.
Есть рабочий эксплойт. 8 июля 2026 институт AI Now опубликовал разбор атаки Friendly Fire: если попросить Claude Code в Auto Mode поревьюить заражённую стороннюю библиотеку, агент может сам выполнить вредоносный код прямо в процессе чтения. Для атаки не нужны ни плагины, ни MCP, ни хуки — достаточно того, что ты смотришь чужой код. Уязвимость проверяли на версиях 2.1.116, 2.1.198 и 2.1.199. Вывод исследователей неприятный, но честный: модели пока ненадёжно отличают «код, который я читаю» от «инструкций, которым я должен следовать».
Он не бесплатный по ресурсам. Каждая проверка — это дополнительный вызов модели, то есть заметная задержка и лишние токены на каждой команде. Anthropic это признаёт прямо в документации.
Слова в чате — не правило. Если ты написал «не пушь, пока я не проверю», это лишь сигнал для классификатора, и он теряется при сжатии контекста. Хочешь гарантию — прописывай явное правило deny или ask в настройках, а не в диалоге.
Когда Auto Mode лучше не включать
Мой список ситуаций, где я бы его не трогал:
- Ревью чужого и непроверенного кода — ровно вектор Friendly Fire. Самый острый пункт из всех.
- Прод-репозиторий и живая инфраструктура — цена ошибки несопоставима с сэкономленными кликами.
- Реальные чувствительные данные — пароли, персональные данные клиентов. Классификатор судит по эвристике, а не по факту.
- Неинтерактивные пайплайны (
claude -p) на чём-то важном — блокировка просто оборвёт сессию, и никто не вмешается.
А вот где он отлично заходит: свой пет-проект, черновой репозиторий, долгая рутинная задача, которую ты и так собирался проверить целиком. Совет практиков, который я разделяю: относись к Auto Mode как к «bypass с подушкой безопасности», а не как к замене изоляции. Если задача пахнет риском — контейнер или отдельная машина никуда не делись.
Что делать дальше
Если ты только знакомишься с Claude Code, Auto Mode — не первое, что стоит включать. Сначала имеет смысл научить агента понимать проект: про это у меня есть гайд по CLAUDE.md с готовым шаблоном. И общий разбор, как выжимать из агента максимум, — в статье про эффективную работу с Claude Code. А если агент начал буксовать посреди задачи, это отдельный симптом — я собрал признаки, что сессия тупеет.
Auto Mode стоит воспринимать как то, чем он и является: способ убрать бессмысленные клики там, где ты и так жал «да» в 93% случаев. Не как разрешение не думать.
Источники
- claude.com/blog/auto-mode — официальный анонс Auto Mode
- anthropic.com/engineering/claude-code-auto-mode — инженерный разбор архитектуры классификатора
- code.claude.com/docs/en/permission-modes — официальная документация по режимам разрешений
- code.claude.com/docs/en/auto-mode-config — правила классификатора и их настройка
- ainowinstitute.org — разбор эксплойта Friendly Fire, 8 июля 2026
- code.claude.com/docs/en/changelog — история изменений Claude Code
Скиллы по теме
Весь каталог →Частые вопросы
Auto Mode — это то же самое, что --dangerously-skip-permissions?
Нет, и это главная путаница. Bypass permissions не проверяет ничего (кроме rm -rf / и rm -rf ~ как последнего предохранителя). Auto Mode проверяет каждое действие моделью-классификатором и блокирует больше двух десятков категорий опасных операций. Документация Anthropic прямо советует брать Auto Mode вместо bypass, если хочется меньше вопросов.
Как включить Auto Mode?
В приложении: рядом с полем ввода есть переключатель режима (по умолчанию Manual) — открываешь его и выбираешь Auto. В терминале: листаешь режимы клавишами Shift+Tab (Auto уже в цикле по умолчанию), либо стартуешь сразу через claude --permission-mode auto. Чтобы включить навсегда — "permissions": {"defaultMode": "auto"} в ~/.claude/settings.json, обязательно в пользовательских настройках.
На каком плане работает Auto Mode?
Официально — на всех планах Claude Code. На Team и Enterprise владелец аккаунта должен сначала включить режим в админ-настройках, иначе разработчики его не увидят.
Это безопасно?
Безопаснее, чем отключать разрешения совсем, но не полностью. По замерам Anthropic, ложных срабатываний 0,4%, зато 17% действительно рискованных действий классификатор в тестах пропустил. Плюс в июле 2026 опубликован рабочий эксплойт через ревью чужого кода. Для рискованных задач изоляция в контейнере никуда не делась.
Что делать, если Auto Mode блокирует нужное действие?
Ничего страшного: после трёх блокировок подряд или двадцати за сессию режим сам ставится на паузу и возвращает обычные вопросы, а как только ты одобришь действие вручную — продолжает работать. Посмотреть, по каким правилам судит классификатор, можно командой claude auto-mode config.
Auto Mode тратит больше токенов?
Да. Каждая проверка — это дополнительный вызов модели, то есть заметная задержка и лишние токены на каждой команде. Anthropic признаёт это прямо в документации.