之前我们有 YOLO mode,但现在 Claude Code 的 Auto mode 上线了,你的编码速度还能再快一截!
如果你用 Claude Code 做过正经项目,你肯定被权限提示折磨过——每次写文件、每条 bash 命令,Claude 都要先问你一次。你只好一遍遍点“是”!
做简单任务还好,但一旦是多步骤重构,或是要在多个文件里构建新功能,就会很挫败。
我有过这样的会话:连续点了 30 多次“批准”,都懒得看自己在批什么。
这就是个问题,于是有了解决方案:--dangerously-skip-permissions ——也就是 YOLO mode。
它确实能用,但你基本就是在对 Claude 说“想干嘛就干嘛”,完全没护栏。我见过开发者用这个 flag 把目录清空、把配置搞崩;Anthropic 也称它“有风险”。
所以今天——
Anthropic 发布了我一直在等的功能:Auto Mode(自动模式)。
这是一个夹在中间的新“权限模式”。
Claude 会替你做权限决策,但每一步操作在执行前,都会先由一个 classifier(安全分类器)审核。这是一个不会打断你流程的安全网。
它的工作原理是这样的:
-
在每次调用工具(tool call)前,都会用一个单独的 classifier 模型先进行审查 -
安全的操作(文件编辑、本地操作)直接放行 -
高风险操作(批量删除、数据外泄、恶意代码)会被拦截 -
如果 Claude 一直尝试执行被拦截的操作,就会回退到提示你人工批准
无论你的主会话用的是哪个模型,这个 classifier 都运行在 Claude Sonnet 4.6 上。
Auto mode 今天起以研究预览(research preview)的形式向 Claude Team 计划用户开放。Enterprise 以及 API 将在接下来几天逐步支持。它可搭配 Claude Sonnet 4.6 和 Opus 4.6 使用。
本文会演示它能做什么,以及它的局限。
如何启用 Auto Mode
Auto mode 需要主动开启;不启用的话是不会出现的。
要求:
-
Claude Code(最新版本) -
Claude Team 订阅(research preview —— Enterprise 与 API 即将上线) -
会话模型选择 Claude Sonnet 4.6 或 Opus 4.6
Auto mode 不支持 Haiku、Claude 3 系列,或第三方提供商(如 Bedrock、Vertex、Foundry)。
另外,如果你在 Team 或 Enterprise 计划下,管理员需要先在 Claude Code admin settings 中开启,团队用户才能使用。
CLI 设置
用 --enable-auto-mode 参数启动 Claude Code:
claude --enable-auto-mode
这会把 auto 加进你的权限模式循环。不加这个 flag,就不会出现。
进入后按 Shift+Tab 在各模式间切换:
default → acceptEdits → plan → auto
切到 auto 后,你会在状态栏看到。
可用以下命令验证:
/status
输出里应显示当前 permission mode 为 auto。
VS Code 设置
如果你在 VS Code 里使用 Claude Code 扩展:
-
打开扩展设置 -
启用 Allow dangerously skip permissions(也会在 UI 中解锁 Auto mode) -
点击输入框底部的模式指示器 -
在下拉列表中选择 Auto
VS Code 标签对应关系如下:
UI Label / Settings Key
Ask permissions → default
Auto accept edits → acceptEdits
Plan mode → plan
Auto → auto
Bypass permissions → bypassPermissions
桌面应用(Desktop App)
桌面应用默认关闭 Auto mode。
开启方式:
-
进入 Organization Settings → Claude Code -
打开 Auto mode 开关 -
在会话发送按钮旁的模式选择器中选中它
将 Auto Mode 设为默认
如果你希望每次启动 Claude Code 都使用 Auto mode,在 ~/.claude/settings.json 中加入:
{
"permissions": {
"defaultMode": "auto"
}
}
注意:仍需在启动时加上 --enable-auto-mode,此设置才会生效。
非交互式运行
Auto mode 也支持用 -p 进行脚本化任务:
claude -p "refactor the auth module" --permission-mode auto --enable-auto-mode
注意:在非交互运行中,如果 classifier 多次拦截操作,会话会中止,因为没有用户可供提示与批准。
准备工作说完了,下面看 classifier 做了什么。
Classifier 的工作方式
Auto mode 用一个决策引擎来跳过权限提示。理解它的流程,有助于你高效使用。
决策流程
每个操作都会按固定顺序匹配,先匹配到的生效:
-
你已有的 allow/deny 规则——如果你设置了权限规则,会先按它们处理 -
只读操作和工作目录内的文件编辑,会立即自动批准 -
其他所有情况,交给 classifier -
如果被拦截——Claude 会拿到原因并尝试换一种方式
Classifier 运行在 Claude Sonnet 4.6 上。它会接收你的消息与工具调用(tool calls)作为输入,但 Claude 自己的文本与工具返回结果会被剥离。
这是刻意的安全设计。如果 Claude 读取了恶意文件或访问了被攻陷的页面,这些恶意内容不会传到 classifier。
它不会被工具结果里的 prompt injection(提示注入)所操控。
你的 CLAUDE.md 内容也会发送给 classifier,因此项目特定指令会参与其决策。
默认会被拦截的操作
Classifier 信任你的工作目录,以及仓库配置的 remotes。
其他一切都被视为外部。
被拦截(Blocked):
-
下载并执行代码(如 curl | bash,或执行克隆仓库中的脚本) -
将敏感数据发送到外部端点 -
生产环境部署与迁移 -
云存储上的批量删除 -
授予 IAM 或仓库权限 -
修改共享基础设施 -
删除会话开始前就已存在的文件 -
破坏性的 Git 操作,如 force push 或向 main 推送
放行(Allowed):
-
工作目录内的本地文件操作 -
安装已在 lock 文件或 manifest 中声明的依赖 -
读取 .env 并将凭证用于对应 API -
只读 HTTP 请求 -
向你开始时所在的分支,或 Claude 新建的分支进行 push
可用以下命令查看默认规则完整列表:
claude auto-mode defaults
Auto Mode 激活行为
当你切换到 Auto mode 时,Claude Code 会移除所有授予“任意代码执行”的 allow 规则。
这意味着像 Bash() 这样的通配 shell 访问、Bash(python) 或 Bash(node*) 这类脚本解释器通配,以及任何 Agent 的 allow 规则,都会被移除。
这些规则会在 classifier 审核前就自动批准最危险的命令,因此必须先撤掉。
像 Bash(npm test) 这样的窄规则会保留。离开 Auto mode 时,被移除的规则会恢复。
回退阈值(Fallback Threshold)
Classifier 偶尔也会拦截合法操作。
如果它连续 3 次拦截同一个操作,或在一个会话中累计拦截达到 20 次,Auto mode 会暂停,Claude Code 会切回手动提示批准。
你一旦批准了被提示的操作,计数会重置,然后可以继续用 Auto mode。
这些阈值不可配置。
对于使用 -p 的非交互式运行,触发回退会直接中止会话。
Token 成本与时延
Auto mode 会消耗更多 Token。每次 classifier 检查都会把会话记录的一部分加上待执行操作一并发给 classifier 模型。
额外成本主要来自 shell 命令与网络操作。工作目录内的只读与文件编辑不触发 classifier 调用,因此无需额外开销。
每次检查也会在操作执行前带来一次往返时延。大多数任务里你感觉不出来。
Auto Mode 如何处理 Subagents
如果你在使用 subagents(子代理),Auto mode 同样适用于它们。
当 Claude 启动一个 subagent 时,classifier 会在 subagent 开始前先评估被委派的任务。像“删除所有匹配该模式的远程分支”这种任务,会在启动时被拦截——压根不会运行。
在 subagent 内部,会沿用与父会话相同的拦截与放行规则。
Subagent 在其 frontmatter 中自行声明的 permissionMode 会被忽略。Subagent 的工具调用也会经过 classifier。
当 subagent 结束时:
-
classifier 会复核其完整操作历史 -
即便启动时看起来安全,它也可能在运行中被读取到的内容所“攻陷” -
如果回传检查标记出风险,会在 subagent 的结果前加一个安全警告,供主代理(main agent)决策下一步
三道检查:事前、事中、事后。
最后的想法
Auto mode 解决了 Claude Code 中“权限提示疲劳”的问题,这对我来说一直是最大的痛点之一。
Auto mode 的设计很聪明:classifier 会放行安全操作,并拦下危险动作,比如批量删除、数据外泄、对 main 的强推。
但要有心理预期:如果你的意图不够清晰,classifier 仍可能放过一些有风险的动作,也会偶尔误拦安全操作。
很想听听你使用 Claude Code Auto mode 的体验,在下方留言吧。