Claude Code Auto Mode完全ガイド — 安全な自律実行の仕組みと実践
2026年3月24日、Anthropicは Claude Code に Auto Mode を追加した。手動承認の煩わしさと --dangerously-skip-permissions の危険性、その中間を埋める権限モードだ。
開発者の多くは、Claude Code をエージェントとして長時間タスクに投入したい。しかしデフォルトではファイル書き込みやbashコマンドのたびに承認プロンプトが表示される。大規模なリファクタリングを任せて席を離れる、という使い方はできなかった。一方で全承認をスキップする --dangerously-skip-permissions は、名前が示すとおりリスクが高い。
Auto Mode はこの問題に対する Anthropic の回答であり、専用のAI安全分類器がすべてのツール呼び出しを実行前に評価する仕組みだ。
この記事では、Auto Mode の技術的な仕組みから実践的な導入手順、CI/CDパイプラインとの統合方法、さらには他ツールとの比較まで、実務で必要な情報を体系的にまとめた。
前提知識: Claude Code の基本操作に馴染みがない場合は、先に「Claude Code実践ガイド2026」を読んでおくと理解がスムーズになる。
1. Auto Mode とは何か
Auto Mode は Claude Code の 権限モード(permission mode)のひとつ。Claude がファイル操作やシェルコマンドの権限判断を自律的に行い、低リスクと判定されたアクションは人間の承認なしに実行する。
権限モードの全体像
Claude Code には現在3つの権限モードが存在する。
| モード | 承認 | 安全性 | ユースケース |
|---|---|---|---|
| Default | 毎回手動承認 | 最も安全 | 初期学習、機密コードベース |
| Auto Mode | 分類器が自動判定 | 中間 | 長時間タスク、CI/CD統合 |
| bypassPermissions | 全スキップ | 最も低い | 完全隔離環境のみ |
Auto Mode の位置づけは明確だ。Default の安全性を大幅に維持しつつ、bypassPermissions に近い自律性を実現する。
なぜ今リリースされたのか
背景には3つの要因がある。
- エージェント利用の主流化: Claude Code を非同期タスクに投入するユースケースが急増。Slack統合やCI/CDでの headless 実行が一般的になった
- bypassPermissions の乱用: 開発環境で
--dangerously-skip-permissionsを常用する開発者が増加し、インシデントが報告されていた - 分類器技術の成熟: 専用の安全分類器(Anthropicのモデルをベースとする)が、実用的な精度に到達した
2. 安全分類器の技術的な仕組み
Auto Mode の中核は、メインのコーディングセッションとは独立して動作する AI安全分類器(safety classifier)だ。
二段階アーキテクチャ
分類器は2つのステージで構成されている。
ユーザーの指示
│
▼
┌─────────────────────────┐
│ Claude Code メインモデル │
│ (Opus 4.6 / Sonnet 4.6) │
│ → ツール呼び出しを生成 │
└──────────┬──────────────┘
│ ツール呼び出し
▼
┌─────────────────────────────────────┐
│ Stage 1: 高速単一トークン判定 │
│ (Anthropic安全分類モデル) │
│ → Yes/No を即座に返す │
│ │
│ ┌─ Yes → 実行へ │
│ └─ フラグ付き → Stage 2 へ │
├─────────────────────────────────────┤
│ Stage 2: Chain-of-Thought 推論 │
│ → 文脈を詳細に分析 │
│ → 許可 or ブロック │
└─────────────────────────────────────┘
│
▼
ツール実行 or ブロックStage 1 は高速パスとして機能し、明らかに安全なアクション(ローカルファイルの読み取り、宣言済み依存関係のインストールなど)を即座に通過させる。曖昧なケースだけが Stage 2 の詳細な推論に回される。
この設計により、通常の開発フローでの体感速度は Default モードとほぼ変わらない。
入力設計の工夫 — プロンプトインジェクション対策
分類器が受け取る入力には重要な制限がある。
- 受け取るもの: ユーザーのメッセージとツール呼び出しの内容
- 受け取らないもの: Claude のテキスト応答とツールの実行結果
この設計は意図的だ。ファイルやWebページに埋め込まれた悪意のあるプロンプトが、ツール実行結果を経由して分類器の判断を操作することを防ぐ。
分類器の判定基準
Anthropic の公式ブログと技術ドキュメントから、分類器が判定する主要なカテゴリを整理する。
デフォルトでブロックされるアクション:
- 外部スクリプトのダウンロード・実行
- 機密データの外部エンドポイントへの送信
- 本番環境へのデプロイ
- クラウドストレージの大量削除
git push --force
デフォルトで許可されるアクション:
- ワーキングディレクトリ内のファイル操作
- 宣言済み依存関係のインストール(
npm install,pip installなど) - 読み取り専用の HTTP リクエスト
- テストの実行
- Git の通常操作(commit, branch, diff)
精度の実績値
Anthropic が公開した内部テストの数値:
| 指標 | 値 | 意味 |
|---|---|---|
| 偽陽性率 | 0.4% | 安全なアクションを誤ってブロックする確率 |
| 偽陰性率 | 5.7% | 危険なアクションを見逃す確率(合成データでのテスト) |
偽陽性率 0.4% は実用上ほぼ問題にならない水準だ。偽陰性率 5.7% は合成的なデータ窃取シナリオでの値であり、本番環境での直接実行を推奨しない根拠にもなっている。
3. セットアップと設定
前提条件
Auto Mode を使うために必要な環境:
- Claude Code 最新版(2026年3月24日以降のリリース)
- 対応モデル: Claude Sonnet 4.6 または Claude Opus 4.6
- プラン: Team プラン(研究プレビュー)、Enterprise / API は順次対応中
- 管理者設定: Team / Enterprise では管理者が Claude Code admin settings で事前に有効化する必要がある
注意: Haiku モデル、Claude 3 系モデル、サードパーティプロバイダー経由では Auto Mode は利用できない。
CLI での有効化
# Auto Mode を有効にして起動
claude --enable-auto-mode
# セッション中に切り替える場合
# Shift+Tab で権限モードを切り替え起動後、セッション中に Shift+Tab を押すことで、Default ⇔ Auto Mode をいつでも切り替えられる。
VS Code での有効化
VS Code 拡張を使っている場合:
- 設定パネルを開く
- 権限モードドロップダウンから Auto Mode を選択
- トグルをオンにする
settings.json での永続設定
プロジェクト単位で Auto Mode をデフォルトにしたい場合、.claude/settings.json に記述できる。
{
"permissions": {
"mode": "auto"
}
}権限ルールとの組み合わせ
Auto Mode は既存の権限ルール(allow / ask / deny)と併用できる。分類器の判定よりも、明示的な権限ルールが優先される。
{
"permissions": {
"mode": "auto",
"rules": [
{
"tool": "bash",
"command": "rm -rf",
"action": "deny"
},
{
"tool": "bash",
"command": "npm test",
"action": "allow"
}
]
}
}この設定では、rm -rf は分類器の判定に関わらず常にブロックされ、npm test は常に許可される。分類器が判断するのはルールに該当しないアクションだけだ。
4. 従来モードとの生産性比較
Auto Mode の導入でどの程度ワークフローが変わるのか。典型的なタスク別に比較する。
タスク別の承認回数比較
| タスク | Default モード | Auto Mode | bypassPermissions |
|---|---|---|---|
| 10ファイルのリファクタリング | 25〜30回 | 0〜2回 | 0回 |
| テストスイートの作成 | 15〜20回 | 0〜1回 | 0回 |
| バグ調査→修正→テスト | 10〜15回 | 0〜3回 | 0回 |
| npm パッケージの追加と設定 | 5〜8回 | 0回 | 0回 |
| CI設定ファイルの生成 | 3〜5回 | 0〜1回 | 0回 |
Auto Mode では大半のタスクで承認プロンプトがゼロになる。分類器がフラグを立てるのは、タスクスコープを超える操作や認識できないインフラへのアクセスが発生した場合に限られる。
開発フローへの影響
Default モードの典型的なフロー:
指示 → 承認 → 実行 → 承認 → 実行 → 承認 → ... → 完了
↑ 人間が画面を見続ける必要があるAuto Mode のフロー:
指示 → [分類器が自動判定] → 実行 → 実行 → 実行 → ... → 完了
↑ 人間は結果だけ確認すれば良いこの差が特に大きいのは、非同期ワークフロー だ。Slackから Claude Code にタスクを投げて結果を待つ、CI/CDパイプラインでヘッドレス実行する、といった使い方で真価を発揮する。
5. 実践ユースケース
ユースケース1: 大規模リファクタリング
Express.js アプリケーションのルーティングを、ファイルベースルーティングに移行するケース。
# Auto Mode で起動
claude --enable-auto-mode
# 指示を与えて離席
> このExpressアプリの全ルーティングを app/routes/ 配下の
> ファイルベースルーティングに移行してください。
> 既存のテストが全て通ることを確認してから完了を報告して。Auto Mode なら、Claude は以下を承認なしで実行する:
- 既存ルーティングの解析
app/routes/ディレクトリの作成- 各ルートファイルの生成
- 既存ファイルの修正
npm testの実行- テスト失敗時の修正と再実行
Default モードでは30回以上の承認が必要なタスクが、Auto Mode では人間の介入なしに完了する。
ユースケース2: テスト生成
テストカバレッジが低いプロジェクトに、体系的にテストを追加する。
claude --enable-auto-mode
> src/services/ 配下の全サービスクラスに対して、
> Vitest のユニットテストを生成してください。
> カバレッジ80%以上を目標に。
> モック戦略は依存注入パターンを使うこと。Claude は各サービスファイルを読み込み、テストファイルを生成し、実行して失敗箇所を修正する。この反復プロセスが全て自動で進む。
ユースケース3: バグ調査と修正
本番で報告されたバグを、ログとスタックトレースから追跡して修正する。
claude --enable-auto-mode
> 以下のエラーログから原因を特定して修正してください。
> 修正後はリグレッションテストも追加すること。
>
> Error: TypeError: Cannot read properties of undefined (reading 'map')
> at UserList.render (src/components/UserList.tsx:42)
> at processChild (node_modules/react-dom/...)分類器はファイル読み取り・編集・テスト実行を自動許可する。外部APIへのリクエストやデータベースへの直接操作が必要な場合のみ、ユーザーに確認を求める。
6. CI/CD パイプラインとの統合
Auto Mode は CI/CD 環境との相性が特に良い。人間が承認できないヘッドレス環境では、分類器による自動判定が事実上必須になる。
GitHub Actions との統合
# .github/workflows/claude-review.yml
name: Claude Code Review
on:
pull_request:
types: [opened, synchronize]
jobs:
ai-review:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Setup Node.js
uses: actions/setup-node@v4
with:
node-version: '22'
- name: Install Claude Code
run: npm install -g @anthropic-ai/claude-code
- name: Run AI Code Review
env:
ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
run: |
claude -p --enable-auto-mode \
"このPRの変更をレビューして、問題点があれば指摘してください。
セキュリティ・パフォーマンス・保守性の観点で評価すること。" \
--output-format json > review-result.json
- name: Post Review Comment
uses: actions/github-script@v7
with:
script: |
const fs = require('fs');
const review = JSON.parse(fs.readFileSync('review-result.json'));
await github.rest.issues.createComment({
owner: context.repo.owner,
repo: context.repo.repo,
issue_number: context.issue.number,
body: review.result
});自動テスト生成パイプライン
新しいコードがプッシュされるたびに、不足しているテストを自動生成する。
# .github/workflows/claude-test-gen.yml
name: Auto Test Generation
on:
push:
branches: [main]
paths: ['src/**/*.ts', 'src/**/*.tsx']
jobs:
generate-tests:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Install dependencies
run: npm ci
- name: Generate missing tests
env:
ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
run: |
claude -p --enable-auto-mode \
"変更されたファイルに対応するテストが不足している場合、
テストを生成してください。既存のテストパターンに合わせること。
生成後に npm test で全テストが通ることを確認してください。"
- name: Commit generated tests
run: |
git config user.name "claude-bot"
git config user.email "claude-bot@example.com"
git add -A
git diff --cached --quiet || git commit -m "test: add auto-generated tests"
git pushVercel プレビューデプロイとの連携
# PRに対してプレビューデプロイ後のチェックを実行
- name: Verify Preview Deployment
env:
ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
PREVIEW_URL: ${{ steps.deploy.outputs.url }}
run: |
claude -p --enable-auto-mode \
"デプロイされたプレビュー環境 ${PREVIEW_URL} に対して、
基本的な動作確認を実施してください。
トップページの表示、主要ナビゲーション、フォーム送信の
正常系をチェックすること。"CI/CD 環境では、コンテナやVM内での実行が推奨される。GitHub Actions の
ubuntu-latestランナーは使い捨て環境であるため、Auto Mode との組み合わせに適している。
7. セキュリティ考慮事項と企業導入
リスク評価マトリクス
Auto Mode を導入する際のリスクを整理する。
| リスク | 影響度 | 対策 |
|---|---|---|
| 分類器の偽陰性(危険なアクションの見逃し) | 中〜高 | 隔離環境での実行、deny ルールの併用 |
| 本番環境への意図しないアクセス | 高 | ネットワーク分離、環境変数の制限 |
| 依存関係の改ざん(サプライチェーン攻撃) | 中 | lockfile の検証、既知パッケージのみ allow |
| プロンプトインジェクション | 低(分類器の設計で緩和) | 信頼できないソースのコード操作時は Default に切替 |
企業導入チェックリスト
大規模チームで Auto Mode を導入する際に確認すべき項目:
## 導入前チェックリスト
### インフラ
- [ ] 開発環境は本番環境とネットワーク分離されているか
- [ ] CI/CD ランナーは使い捨て環境(コンテナ/VM)か
- [ ] 機密情報(API キー、DB 接続情報)は環境変数で管理されているか
- [ ] .env ファイルは .gitignore に含まれているか
### 権限設定
- [ ] deny ルールで禁止すべきコマンドを定義したか
- rm -rf /
- git push --force (main/master)
- 本番DB への直接接続コマンド
- [ ] allow ルールで明示的に許可するコマンドを定義したか
- [ ] .claude/settings.json をリポジトリにコミットしたか
### 組織
- [ ] Team/Enterprise プランの管理者が Auto Mode を有効化したか
- [ ] 開発チームに Auto Mode の制限事項を共有したか
- [ ] インシデント発生時のエスカレーションフローを定義したか
- [ ] 定期的な権限ルールの見直しスケジュールを設定したか.claude/settings.json のテンプレート(企業向け)
{
"permissions": {
"mode": "auto",
"rules": [
{
"tool": "bash",
"command": "rm -rf /",
"action": "deny"
},
{
"tool": "bash",
"command": "git push --force",
"action": "deny"
},
{
"tool": "bash",
"command": "curl * | bash",
"action": "deny"
},
{
"tool": "bash",
"command": "wget * -O - | sh",
"action": "deny"
},
{
"tool": "bash",
"command": "npm test",
"action": "allow"
},
{
"tool": "bash",
"command": "npx vitest",
"action": "allow"
},
{
"tool": "bash",
"command": "npx tsc --noEmit",
"action": "allow"
},
{
"tool": "bash",
"command": "npx eslint",
"action": "allow"
}
]
}
}8. 他ツールの自律実行機能との比較
Claude Code Auto Mode は、AIコーディングツール全体の「自律実行」トレンドの中に位置づけられる。主要ツールの同等機能を比較する。
自律実行機能の比較表
| 機能 | Claude Code Auto Mode | Cursor Background Agent | GitHub Copilot Workspace | Devin |
|---|---|---|---|---|
| 実行環境 | ターミナル / CI/CD | クラウドVM | GitHub上 | 専用クラウド環境 |
| 安全機構 | AI分類器(二段階) | サンドボックス | GitHub権限モデル | 環境隔離 |
| コンテキスト長 | 1Mトークン | 128Kトークン | 128Kトークン | 非公開 |
| ファイル操作 | ローカル直接操作 | クラウドVM内 | PR経由 | 専用環境内 |
| CI/CD統合 | ネイティブ対応 | 限定的 | GitHub Actions前提 | API経由 |
| オフライン対応 | 不可(API必要) | 不可 | 不可 | 不可 |
| 価格(2026年3月時点) | Max $100/月〜 | $20/月〜 | $10/月〜 | $500/月 |
| 対応モデル | Opus 4.6 / Sonnet 4.6 | GPT-4 / Claude / Gemini | 複数モデル | 独自モデル |
アプローチの違い
Claude Code Auto Mode は「ローカル環境での自律実行」にフォーカスしている。開発者のマシン上で直接ファイルを操作し、既存のツールチェイン(npm, git, make など)をそのまま使う。分類器による安全機構は、この「ローカルで直接触れる」という特性から来るリスクを緩和するための設計だ。
Cursor Background Agent は「クラウドVMでの非同期実行」というアプローチ。タスクをクラウドに委任し、完了したら結果をプルする。環境が隔離されているため安全性は高いが、ローカル環境との同期コストが発生する。
GitHub Copilot Workspace は「Issue → PR の自動化」に特化している。GitHub のエコシステム内で完結するため、権限モデルは GitHub の既存の仕組みに乗る。一方で、GitHub の外のツールとの統合は限定的だ。
どのツールを選ぶべきか
| シナリオ | 推奨ツール |
|---|---|
| 大規模リファクタリングを任せたい | Claude Code Auto Mode |
| IDE内で日常的なコーディングを効率化 | Cursor + Tab補完 |
| Issue から自動でPRを生成したい | GitHub Copilot Workspace |
| 複数ツールを組み合わせて使いたい | Claude Code + Cursor(併用) |
| CI/CDでの自動レビュー・テスト生成 | Claude Code(headless) |
実際の開発現場では、複数のAIコーディングツールを用途別に使い分けるケースが増えている。排他的に選ぶ必要はない。
関連記事: ツール選定の詳細は「AIコーディングツール完全ガイド2026」で解説している。
9. MCP(Model Context Protocol)との連携
Auto Mode と MCP を組み合わせると、Claude Code の自律実行能力がさらに拡張される。
MCP サーバー経由のツール呼び出しと Auto Mode
MCP サーバーが提供するツール(データベースクエリ、外部API呼び出しなど)も、Auto Mode の分類器の評価対象になる。
{
"mcpServers": {
"database": {
"command": "node",
"args": ["mcp-server-postgres/index.js"],
"env": {
"DATABASE_URL": "postgresql://dev:dev@localhost:5432/myapp_dev"
}
}
}
}この設定で MCP 経由のデータベース操作を行う場合:
- SELECT 文: 分類器が自動許可(読み取り専用)
- INSERT / UPDATE: コンテキストに応じて判定(開発DBなら許可される傾向)
- DROP TABLE / TRUNCATE: 分類器がブロック
実践例: MCP + Auto Mode でデータ移行
claude --enable-auto-mode
> PostgreSQL の users テーブルスキーマを v2 に移行してください。
> 1. マイグレーションファイルを生成
> 2. 開発DBに適用
> 3. テストデータで動作確認
> 4. ロールバックスクリプトも生成Auto Mode なら、ファイル生成→SQL実行→テスト→追加ファイル生成の一連の流れが中断なしに進む。
10. トラブルシューティング
分類器に誤ってブロックされた場合
安全なアクションが分類器にブロックされるケース(偽陽性率 0.4%)に遭遇した場合の対処法:
# 1. Shift+Tab で一時的に Default モードに切り替え
# 2. 手動で承認して実行
# 3. Shift+Tab で Auto Mode に戻す
# または、明示的な allow ルールを追加
# .claude/settings.json に追記分類器が繰り返しブロックする場合
Claude が特定のアクションに固執し、分類器が繰り返しブロックする場合は、最終的にユーザーへの承認プロンプトが表示される。この動作は意図的な設計で、デッドロックを防止している。
Auto Mode が有効にならない場合
確認すべき項目:
# Claude Code のバージョン確認
claude --version
# 対応モデルを使用しているか確認
# Sonnet 4.6 または Opus 4.6 が必要
# Team/Enterprise プランの場合、管理者が有効化しているか確認
# Admin Settings → Claude Code → Auto Mode → Enable11. ベストプラクティス
実運用で Auto Mode を効果的に使うためのプラクティスを整理する。
1. タスクの粒度を適切に保つ
Auto Mode は長時間タスクに強いが、スコープが曖昧だと分類器の判定も不安定になりやすい。
# 良い例: スコープが明確
> src/services/UserService.ts のバリデーションロジックを
> zod スキーマに移行して、対応するテストも更新してください。
# 悪い例: スコープが広すぎる
> アプリ全体をリファクタリングして品質を上げてください。2. deny ルールは最初に設定する
Auto Mode を有効にする前に、絶対に実行されてはならないコマンドを deny ルールで定義しておく。
3. 段階的に導入する
- まず個人の開発環境で1週間テスト
- チーム内のCI/CDパイプラインに限定導入
- 問題がなければ開発ワークフロー全体に展開
4. 監査ログを活用する
Auto Mode での実行履歴は Claude Code のセッションログに記録される。定期的に確認し、分類器の判定が適切かをチェックする。
5. 隔離環境を活用する
Anthropic の公式推奨どおり、コンテナやVM内での実行が最も安全だ。Docker を使った隔離環境の例:
FROM node:22-slim
RUN npm install -g @anthropic-ai/claude-code
WORKDIR /workspace
COPY . .
# Auto Mode で実行
CMD ["claude", "-p", "--enable-auto-mode", \
"テストを実行して結果を報告してください。"]12. 今後の展望
Auto Mode は「研究プレビュー」として公開された。今後のロードマップとして予想される方向性:
短期(2026年Q2)
- Enterprise プランおよび API での正式対応
- 分類器の精度改善(偽陰性率の低下)
- カスタム分類ルールの追加
中期(2026年後半)
- チーム単位での分類ポリシー管理
- 分類器のログ・監査機能の強化
- MCP サーバーとの深い統合(サーバー側でのリスクメタデータ提供)
長期
- 組織固有のデータで分類器をファインチューニング
- マルチエージェント環境での権限委譲モデル
- 規制対応(SOC 2, ISO 27001 等)に向けた監査証跡の自動生成
AIコーディングツールの自律性は今後も拡大していく。その中で、安全性と生産性のバランスをどう取るかは開発チームにとって重要なテーマであり続ける。Auto Mode はそのバランスの現時点での最適解のひとつだ。
まとめ
Claude Code Auto Mode は、「手動承認の煩雑さ」と「全スキップの危険性」の間を埋める実用的な権限モードだ。
押さえるべきポイント:
- 二段階AI分類器が全ツール呼び出しを実行前に評価する
- 偽陽性率 0.4%、偽陰性率 5.7%(合成テスト)の精度
Shift+Tabでセッション中にいつでも切り替え可能- CI/CD のヘッドレス環境との相性が良い
- 隔離環境での実行が公式推奨
現時点では Team プランの研究プレビューだが、Enterprise や API への展開も近い。今のうちに開発環境で試しておくことで、正式リリース時にスムーズに導入できる。
AIエージェントに「任せて離席する」開発スタイルは、もはやSFではない。Auto Mode はその実現に向けた具体的な一歩だ。
AI開発スキルを磨くなら
Auto Mode のような最新ツールを使いこなすには、基盤となるプログラミングスキルが不可欠だ。以下のサービスは、AIを活用した開発手法を体系的に学べる。
プログラミング学習
CI/CD環境構築に
- XServer VPS — GitHub Actions のセルフホストランナーや Docker 環境に最適
- ConoHa WING — WordPress + 技術ブログ運営に
AIツールで開発効率を測定するなら
- DevToolBox — 開発者向けユーティリティツール集。ベンチマーク測定やコード品質チェックに
キャリアアップ
- AI開発スキルを活かしてフリーランスに転向するなら フリーランスボード で高単価AI案件を探せる
参考リンク:
- Auto mode for Claude Code — Anthropic公式ブログ
- Configure permissions — Claude Code Docs
- Choose a permission mode — Claude Code Docs
- Claude Code GitHub Actions — Claude Code Docs
関連記事:
- AIコーディングツール完全ガイド2026 — 主要ツールのベンチマーク比較
- Claude Code実践ガイド2026 — 基本操作からチーム運用まで
- MCP(Model Context Protocol)完全ガイド — AIエージェントとツール連携の新標準