Claude Code Auto Mode とは｜2層防御・90%自律コーディング目標・Pro/Max展開徹底解説【2026年5月】

Claude Code Auto Mode（オートモード）は、Anthropicが2026年3月24日に投入した「全承認」と「全スキップ」の中間を担う第三の権限モードです。AIクラシファイアが各ツール呼び出しを事前評価し、安全と判断したアクションだけを自動実行することで、--dangerously-skip-permissions よりも安全に承認疲れを解消します。

ただし重要な注意点があります。Auto ModeはProプラン（月額20ドル）では利用できません。 公式ドキュメントは Max / Team / Enterprise / API 直接利用の4経路のみを対応プランとして明記しており、AWS Bedrock・GCP Vertex AI・Azure Foundry などサードパーティ経由でも使えません。現時点ではMax以上のプラン契約か、Anthropic直接のAPI契約が前提となります。

この記事でわかること:

Auto Mode の正確な定義と、既存パーミッションモード（default / acceptEdits / plan / dontAsk / bypassPermissions）との違い
2層防御アーキテクチャ（入力層プローブ × 出力層 Sonnet 4.6 分類器）の中身
公式公開の性能数値（Stage 1 FPR 8.5% → Full Pipeline FPR 0.4%、合成攻撃に対するFNR 5.7%）
対応プラン・対応モデル・有効化手順の最新情報（2026年5月15日時点）
「90%自律コーディング目標」という表現の正確な背景と Auto Mode の関係
17%の見逃し（FNR）を補うための permissions.deny 併用パターンと隔離環境推奨
2026年5月最新アップデート：/goalコマンドと利用枠50%増量

誰向けの記事か:

Claude Code を毎回承認なしで動かしたいが安全性が気になる開発者
Proプランで Auto Mode が出ない理由を確認したい個人ユーザー
部下・チームに Auto Mode を解放するか判断したいテックリード・SRE
セキュリティレビューで「AIエージェントの blast radius（影響範囲）」を説明する必要がある責任者

Auto Mode とは何か：30秒で要点

Anthropic 公式エンジニアリングブログのClaude Code Auto Mode解説イメージ

出典: Anthropic Engineering Blog — Claude Code Auto Mode

Auto Mode は、Claude Code 上で各ツール呼び出しの可否をユーザーではなく専用のClaude Sonnet 4.6 分類器（classifier）に判定させる新しいパーミッションモードです。安全と判定されたアクションは自動実行、危険または曖昧なアクションはブロックして代替案を探索、それでも進まない場合は通常の承認プロンプトへフォールバックします。

公式（Anthropic Engineering Blog）は、旧来の Claude Code でユーザーが承認していたツール呼び出しの約93%が結局そのまま承認されていたことを背景として説明しています。大半の承認は形骸化しており、人間が「ファイルを読んでもいいか」のような低リスク判定に判断力を消耗していたわけです。Auto Mode はこの93%を分類器に肩代わりさせ、人間は残り7%の本当に重要な判断に集中させる設計です。

Auto Mode の位置づけ	内容
リリース日	2026年3月24日（research preview）
必要バージョン	Claude Code v2.1.83 以降
動作モデル	分類器は Claude Sonnet 4.6 を使用（出力層）
対応プラン	Max / Team / Enterprise / API 直接（Proは対象外）
対応プロバイダ	Anthropic 直接のみ（Bedrock / Vertex / Foundry 不可）
追加課金	なし。ただし分類器呼び出し分のトークンが少量加算
公式位置づけ	「`--dangerously-skip-permissions` よりは安全だが完全ではない」研究プレビュー版

【最重要】Auto Mode はProプランでは利用できない

Claude公式の料金プラン関連OGPイメージ（Pro/Max/Team/Enterprise）

出典: Claude 公式 — Pricing

「Claude Code Auto Mode Pro」と検索されることが多いですが、2026年5月時点でProプラン（月額20ドル）ではAuto Modeは利用できません。 これは公式ドキュメント code.claude.com/docs/en/permission-modes にプラン別対応表として明記されている事実で、誤解されやすいポイントです。

プラン	Auto Mode	対応モデル	備考
Free	×	—	Claude Code 本体が利用不可
Pro（20ドル/月）	×	—	公式ドキュメントで明示的に非対応
Max 5x（100ドル/月）	◯	Opus 4.7 のみ	2026年4月16日に解放
Max 20x（200ドル/月）	◯	Opus 4.7 のみ	同上
Team	◯	Sonnet 4.6 / Opus 4.6 / Opus 4.7	管理者が `Claude Code admin settings` で有効化必須
Enterprise	◯	Sonnet 4.6 / Opus 4.6 / Opus 4.7	`permissions.disableAutoMode: "disable"` でロック可能
API（Anthropic 直接）	◯	Sonnet 4.6 / Opus 4.6 / Opus 4.7	個別 API キー利用時
AWS Bedrock	×	—	サードパーティ経由は全プロバイダ非対応
GCP Vertex AI	×	—	同上
Azure Foundry	×	—	同上

加えて、2026年4月21日には Anthropic が一部の新規ユーザーに対して Proプランから Claude Code 本体を外すテストを始めたことが The Register などで報道されました。Anthropicはこれを「テスト」と説明しており恒久的な撤回かは未確定ですが、Claude Code を本格活用するなら Max 5x 以上が現時点での実質的なスタートラインだと考えるのが現実的です。

Proプランからのアップグレード判断基準は、Claude Code の料金プラン全体を整理した記事（Claude Code 料金プランを徹底比較）も合わせて参照してください。

既存パーミッションモードとの違い

Claude Code には Auto Mode 以前から複数のパーミッションモードが用意されていました。Auto Mode を理解する最短ルートは「他のモードと何が違うか」を整理することです。

モード	承認なしで実行できる範囲	想定用途
`default`	読み取り系のみ。書き込みやコマンド実行は都度承認	着手時、機微なリポジトリ
`acceptEdits`	読み取り＋ファイル編集＋共通の fs コマンド	レビュー前提のイテレーション
`plan`	読み取りのみ・編集禁止	変更前の調査・計画立案
`auto`（Auto Mode）	すべてのツール呼び出し（バックグラウンド分類器が安全チェック）	長時間タスク・承認疲れ対策
`dontAsk`	事前に `permissions.allow` で許可済みのツールのみ	CI/CD・スクリプト・GitHub Actions
`bypassPermissions`	すべて。チェック一切なし（`--dangerously-skip-permissions`）	隔離コンテナ・VM 限定

整理すると、bypassPermissions の「全フリー」と default の「全聞く」のあいだに、AIクラシファイアによる動的判定が挟まるのが Auto Mode の独自性です。acceptEdits は静的にホワイトリスト化された行動だけを通すのに対し、Auto Mode は文脈（ユーザーの直前の指示・対象ファイル・ツール引数）まで読み取って判断するため、より広い範囲を自動化しつつ危険行動だけを止められます。

CI/CD のように完全に決定的な承認が欲しい場面では dontAsk の方が適しています。Auto Mode と GitHub Actions・dontAsk の使い分けは Claude Code GitHub Actions 連携の実装ガイドも参照してください。

仕組み：2層防御アーキテクチャ

Claude公式ブログのAuto Mode 2層防御アーキテクチャ解説OGPイメージ

出典: Claude 公式ブログ — Auto mode for Claude Code

Auto Mode の中核は 「入力層プローブ × 出力層分類器」の2層防御 です。攻撃や誤動作は入口と出口の両方で検知されるため、単一の判定モデルに依存するよりも回避が困難になります。

入力層：サーバーサイドプロンプトインジェクションプローブ

ファイル読み取り、Web fetch、シェルコマンドの出力、外部ツールからの応答などが Claude のコンテキストに入る前にスキャンされます。「ignore previous instructions」「forget your guidelines」のような攻撃文字列を検知すると、結果と一緒に警告メッセージを注入し、Claude にユーザーの本来の意図への再アンカリングを促します。

重要なのは、ツール結果は分類器から除外される設計です。ファイルやWebページの悪意ある内容が分類器を直接操作することを防ぐために、コンテンツは完全にブロックするのではなく、警告フラグをエージェントのコンテキストに追加する形で処理されます。

出力層：Transcript Classifier（Claude Sonnet 4.6 で動作）

各ツール呼び出しが実行される前に、別個の Claude Sonnet 4.6 インスタンスがその安全性を評価します。重要なのは分類器が「ユーザーメッセージ」と「ツール呼び出し本体（ツール名と引数）」だけを見て、メインの Claude のアシスタント文やツール出力は意図的に排除している点です。

この設計により、メインの Claude が「クラシファイアにこう説明して通そう」と誘導するような自己説得・社会的証明攻撃を防いでいます。エージェントが分類器を「説き伏せて」危険行動を通すことができない構造です。

2段階分類（Two-Stage Classification）

出力層の分類器は、応答性とコストを両立させるために2段階で動きます。

ステージ	動作	特性
Stage 1	単一トークン yes/no の高速フィルタ	ブロック寄りに調整。過剰行動の検出に強い
Stage 2	Chain-of-Thought 推論で精査	Stage 1 で flag されたケースのみ起動。誤検知を大幅に低減

ほとんどのアクションは Stage 1 で「安全」と判断されてそのまま流れ、怪しいものだけ Stage 2 が深く考える、という二段ロケット構造です。これにより通常運用ではレイテンシ増加を最小化しつつ、危険行動には詳細な推論を当てられます。

分類器がターゲットとする4つの危険タイプ

Overeager behavior — 良い意図だが認可範囲を超えたアクション
Honest mistakes — リソーススコープの誤解
Prompt injection attacks — プロンプトインジェクション攻撃
Model misalignment — モデルのアライメント外の動作

公式公開の性能数値：FPR 0.4%・FNR 17%

Auto Mode は Anthropic Engineering Blog に実測ベンチマークが公開されている、珍しい AI 安全機構です。日本語記事ではほとんど引用されていない数値ですが、運用判断には欠かせません。

指標	実トラフィック1万件	過剰行動52件	合成 exfiltration 1000件
Stage 1 FPR（誤ブロック率）	8.5%	—	—
Stage 1 FNR（見逃し率）	—	6.6%	1.8%
Full Pipeline FPR	0.4%	—	—
Full Pipeline FNR	—	17%	5.7%

読み解きのポイント:

FPR 0.4%：通常作業では1000回のツール呼び出しのうち4回しか誤ブロックされない。承認疲れを解消する目的に対して十分な精度
過剰行動の見逃し17%：main ブランチへの直接 push、本番環境への危険コマンド実行など、Auto Mode の「観点」に入っている攻撃の17%は通してしまう
合成 exfiltration の見逃し5.7%：機密データの外部送信を装う合成データセットでは19/20件をブロック
17% の根本原因は、分類器が「ユーザー承認の影響範囲（blast radius）」を完全に推定できない構造的限界。「ユーザーが事前にこのコマンドを意図したか」を確実に判別する手段がない

公式は「Auto Mode は --dangerously-skip-permissions よりリスクは小さいが、ゼロではない。隔離環境（コンテナ・VM・dev container）での利用を推奨する」と明記しています。Auto Mode は『安全保証』ではなく『承認疲れを許容できるレベルまで下げる仕組み』として位置づけるのが正確です。

セキュリティ観点での AI コーディングの全体リスクは AI コーディングのセキュリティリスクと対策も合わせて確認してください。

デフォルトでブロック／許可されるアクション

回路基板上の南京錠：Auto Modeのデフォルトブロック・許可ルールのイメージ

Auto Mode を有効化すると、特に設定をしなくても以下のルールが適用されます。「何が自動で動いて、何が止まるか」を把握しておきましょう。

デフォルトでブロックされるアクション（破壊的・外部影響系）

curl | bash のようなリモートコードの取得＋即時実行
機密データを外部エンドポイントへ送信する操作
本番環境へのデプロイやマイグレーション
クラウドストレージの大量削除（S3 / GCS / Azure Blob）
IAM ロール変更・リポジトリ権限付与
共有インフラ（Terraform、本番DB スキーマ）への変更
セッション開始時から存在したファイルの不可逆な破壊
main ブランチへの直接 push、force push

デフォルトで許可されるアクション（局所・低リスク系）

作業ディレクトリ内のローカルファイル操作（読み書き）
package.json や lockfile に宣言済みの依存関係インストール
.env 読み取りと、対応する公式 API への credential 送信
読み取り専用 HTTP リクエスト
セッション開始ブランチや、Claude が新規作成したブランチへの push

ポイントは、「どこからどこへ何が漏れる可能性があるか（流出経路）」が判定基準になっていることです。同じ「ファイルを書く」操作でも、作業ディレクトリ内で完結するものは許可、/etc/ や ~/.ssh/ のような外部影響範囲が大きい場所は止められます。

サブエージェントは3点でチェックされる

Anthropic公式GitHubリポジトリ anthropics/claude-code のOGPイメージ

出典: GitHub — anthropics/claude-code

Claude Code の subagent（並列タスク実行用の子エージェント）も Auto Mode の対象です。攻撃者がサブエージェント経由で安全チェックを回避することを防ぐため、3つのタイミングで分類器が走ります。

タイミング	何を見るか	目的
Outbound（spawn 前）	委任タスクの自然言語記述	危険そうなタスクは生成段階でブロック
実行中	サブエージェントの各ツール呼び出し	親と同じルールで都度評価。サブエージェント frontmatter の `permissionMode` 指定は無視される
Return（完了時）	全実行履歴のレビュー	flag された場合、結果に security warning を付加

特に「実行中」の点が重要で、「サブエージェント側で permissionMode: bypassPermissions を設定すれば回避できる」と考えがちですが、Auto Mode 配下では子の指定は無効化されます。これは「子エージェント経由でメインの安全網を抜ける」攻撃を防ぐ設計です。

サブエージェント自体の使い方や効率的な並列化は Claude Code サブエージェント徹底ガイドを参照してください。

有効化と設定方法

ターミナル・コードエディタ：Claude Code Auto Mode 有効化設定のイメージ

Auto Mode を使うには、(1) 対応プラン契約、(2) Claude Code v2.1.83 以降、(3) 組織管理者の許可（Team/Enterprise の場合）の3点が前提です。

起動方法

CLI で対話セッション中に Shift+Tab でモードをサイクル（default → acceptEdits → plan → auto）するか、/permissions でモードを auto に切り替えます。--enable-auto-mode フラグは2026年4月16日以降は不要になりました（既定で利用可能）。

# セッション起動時にモードを指定
claude --permission-mode auto

# デフォルトモードとして設定
# .claude/settings.json
{
  "permissions": {
    "defaultMode": "auto"
  }
}

VS Code 拡張の設定パネル（claudeCode.initialPermissionMode）では auto 指定が現時点では不可のため、settings.json の defaultMode 経由で設定します。

/goal コマンドによる長時間自律実行（2026年5月12日追加）

Claude Code v2.1.139（2026年5月12日リリース）で追加された /goal コマンドは、Auto Mode と組み合わせて複数ターンにわたる長時間の自律実行を可能にします。目標を設定すると Claude がセッション全体を通じてその目標に向けて継続的に作業します。

# セッション内で目標を設定
/goal "認証モジュールのリファクタリングとテストカバレッジ80%達成"
# → Auto Mode と組み合わせることで、承認待ちなしに長時間タスクを実行

大規模リファクタリングや複数ファイルにまたがる実装など、従来は途中で何度も手動承認が必要だった長時間タスクを、Auto Mode + /goal で一気に実行できるようになります。

autoMode 設定ブロック

autoMode 設定により、組織固有の信頼境界・例外ルールを追加できます。

フィールド	用途
`autoMode.environment`	信頼するインフラ（リポジトリ、バケット、ドメイン）を自然言語で記述。例：「このリポジトリは社内検証用。本番ではない」
`autoMode.allow`	デフォルト soft_deny への例外。自然言語で「`staging.example.com` への POST は許可」など
`autoMode.soft_deny`	環境固有の追加ブロックルール。Auto Mode 配下でのみ適用
`permissions.deny`（managed settings）	分類器より前に走るハードブロック。Auto Mode で通っても止められる

⚠️ 注意： autoMode.soft_deny を配列で書く際、"$defaults" を含めないと組み込みデフォルトが消える仕様です。公式ドキュメントにも Danger 警告として明記されており、独自ルールを足したい場合は必ず先頭に "$defaults" を入れて継承させます。

CLI コマンド

コマンド	用途
`claude auto-mode defaults`	組み込みのデフォルトルールを JSON で出力
`claude auto-mode config`	設定マージ後の effective config を確認
`claude auto-mode critique`	自作のカスタムルールに対して Claude が改善点を AI フィードバック

特に critique は、自然言語の autoMode.environment が曖昧で意図通りに解釈されないケースを早期に検出できる便利な機構です。

フォールバック挙動と運用の落とし穴

ネットワーク警告・フォールバック動作のイメージ：Auto Mode の自動停止と運用上の注意点

自動停止：3回連続ブロック or セッション通算20回ブロック

Auto Mode は閾値を超えると一時停止して通常の承認プロンプトに戻ります。

3回連続でブロックが起きた場合
セッション通算で20回ブロックに達した場合

これは Claude が「ループに入って同じ危険操作を繰り返す」事態を防ぐためで、ユーザーが手動で介入できる状態を必ず確保します。非対話モード（-p フラグ・CI 利用）では繰り返しブロックでセッション自体が中断します。

/permissions の "Recently denied" タブ

ブロックされたアクションは /permissions の "Recently denied" タブに記録され、r キーで再試行できます。意図的なブロックだったか、誤検知だったかを確認しながら運用を改善できます。

落とし穴：Boundaries は context compaction で消える

会話中に「don't push to main」「wait until I review」と指示すると、デフォルト許可ルールでも分類器が一時的にブロックします。これを Anthropic は Boundaries（会話で述べた境界）と呼びますが、長時間セッションで context compaction（会話履歴の要約）が走ると失効する可能性があります。

ハードな保証が必要な場合は、permissions.deny ルール（managed settings）に書いておくのが確実です。Auto Mode の17%見逃しを補う実務テクニックとして、permissions.deny でクリティカルな操作を明示禁止する併用が公式・コミュニティ双方で推奨されています。

// .claude/settings.json（例）
{
  "permissions": {
    "deny": [
      "Bash(git push --force*)",
      "Bash(rm -rf /*)",
      "Bash(terraform apply*)"
    ]
  },
  "autoMode": {
    "environment": "このリポジトリは社内検証用です。本番デプロイ系のコマンドは行わないでください。"
  }
}

セキュリティ重視の設定例は Claude Code セキュリティ設定ガイドも合わせて参考にしてください。

「90%自律コーディング目標」と Auto Mode の関係

検索意図でしばしば話題になる「90%自律コーディング目標」は、3つの異なる文脈が混在しています。記事ではこれを正しく分けて理解することが重要です。

① Mercado Libre の Q3 2026 コミットメント

ラテンアメリカ最大級のEコマース企業 Mercado Libre は、Code with Claude 2026（2026年5月6日サンフランシスコ）で 「Q3 2026 までに自社開発の90%を自律コーディングに移行する」 と宣言しました。これはユーザー側企業のKPIであり、Anthropic の公式目標ではありません。

② Dario Amodei（Anthropic CEO）の予測

Dario は2025年3月のインタビューで「3〜6ヶ月で AI が全コードの90%を書くようになる」「12ヶ月で実質100%」と発言しました。2026年に入ってからは Anthropic CPO が「Anthropic 内部の一部プロダクトでは実質100%」とコメントしています（OfficeChai 報道）。

ただしこれは Anthropic 社内のコード生成比率の話であり、外部ユーザーの自律コーディング目標とは別文脈です。Redwood Research の懐疑的な分析では「マージ済み行ベースでは50%程度にとどまる」との反論もあり、定義によって数値は大きくぶれます。

③ Auto Mode は「90%自律時代」の前提条件

①②に共通するのは、90%自律で動かすには毎回ユーザー承認を待っていられないという現実です。Auto Mode は単発の便利機能ではなく、自律コーディングを安全にスケールさせるためのガードレールとして設計されています。

視点	90%自律との関係
① Mercado Libre	顧客側のKPI。Auto Mode は実現手段の一つ
② Dario の予測	Anthropic 社内の生成比率。Auto Mode と直接の同期はないが思想的な裏打ち
③ Auto Mode	90%自律を「安全に」可能にするための必須インフラ

つまりタイトルの「90%自律コーディング目標」は Anthropic が掲げる業界ビジョン × 顧客の宣言 × Auto Mode が支える前提の3点セットで読むのが正確です。Anthropic 公式が「Auto Mode で90%自律を実現する」と直接表現したエビデンスは現時点では確認できていません。

なお、公式データポイントは「承認プロンプトの93%がユーザーによって承認されていた」であり、これを「約90%のアクションをAuto Modeが自動処理できる」と解釈した表現がメディアや市場で広まっています。正確には「93%の形骸化した承認を分類器が代行する設計」と理解してください。

メリット・デメリット

メリット

承認疲れの解消：旧来 Claude Code でユーザーが承認していたツール呼び出しの93%は形骸化していた。Auto Mode はその大半を分類器に肩代わりさせる
--dangerously-skip-permissions より安全：FPR 0.4% / FNR 17% の数値が公開されており、完全フリーよりはリスクが定量的に低い
追加課金なし：分類器のトークン消費はあるが、新しい料金プランは不要
サブエージェントも自動的に対象：子エージェントの permissionMode を信用しない設計で、回避経路が少ない
permissions.deny と併用可能：ハードブロックを併用すれば17%見逃しを大きく補える
長時間タスクが現実的に：夜間バッチや大規模リファクタリングが「席を立てられる」作業になる
/goal コマンドとの相乗効果（v2.1.139以降）：長時間自律実行タスクを承認待ちなしに継続実行できる

デメリット・注意点

Proプランで使えない：Max 5x（100ドル/月）以上が事実上の入口
Bedrock / Vertex / Foundry で使えない：エンタープライズで主要クラウドに統合済みの企業は API 直契約か Enterprise が必要
17%の見逃し（過剰行動カテゴリ）：分類器は「ユーザー承認の blast radius」を完全には推定できない
research preview：2026年5月時点でも公式は GA 表記をしておらず、仕様変更の可能性
Boundaries は揮発性：会話で指示した境界は context compaction で消えうる。重要事項は permissions.deny へ
隔離環境推奨：公式が「コンテナ・VM・dev container」での利用を推奨。本番リポジトリ・本番クラウド資格情報のあるホストでの直接利用は要注意
VS Code 拡張の claudeCode.initialPermissionMode には auto 指定不可：settings.json の defaultMode 経由のみ
Claude Code on the web / Remote Control セッション非対応

日付	出来事
2026年3月24日	Auto Mode リリース（research preview / Team プランから順次）
2026年3月25日〜末	Enterprise・API へロールアウト
2026年4月2日	拒否コマンドの UI 改善
2026年4月16日	Max プランへ展開、`--enable-auto-mode` フラグ非推奨化
2026年4月21日	（別件）Anthropic が Pro プランから Claude Code 自体を外すテストを一部新規ユーザー対象に開始（The Register 報道、翌日撤回）
2026年5月6日	Code with Claude 2026（SF）で Auto Mode・Dreaming・Code Review・CI auto-fix を再アピール。Pro/Max/Enterprise の5時間レート上限を2倍に引き上げ
2026年5月12日	Claude Code v2.1.139 で `/goal` コマンド追加（複数ターンにわたる長時間自律実行をサポート）
2026年5月13日〜7月13日	Claude Code 週間利用枠を50%増量（Pro・Max・Team・Enterprise 対象、期間限定キャンペーン）

こんな人におすすめ／おすすめしない人

こんな人におすすめ

Max 5x 以上を契約済みで、Claude Code を毎日数時間以上使う個人開発者：承認疲れが慢性化している
隔離環境（dev container、Docker、専用 VM、ephemeral cloud workspace）で Claude Code を運用しているチーム：blast radius が物理的に限定されている
長時間バッチ・大規模リファクタリングを Claude Code に任せたい SRE・テックリード：/goal コマンド併用で席を立てる作業になる
permissions.deny を組織共有設定として整備できる企業：17%見逃しをハードブロックで補える
Team / Enterprise で Sonnet 4.6 / Opus 4.6 を含めた柔軟なモデル選択をしたい組織

よくある質問（FAQ）

Q1. Auto Mode に追加料金はかかりますか？

A. プランの追加料金はありません。ただし出力層の Sonnet 4.6 分類器がツール呼び出しごとに評価を行うため、分類器分のトークン消費が少量加算されます。コスト全体の最適化は Claude Code コスト最適化完全ガイドを参照してください。

Q2. Proプランで Auto Mode を使う方法はありますか？

A. 現時点では公式に対応する手段はありません。Max 5x（100ドル/月）以上、Team、Enterprise、または Anthropic 直接の API 契約が必要です。Bedrock・Vertex・Foundry 経由でも利用できません。

Q3. Auto Mode は Opus 4.7 でしか使えないのですか？

A. 利用するプランで対応モデルが異なります。MaxプランはOpus 4.7のみ、Team / Enterprise / API は Sonnet 4.6 / Opus 4.6 / Opus 4.7 のいずれも利用可能です。Haiku や Claude 3 系では利用できません。

Q4. --dangerously-skip-permissions と何が違いますか？

A. bypassPermissions はチェック一切なしで全ツール呼び出しを実行します。Auto Mode は同じく承認プロンプトを出さない動作ですが、各呼び出しを Sonnet 4.6 分類器が事前評価し、危険行動はブロックします。公式測定では合成 exfiltration の約94%を阻止していますが、5.7%は通る点に注意してください。

Q5. 17% の見逃しが怖いのですが、どう運用すべきですか？

A. 公式・コミュニティ双方が推奨するのは以下の3点です。

隔離環境で動かす：コンテナ・VM・dev container を使い、blast radius を物理的に限定する
permissions.deny を併用する：force push、rm -rf /、本番デプロイ系コマンドなどクリティカルな操作はハードブロック
autoMode.environment で環境を明示する：自然言語で「このリポジトリは検証用」「本番ドメインへのアクセスは禁止」と書いておく

Q6. CI/CD で Auto Mode を使うべきですか？

A. 推奨されません。CI/CD では非対話モード（-p）でブロックが繰り返されるとセッションが中断されます。CI には事前承認ホワイトリスト方式の dontAsk モード＋ permissions.allow の方が運用安定性が高く、Claude Code GitHub Actions 連携の実装ガイドでも Auto Mode 以外を推奨しています。

Q7. Auto Mode は GA（正式版）になりましたか？

A. 2026年5月時点で、公式ドキュメントは依然「research preview（研究プレビュー版）」と表記しています。仕様や挙動は変更される可能性があるため、本番運用に組み込む際は公式ページで最新情報を確認してください。

Q8. Boundaries（会話で述べた境界）と permissions.deny の違いは？

A. Boundaries はユーザーが会話中に「don't push to main」と言ったような自然言語の制約で、Auto Mode の分類器がその文脈で動作中だけ尊重します。context compaction（会話履歴要約）で失効する可能性があります。一方 permissions.deny は静的な設定ファイルで、Auto Mode より前段で必ず評価されるハードブロックです。重要な制約は permissions.deny に書くのが鉄則です。

Q9. /goal コマンドは Auto Mode なしでも使えますか？

A. /goal コマンド自体は Claude Code v2.1.139 以降で利用可能で、Auto Mode がなくても使えます。ただし Auto Mode なしの場合、Claude が長時間タスクを実行する途中で承認プロンプトが発生するため、実質的に席を離れた状態での自律実行が難しくなります。長時間自律実行の恩恵を最大化するには Auto Mode との組み合わせが推奨されます。

まとめ

Claude Code Auto Mode は「全承認」と「全スキップ」のあいだに AIクラシファイアによる動的判定を挟む第三の権限モードです。重要ポイントを整理します。

Proプランでは利用不可。Max / Team / Enterprise / API 直接の4経路のみ対応
入力層プローブ × 出力層 Sonnet 4.6 分類器の 2層防御。Stage 1+2 の構造で FPR 0.4% / FNR 17% という公開数値を持つ
17% の見逃しは構造的限界。permissions.deny 併用と隔離環境が公式推奨
サブエージェントの permissionMode 指定は無視され、子も親と同じルールで評価される
Boundaries（会話の境界）は context compaction で揮発する。ハードな制約は設定ファイルに書く
2026年5月12日に /goal コマンド追加（v2.1.139）。長時間自律タスクとの組み合わせがより実践的に
2026年5月13日〜7月13日は週間利用枠50%増量の期間限定キャンペーン中
「90%自律コーディング目標」は Mercado Libre の Q3 2026 コミットメント・Dario の予測・Auto Mode の前提条件という3視点で読む

Claude Code 全体の理解を深めたい方は、まず上位概念を整理した Claude Code とは？機能・料金・使い方を徹底解説から、料金詳細は Claude Code 料金プランを徹底比較を、安全な活用設計は AI コーディングのセキュリティリスクと対策を順に読むことで、Auto Mode を組織で導入する判断材料が揃います。

Auto Mode はまだ research preview ですが、Anthropic が「90%自律時代」の本気度をプロダクトとして示した最初の実装です。安全側に倒して隔離環境で試し、permissions.deny で守りを固めながら使う——これが2026年5月時点での最も合理的なスタートラインです。