Anthropic 在Claude Code中引入了Auto模式,使得多步骤的软件开发任务能够在减少人工干预的情况下执行。开发者定义目标,系统负责代码生成、执行、工具调用和迭代完善,对于敏感操作,在选定的检查点仍要求人工审批。
此前,Claude Code 采用基于权限的模型,用户必须为大多数操作(比如,运行命令和修改文件)逐一批准。虽然这种方式提供了较强的安全性与控制,但在长会话中的重复确认带来了摩擦,导致审批疲劳,用户把更多时间花在管理确认上,而非专注于开发工作。
Intempt 产品负责人的Sid Chaudhary在贴文中指出:
你现在可以启动 Claude 然后离开。喝杯咖啡,真正离开,不用一直盯着它。
Auto 模式引入了分层的安全与执行架构,管控输入的处理方式与操作的执行流程。在输入层,工具输出(比如文件读取、shell 结果和网页响应)在被纳入系统上下文前会被检查。当内容看起来具有恶意或试图更改指令时,系统会注入警告,将其视为不受信并阻止覆盖用户的意图。
Claude Code Auto 模式的高层架构(来源:Anthropic的博客文章)
在执行层,系统会在运行每个拟议(proposed)操作前先进行评估,作为自动化的审批机制:对安全操作放行,对模糊或有风险的情况转交进一步检查。这在保留高影响或潜在不安全操作护栏的同时,减少了用户的重复干预。
一名测试工程师Ankit Kalluraya在贴文中描述了 Auto 模式中的界面行为:
在 Auto 模式中,当触发权限检查时,加载指示器会变为红色,清晰地提示 Claude 正在暂停,等待审批。
系统采用两阶段分类方法以平衡效率与覆盖率。由快速的初筛来处理大多数的工具调用,允许安全操作以极低的开销放行。只有不确定或潜在风险的操作会升级到更深层的分析。这在控制延迟与计算成本的同时,提高了边缘情况的召回率,并保持安全与意图对齐的稳定执行。
两阶段分类流水线在效率、延迟与安全覆盖率之间的平衡(来源:Anthropic的博客文章)
Playtika 的主管Mykola Kondratiuk在贴文中指出:
开启 Auto Mode 后,AI 现在成为审批者,而不仅仅是执行者。大多数治理文件仍然指定人为审批者,尚未更新。
Zethra OS 首席工程师Mayank Agrawal在贴文中表示:
这正是弹性转变为安全问题的地方。
Auto 模式还把安全检查扩展到 subagent 工作流。委派期间,出站检查会在执行前验证被指派任务是否与用户意图一致。任务完成后,返回检查会评估 subagent 的完整执行历史,以检测执行期间是否发生提示注入或操纵。如果发现风险,系统会在将结果返回给编排智能体前加入警告。
Anthropic 表示将通过扩展评估集和迭代优化来持续改进安全与成本之间的权衡,目标是在使自治运行比无任何护栏更安全的同时捕捉足够多的高风险操作,并鼓励用户保持对剩余风险的警觉并上报问题。
查看英文原文: Inside Claude Code Auto Mode: Anthropic’s Autonomous Coding System with Human Approval Gates