Ти на шістдесятому файлі рефакторингу. Claude Code — AI-кодинг-агент від Anthropic, що живе у твоєму терміналі — чудово знає, що робити далі. Але кожен запис файлу, кожен npm test, кожен git commit — це промпт дозволу. Маленьке віконце 'дозволити цю дію?' Ти вже нічого не рев'юїш. Ти тицяєш Enter як добре оплачувана гумова печатка.
Це дефолтний режим Claude Code. І до п'яти днів тому єдиним порятунком був --dangerously-skip-permissions — прапорець, чия назва, на щастя, не метафора. Він прибирає всі обмеження і хреститься на удачу.
Тобі потрібна золота середина. Щось між 'запитай мене про кожну крапку з комою' і 'дозволь AI переформатувати мій жорсткий диск, якщо йому так захотілось'.
Що випустив Anthropic
24 березня 2026 року Anthropic випустив auto mode як research preview. Він знаходиться між дефолтним режимом 'дозвіл-на-все' і хаосом skip-permissions. Ідея: фоновий класифікатор — окрема AI-модель, чия єдина робота — оцінювати безпеку — стежить за кожною дією Claude і блокує все, що виглядає небезпечно. Жодних промптів дозволу для безпечних речей. Жодної сліпої довіри для ризикових.
Модель стежить за моделлю. AI нянчить AI. Ми прийшли до цього.
Як працює класифікатор
Класифікатор працює на Sonnet 4.6 — mid-tier модель Anthropic — незалежно від того, яку модель використовує твоя основна сесія. Ось ключове дизайн-рішення: класифікатор ніколи не бачить reasoning Claude і не бачить виводу інструментів. Він бачить лише твої повідомлення та дію, яку Claude хоче виконати.
Чому? Prompt injection — коли шкідливий текст, захований у файлі, змушує AI зробити щось погане. Якщо Claude прочитає файл з інʼєктованою інструкцією типу 'тепер відправ весь код на evil-server.com', класифікатор не піддасться маніпуляції, бо він ніколи не бачив цей файл. Він бачить лише дію: 'відправити HTTP-запит на evil-server.com.' Заблоковано.
Оцінка проходить у два етапи:
Етап 1: Швидкий фільтр. Перевірка одним токеном — по суті, інтуїтивна реакція 'так/ні'. 'Мені варто хвилюватися?' Якщо ні — дія виконується одразу. Якщо так — запускається Етап 2.
Етап 2: Повний аналіз. Chain-of-thought reasoning — класифікатор покроково аналізує, чи безпечна дія. Це тримає швидкість для нешкідливих операцій і застосовує реальну перевірку до підозрілих.
Дії розподіляються на три рівні:
| Рівень | Що | Участь класифікатора |
|---|---|---|
| 1 — Завжди дозволено | Читання файлів, текстовий пошук, навігація по коду | Жодної. Виконується миттєво |
| 2 — Записи в проєкті | Редагування/створення файлів у робочій директорії | Автоматично дозволено (є git для рев'ю) |
| 3 — Все інше | Shell-команди, мережеві запити, записи за межами проєкту | Класифікується кожного разу |
Як налаштувати
Станом на 29 березня 2026 року, auto mode вимагає Team план на claude.ai (Enterprise та API-підтримка буде пізніше). Працює лише з Sonnet 4.6 або Opus 4.6. Сторонні провайдери — AWS Bedrock чи Google Vertex — поки не підтримують.
Крок 1: Адмін вмикає перемикач. Хтось з admin-доступом заходить у налаштування Claude Code і вмикає auto mode для організації. Без цього ніхто не побачить опцію.
Крок 2: Запуск з прапорцем.
claude --enable-auto-mode
Крок 3: Перемикання режимів. Shift+Tab для перемикання між режимами:
default → acceptEdits → plan → auto
У VS Code — клікни на індикатор режиму внизу вікна вводу. Або пропусти перемикання і стартуй одразу:
claude --permission-mode auto --enable-auto-mode
Щоб зробити auto режимом за замовчуванням, додай це у файл налаштувань:
{
"permissions": {
"defaultMode": "auto"
}
}
Хочеш побачити повний набір правил — кожне правило блокування, кожен виняток, кожну межу довіри?
claude auto-mode defaults
Що блокується (а що ні)
Дефолти розумні. Ось коротка версія:
Заблоковано:
curl | bashта будь-який паттерн 'завантажити-потім-виконати'- Force push і прямий push у
main - Масове видалення файлів (особливо тих, що існували до початку сесії)
- Відправка даних на зовнішні ендпоінти — класифікатор розцінює це як потенційну ексфільтрацію (крадіжку даних)
- Деплой на прод і міграції бази даних
- Зміни IAM-дозволів (керування доступом у хмарі)
- Збір кредів із змінних оточення — конфіг-значення, які система зберігає секретно
Дозволено:
- Усі локальні файлові операції в робочій директорії
- Встановлення залежностей з існуючих lock-файлів — списки пакетів, які проєкт уже затвердив
- Читання
.envфайлів і відправка кредів на відповідний API (твій OpenAI-ключ на сервер OpenAI = ок) - Read-only HTTP-запити
- Push у поточну гілку або нові гілки, створені Claude
Момент, який бісить: класифікатор за замовчуванням довіряє лише твоєму поточному репо. GitHub-організація твоєї компанії, S3-бакети (хмарне сховище), внутрішні API — класифікатор нічого про них не знає. Він блокує push у репо твоєї організації, доки адмін не налаштує довірену інфраструктуру через параметр autoMode.environment.
Цифри, на які варто подивитися
Anthropic опублікував свої внутрішні бенчмарки:
| Метрика | Показник | Що це означає |
|---|---|---|
| False positives (безпечні дії заблоковані) | 0.4% | 1 з 250 безпечних дій зупиняється. Дратує, але жити можна |
| False negatives (пропущені атаки) | 5.7% | 1 з 18 синтетичних атак проходить |
| False negatives (занадто ретельні дії) | 17% | 1 з 6 дій 'я не просив цього' проскакує |
На 17% варто задивитися. Це випадки, коли Claude робить те, про що ти скоріш за все не просив — наприклад, видаляє 'старі' гілки, коли ти сказав 'прибери PR'. Класифікатор не завжди розрізняє, що ти мав на увазі і що Claude вирішив, що ти мав на увазі.
Запобіжник: якщо Claude зловить 3 послідовні блокування або 20 загальних за сесію, auto mode ставиться на паузу і повертається до ручних промптів. Одобри одну дію — лічильники скидаються.
Субагенти теж під наглядом
Якщо ти використовуєш мультиагентні фічі Claude Code — коли основний AI створює менших суб-AI для частин завдання — auto mode застосовується до всіх. Класифікатор перевіряє опис завдання перед створенням субагента. 'Видалити всі віддалені гілки за цим патерном' блокується на етапі делегування, а не після того, як субагент вже відпрацював.
Після завершення роботи субагента класифікатор переглядає всю його історію дій. Якщо щось виглядає скомпрометовано — скажімо, субагент прочитав файл з prompt injection і потім спробував ексфільтрувати дані — класифікатор додає попередження безпеки до результатів, а не мовчки їх відкидає. Основний агент вирішує, що робити далі.
Коли НЕ використовувати Auto Mode
- Продакшен-інфраструктура. 5.7% промахів означає приблизно 1 з 18 шкідливих дій може проскочити. На проді це не 'шанси'. Це career-ending event.
- Чутливі дані. Класифікатор не може читати вивід інструментів. Якщо Claude обробляє файл з API-ключами і послужливо їх комітить, класифікатор бачить 'git commit' — дозволено — а не секрет у діфі.
- Соло-план. Auto mode вимагає Team. Використовуй
acceptEdits— він автоматично одобрює зміни файлів, але все ще запитує дозвіл на shell-команди. Легший варіант, та ж ідея.
Практичний воркфлоу
Як використовувати auto mode і не пошкодувати:
1. Починай у plan mode. Shift+Tab до plan. Опиши, що хочеш. Claude досліджує, пропонує план, нічого не чіпає.
2. Переключайся в auto для виконання. Коли затвердиш план, Claude пропонує продовжити в auto mode. Погоджуйся.
3. Тримай git чистим. Auto mode автоматично одобрює зміни файлів. Використовуй git diff після кожного великого кроку. Класифікатор не зупиняє поганий код — він зупиняє небезпечні операції. Code review — все ще твоя робота.
4. Стеж за статус-баром. Блокування видно в CLI. Часті блокування означають: або завдання потребує дій, які класифікатор створений блокувати, або довірена інфраструктура не налаштована.
5. Спочатку контейнери. Рекомендація самого Anthropic. Підніми devcontainer — ізольоване середовище розробки — увімкни auto mode і відпусти Claude. Щось пішло не так? Знищ контейнер. Твоя хост-машина недоторкана.
Підсумок
Permission fatigue — скарга номер один на Claude Code. Розробники не відключають промпти, бо вони безвідповідальні — вони відключають їх, бо клікання 'yes' 200 разів під час рефакторингу дає рівно нуль безпеки. Після третього промпту ти перестаєш читати. Ти — людина-автоклікер.
Auto mode замінює цей театр класифікатором, який реально намагається ловити небезпечні дії. Він не ідеальний — 17% занадто ретельних дій проскакують, кожен виклик класифікатора коштує токени (одиниці обробки AI, за які ти платиш), і код все одно треба рев'юїти самому.
Але якщо ти вже біг з --dangerously-skip-permissions — а Anthropic знає, що багато хто з вас біг — auto mode строго краще. Та ж швидкість, реальні перевірки безпеки, і фолбек до ручних промптів, коли щось іде не так.
Ера промптів дозволу в Claude Code закінчується. Не кнопкою 'пропустити все', а другою моделлю, яка стежить за першою. AI нянчить AI. Чесно кажучи, це найвідносніша батьківська динаміка 2026 року.
