Claude Code auto mode 的安全边界,classifier 默认拦下的那些高风险动作

📅 2026/7/5 13:49:45
Claude Code auto mode 的安全边界,classifier 默认拦下的那些高风险动作
Claude Code 的 auto mode 最容易被误解成一个更高级的yes to all。真正进入工程现场以后会发现,它并不是把所有权限提示都关掉,而是把原来由人逐个点击的很多判断,交给一个独立的 classifier 模型在工具调用前完成。官方文档对这个设计的描述很清楚,auto mode 会让 Claude Code 在没有常规权限提示的情况下继续执行,但每个动作运行前会经过 classifier 审查,凡是超出原始请求范围、指向未识别基础设施、或者像是被外部恶意内容驱动的动作,都会被拦下。它仍然是 research preview,不能替代人工审查,更适合方向明确、风险可控、需要减少打断的编码任务。(Claude)auto mode 不是放权,而是把边界写进执行路径理解 classifier 的关键,不是把它想成一个简单的黑白名单,而是把它想成 Claude Code 执行链路里的第二道门。第一道门仍然是传统 permission system,显式 deny、ask 规则会先起作用;只有动作走到 auto mode 这一层时,classifier 才根据上下文判断能否放行。官方配置文档也强调,classifier 是 permission system 之后的第二道 gate,如果某些动作在组织层面绝对不能运行,应该用 managed settings 里的permis