Claude Code auto mode 解析：如何用 AI 分类器替代人工审批

在日常使用 Claude Code 写代码时，用户往往需要频繁审批 AI 的操作请求。Anthropic 的数据显示，用户 93% 的操作都会选择批准，这种审批机制逐渐沦为一种条件反射，失去了原有的安全把关意义。这种现象与网络安全领域的「告警疲劳」问题极为相似——当 100 条告警中只有 7 条需要关注时，人类很快就会放弃逐条检查，最终导致安全防线形同虚设。

三级过滤机制

为解决这一痛点，Anthropic 发布了 Claude Code 的 auto mode（自动模式）。其核心思路是引入一个独立的 AI 分类器来替代人工审批。每当 Claude 要执行操作时，系统会先将操作提交给分类器审查，安全则放行，危险则拦截。与传统审批不同，被拦截后的 Claude 不会停下来询问用户，而是会自动寻找更安全的替代方案。整个分类器运行在 Sonnet 4.6 模型上，相当于为用户配备了一个全天候在岗的「保安」。

分类器的判断逻辑

auto mode 采用了三级过滤机制来平衡安全与效率。第一级是读取文件、搜索代码等只读操作，直接放行无需审查。第二级是在项目目录内编辑文件，同样直接放行，因为这些改动可以通过 Git 回退，风险可控。第三级则是执行 Shell 命令、访问网络、调用外部服务等高风险操作，必须经过分类器审查。这种设计让日常编码几乎感觉不到审查的存在，只有真正有风险的操作才会被检查。

漏检率与安全边界

分类器判断操作是否危险的核心标准，不是看命令本身，而是看「用户是否授权了该操作」。用户明确说出的指令才算授权，Claude 自行推断的不算。例如用户说「清理旧分支」，Claude 自行决定批量删除远程分支，就属于未被授权的越界行为。分类器还会「穿透伪装」，如果 Claude 先将危险代码写入文件，再用无害命令执行，分类器会评估实际执行内容而非只看表面命令。

两阶段分类流程

分类器采用两阶段工作流程来平衡效率与准确性。第一阶段只做快速判断，一个 token 搞定，指令是「有疑问就拦」，大多数正常操作在此阶段就通过了。只有被第一阶段标记的操作才进入第二阶段，进行完整推理。由于两阶段输入几乎相同，第二阶段大部分是缓存命中，成本可控。最终效果：第一阶段误报率 8.5%，加上第二阶段后降至 0.4%。

如有侵权，请联系删除。