Anthropic最近把Claude Code的“自动模式”推出来了,说是能让开发者少受权限打断的烦扰,顺便拦住那些危险的指令。以前程序员最怕的事儿就是给AI安排了个跑个通宵的任务,结果第二天起来代码库全被清空了。这个“自动模式”其实是给团队用的研究预览版,目标就是想在效率和安全之间找个中间点。每次 Claude 想执行 shell、git 操作或者移动文件这些命令之前,都会先有一个 AI 分类器出来扫描一下,看看是不是那种大规模删除、泄露数据或者跑恶意脚本的危险行为。如果判定安全就直接跑,要是高风险就把它挡住,让 Claude 想别的法子。要是多次被拦下来,最后还是得靠人工手动确认。 这个功能现在支持 Sonnet 4.6 和 Opus 4.6 这两个模型,不过可能会多花点 token 费、成本和一点延迟。它能比较可靠地拦住像“rm -rf /”这种无脑删除的命令、把本地凭证传到外网的操作,还有直接跑已知的恶意脚本。但这玩意儿也不是神算子,有时候会出漏子或者冤枉好人。比如按日期删旧文件这种条件删除可能就被误判成安全的放行掉;而清理临时文件这种正常操作又可能被拦下来;还有那种好几步连续操作也容易绕开检测。 就拿例子来说,“rm -rf build/*”这种很粗暴的删除大概率会被判定为高风险直接阻断;“git push --force 到主分支”可能会让人工跳出来确认;“curl 外部服务器上传敏感文件”基本就会被当成数据外泄给拦了。这玩意毕竟不是全能的,对上下文的理解也有限,有时候会漏掉坏指令(假阴性),有时候又会把好好的指令当成坏的拦下来(假阳性)。要是AI跑在非隔离的环境里权限又高,那后果可就严重了。搞对抗的人可能会设计好几步操作来绕过检查。 至于适不适合用这个功能:对于那些有成熟备份和 CI 流程的团队、或者需要长时间让 AI 跑自动化的开发者来说挺适合的;但要是新手没做备份、代码库又没有分支保护的话最好别碰。 要想用得安心,得做好三道保险:1) 定时打包、快照或者远程备份;2) 在隔离目录或者容器里运行;3) 保护重要分支开启强制审查。流程上建议先让 Claude 输出详细的操作计划和回滚脚本;把关键的动作纳入人工审批的范围;还要开启命令日志定期审计。 总的来说,“自动模式”是个挺不错的折中方案,但绝对不是什么免死金牌。想要把效率红利变成安全可控的生产力,在开启它之前必须把备份、沙箱和分支保护这三件事都做好才行。