関連記事
Claude Code、デフォルトを「手動承認」に変更――自動モードは明示的なオプトインが必須に

MCP (anthropic.com)[写真拡大]
Anthropicは、AIコーディングエージェント「Claude Code」のアップデート(v2.1.200)において、デフォルトの権限モードを「Auto(自動)」から「Manual(手動)」へと変更した。これにより、開発者が明示的に設定を変更しない限り、ファイルの書き込みやシェルコマンドの実行、ネットワークアクセスを行うたびに人間の明示的な承認が必要となる。この変更は、開発者の「承認疲れ」を防ぎ、AIエージェントの安全な運用を担保するための重要な一歩とされている。
■告知なしで行われた重要な仕様変更
2026年7月3日にリリースされた「Claude Code v2.1.200」の変更履歴(チェンジログ)に記されたわずか1行の項目が、このツールをインストールまたはアップデートした瞬間の挙動を根本から変えることになった。Anthropicは、CLI、VS Code拡張機能、JetBrainsプラグイン、および組み込みの「--help」出力を含むすべてのインターフェースにおいて、Claude Codeのデフォルト権限モードを「Auto」から「Manual」へと変更したのだ。
ブログ投稿も、プレスリリースも、公式発表もなかった。ただチェンジログに1行書かれただけで、誰が実行を承認するのかという重要な主導権の移行が行われた。
この移行は、見た目以上に重要な意味を持つ。ファイルの書き込み、シェルコマンドの実行、ネットワーク呼び出しを行えるAIコーディングエージェントは、単に開発者を便利にするだけのツールではない。人間の承認という問題が、設計上避けて通れないシステムなのだ。Anthropicによるこの静かなデフォルト変更は、その主導権を本来あるべき場所、すなわち「人間」へと戻すものである。
■形骸化していた「承認プロセス」と承認疲れ
Claude Codeは当初、ファイル書き込み、シェルコマンド実行、ネットワーク呼び出しのたびに人間の明示的なサインオフを求めるという、保守的なデフォルト設定で提供されていた。理論上は、これにより人間がすべての重要なアクションにおいて有意義なチェックポイントとして機能するはずだった。しかし、Anthropicが収集した匿名のテレメトリ(利用統計データ)は異なる現実を示していた。ユーザーは提示される権限プロンプトの約93%を、深く考えずに承認していたのだ。作業の手は止まるものの、実質的なレビューは行われていなかった。
これは、セキュリティ研究者が「承認疲れ(approval fatigue)」と呼ぶ、十分に立証された失敗パターンである。セキュリティ運用センター(SOC)のアナリストが、毎日何千件ものアラートに直面した結果、本物の脅威とノイズを区別しなくなるのと同じ現象だ。重要なアクションのたびに承認ダイアログが表示されると、それは意思決定の場ではなく、単なる反射的な動作になってしまう。
■Autoモードを支える2段階の分類器とその限界
Anthropicはv2.1.200より前から、この問題への対処を始めていた。2026年3月24日に導入された「Auto」モードでは、「Claude Sonnet 4.6」上で動作する2段階の機械学習(ML)分類器が、各ツール呼び出しの実行前に安全性を評価する。この分類器は意図的に「推論プロセスを見ない(reasoning-blind)」設計になっており、ユーザーのメッセージとツールの呼び出し内容のみを監視し、Claude自身のテキスト回答やツールの実行結果のコンテンツは参照しない。ファイルやウェブの応答に埋め込まれた悪意あるコンテンツが、分類器の読み取る履歴を汚染し、安全レイヤーを直接操作するのを防ぐためのアーキテクチャだ。
この処理パイプラインは2段階で機能する。まず、高速なシングル・トークン・フィルターが明確なケースを処理し、安全なアクションの91.5%を数ミリ秒でクリアする。このフィルターが警告を検知すると、より低速な「思考の連鎖(Chain-of-Thought)」推論呼び出しが起動する。Anthropicのエンジニアリングデータによると、実稼働環境における誤検知(過剰なブロック)率は0.4%で、検知漏れ(過剰なアクションを見過ごしたケース)は17%である。
分類器の主な失敗パターンについて、Anthropicは率直に説明している。それは「危険性は正しく認識しているものの、会話内での事前の同意が、そのアクションの具体的な影響範囲(ブラスト・ラディウス)をカバーしているかどうかを誤判定する」というものだ。例えば、ユーザーが「プルリクエスト(PR)を整理して」と指示した場合、分類器は承認に類する証拠を見つけるが、その承認が「フォースプッシュ(強制プッシュ)」までカバーしているかどうかを見落としてしまう。
■5つの権限モードとOSレベルのサンドボックス
Claude Codeの権限システムは5つの異なるモードで構成されており、自動運転車のSAE基準のように、完全な人間による制御から完全な自律動作までのスペクトラムを表している。
1. Manualモード(旧「default」、v2.1.200で改称):正式な意味での「ヒューマン・イン・ザ・ループ(人間が介在する状態)」である。Claudeは一時停止し、ファイル書き込み、シェルコマンド、ネットワーク呼び出しの前にユーザーの明示的な承認を求める。人間の積極的な操作なしには、重要な処理は実行されない。
2. acceptEditsモード:作業ディレクトリ内のファイル編集や一般的なファイルシステム操作を自動承認するが、シェルコマンドやネットワークアクセス時には一時停止して承認を求める。
3. Planモード:読み取り専用モード。Claudeは調査と提案を行うが、明示的に承認されるまではシステムに変更を加えない。
4. Autoモード:承認権限をSonnet 4.6の分類器に委ねる。人間は個々のアクションの承認フローからは外れ、監視役(ヒューマン・オン・ザ・ループ)として介入はできるが、各ステップを承認する必要はなくなる。このモードにおいて、前述の「17%の検知漏れ」が問題となる。
5. bypassPermissions(--dangerously-skip-permissionsフラグ):承認プロセスを完全に排除する。安全対策(Safeguards)チームの研究者を含むAnthropicのエンジニア自身も、このフラグをホストOS(ベアメタル)上で直接使用することは避けている。このフラグは、機密性の高い資格情報がマウントされておらず、実際のファイルシステムへのアクセスやネットワーク外部への送信が制限された、隔離されたコンテナ環境向けに設計されている。その名称は誇張ではなく、文字通り危険を伴う仕様だ。
なお、OSレベルのサンドボックス(macOSのSeatbelt、Linuxのseccompネームスペースを使用したbubblewrap)は、これらの権限モードとは別のセキュリティレイヤーとして機能する。これはオペレーティングシステムレベルで動作し、どの権限モードが有効であるかに関わらず、Bashコマンドが物理的にアクセスできる範囲を制限する。サンドボックスと権限モードは、冗長ではなく相互に補完し合う関係にある。
■チェンジログの1行が示すガバナンスの先例
軍事や兵器システムの研究で開発された「人間とAIの制御」に関する正式な分類法では、「ヒューマン・イン・ザ・ループ(人間がアクションを承認しなければならない)」、「ヒューマン・オン・ザ・ループ(人間が途中で中断できる)」、「ヒューマン・アウト・オブ・ザ・ループ(人間の関与なし)」の3つの構成が区別されている。この分類法は、米国の「2025会計年度国防授権法(NDAA)」において、特に核兵器の使用という重大な意思決定において人間の積極的な関与を義務付ける要件として法制化された。そして今、この枠組みが開発者のエージェント型コーディングツールにも静かに適用されようとしている。
Claude CodeがAutoモードをデフォルトとして出荷されていたとき、初期設定における開発者の立ち位置は「ヒューマン・オン・ザ・ループ」だった。つまり、その場にいて介入は可能だが、承認は必須ではない状態だ。今回のv2.1.200の変更により、デフォルトは「ヒューマン・イン・ザ・ループ」へと移行し、開発者が明示的にオプトアウトしない限り、状態を変更するすべてのアクションに人間の積極的な承認が必要となった。
Anthropicはエンジニアリング文書の中で、この設計の優先順位を直接説明している。同社は、問題が発生した際の最大被害額を示す「ブラスト・ラディウス(影響範囲)」を、エージェントの安全性を整理する基本概念として使用している。v2.1.200のデフォルト変更は、新規インストール時や、より寛容なモードを明示的に設定していないすべての開発者において、この影響範囲を最小限に抑える効果がある。また、重大なエージェントのアクションに対してヒューマン・イン・ザ・ループのチェックポイントを推奨する「OWASP LLM Top 10」のガイダンスや、AIシステムの行動に対する責任を人間に割り当てるべきだとする米国立標準技術研究所(NIST)の暫定指針「IR 8596」とも合致している。
本記事の公開と同日の2026年7月7日、Radwareは「Agentic AI Protection」ソリューションの強化を発表し、Claude Codeを含む開発者ホスト型AIエージェントへのエンタープライズセキュリティ対応を明示的に拡張した。Radwareのリリースは、ISO 42001、欧州EUのAI法(EU AI Act)、およびNISTのAIリスク管理フレームワークへの準拠を軸に構成されている。EU AI Actにおける高リスクAIシステムへの本格的な義務化は2026年8月2日に控えており、エンタープライズセキュリティベンダーは、コーディングエージェントにも他の企業向けAI導入と同様の監視インフラが必要であるという前提でガバナンス製品を構築している。そして、Manualモードがデフォルトになったことで、このガバナンスの強制は大幅に容易になる。
■CI/CDチームで発生する問題とその解決策
今回の変更は、対話型で開発を進める個人にとっては混乱を招くものではない。セッションごとに作業する開発者にとって、新しいデフォルトはツールの挙動をより可視化し、予測可能にする。承認プロンプトは単なる反射動作ではなく、実際の意思決定ポイントとして機能するようになる。
しかし、自動化された環境やヘッドレスな継続的インテグレーション(CI/CD)環境でClaude Codeを実行しているチームにとっては、実質的な影響が生じる。これまでClaude Codeがデフォルトの自律動作(プロンプトを取り込み、人間の介入なしに変更を実行する)に依存していたパイプラインは、ヘッドレス環境では対応できない承認プロンプトの画面で停止してしまうことになる。
このような自律動作の失敗による実世界での影響は、すでに報告されている。2026年4月、Claude CodeのGitHubリポジトリに投稿された不具合報告(Issue)では、指示の誤解によって誤ったファイルが削除され、本番サーバーの停止、データ損失、および収益損失が発生した事例が報告された。また、2026年6月にはMicrosoftのセキュリティ研究者が、Claude Codeを使用したGitHub Actionsがプロンプトインジェクション攻撃によって操作され、「ANTHROPIC_API_KEY」などのCI/CDワークフローの機密情報やランナーの資格情報が漏洩する可能性があることを示す調査結果を公開している。これらの事例は、エージェント型ツールの使用自体を否定するものではなく、現在どのような承認モデルが適用されているかを正確に把握することの重要性を示している。
自動化パイプラインでClaude Codeを実行しているチームは、承認モデルの選択を明示的に行う必要がある。以前の挙動を復元するには、以下のいずれかの変更を行う必要がある。
・CLIでの起動時に `--permission-mode auto` を指定し、そのセッションで分類器ベースのAutoモードを使用する。
・プロジェクトの `.claude/settings.json` に `
■注目ポイントQ&A
●Claude CodeのManualモードとは何ですか?なぜデフォルトになったのですか?
Manualモードは、ファイルの書き込み、シェルコマンドの実行、ネットワーク呼び出しを行う前に、人間の明示的な承認を必須とするモードです。これは正式な意味での「ヒューマン・イン・ザ・ループ(人間が介在する状態)」の設定であり、人間の積極的な操作なしにはシステムに変更を加える処理は実行されません。Anthropicがv2.1.200(2026年7月3日リリース)でこれをデフォルトにした理由は、従来のデフォルト設定では権限プロンプトの93%が深く考えずに反射的に承認されており、セキュリティ研究者が「承認疲れ」と呼ぶ形骸化が起きていたためです。デフォルトをManualにすることで、開発者が手動で安全策を設定しなくても、最初から確実な人間の承認プロセスを担保できるようになります。
●CI/CDパイプラインで、以前のように自動で動作させるにはどうすればよいですか?
CLIからClaude Codeを起動する際に `--permission-mode auto` を指定するか、プロジェクトの `.claude/settings.json` ファイルに `"defaultMode": "auto"` を設定してください。これにより、承認プロセスが人間から「Autoモード」の分類器(Sonnet 4.6モデル)へと切り替わります。ただし、この分類器は過剰なアクションに対するテストにおいて17%の検知漏れ(約6回に1回の割合で、指示を超えた不要なアクションを通してしまう)がある点に留意してください。完全に隔離されたコンテナ環境で、機密情報へのアクセスがない場合に限り、すべてのチェックを無効化する `--permission-mode bypassPermissions` も使用できますが、Anthropicのエンジニアはこれをサンドボックス環境以外では使用しないよう推奨しています。
●権限モードのデフォルト設定が重要なのはなぜですか?
ファイルの書き込みやコマンド実行が可能なAIシステムにおいて、人間の承認をプロセスのどこに配置するかを決定するからです。自律システムの分類において、承認が必須な「ヒューマン・イン・ザ・ループ」、介入のみが可能な「ヒューマン・オン・ザ・ループ」、関与しない「ヒューマン・アウト・オブ・ザ・ループ」の3つがありますが、今回の変更によりClaude Codeの初期設定は2番目から1番目へと移行しました。これは、OWASP LLM Top 10やNISTのガイドライン、そして2026年8月2日に高リスクAIへの義務化が始まるEU AI Actなどが、重大なアクションを起こすAIシステムに対して「ヒューマン・イン・ザ・ループ」を推奨・要求していることと合致しており、企業のガバナンス対応を容易にします。
元記事: Claude Code Defaults to Human Approval: Auto Mode Requires Explicit Opt-In
※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。
スポンサードリンク

