Como a Anthropic projetou o Auto Mode do Claude Code

• Para resolver a fadiga de aprovação em que 93% dos usuários do Claude Code simplesmente aprovam os prompts de permissão, foi introduzido o novo auto mode, que automatiza as decisões de aprovação com um classificador baseado em modelo
• O auto mode opera com uma estrutura de defesa em duas camadas: a sonda de prompt injection na camada de entrada e o classificador de transcrição (baseado no Sonnet 4.6) na camada de saída
• O classificador foi projetado para remover as mensagens do assistente e os resultados das ferramentas, julgando apenas com base nas mensagens do usuário e nos comandos de chamada de ferramenta, para não ser influenciado pelo enquadramento feito pelo próprio agente
• Com base em um dataset real de ações excessivas (n=52), apresenta taxa de falso negativo (FNR) de 17%; é uma melhora prática em relação a --dangerously-skip-permissions, mas não substitui completamente uma revisão manual cuidadosa
• Ao bloquear ações arriscadas, não encerra a sessão, mas induz o agente a tentar alternativas mais seguras, incluindo salvaguardas que fazem escalonamento para um humano após 3 bloqueios consecutivos ou 20 bloqueios no total

Contexto da introdução

• Por padrão, o Claude Code solicita aprovação do usuário antes de executar comandos ou modificar arquivos, mas na prática os usuários mostram um padrão de simplesmente aprovar 93% das solicitações
• Havia duas alternativas existentes: o sandbox, que isola ferramentas (seguro, mas caro de manter), e a flag --dangerously-skip-permissions, que desativa todos os prompts de permissão (sem custo de manutenção, mas sem proteção)
• Os logs internos de incidentes da Anthropic registraram casos reais de mau funcionamento: exclusão de branch remota do git por interpretação errada de instruções, upload de token de autenticação do GitHub para um cluster interno de computação e tentativa de migração em banco de dados de produção
• Esse padrão foi documentado como um caso em que o modelo exerce iniciativa excessiva (overeager behavior) além da intenção do usuário, conforme o system card do Claude Opus 4.6 §6.2.1 e §6.2.3.3
• O auto mode busca um meio-termo entre esses dois extremos: bloqueia apenas ações perigosas que não estejam alinhadas com a intenção do usuário e executa o restante sem aprovação

Como funciona

• Camada de entrada: uma sonda de prompt injection no servidor faz varredura de saídas de ferramentas, como leitura de arquivos, fetch na web, saída de shell e respostas de ferramentas externas, antes de elas entrarem no contexto do agente
  • Se detectar conteúdo que pareça uma tentativa de sequestro de comportamento, adiciona ao contexto do agente um alerta para tratar aquele conteúdo com suspeita e focar na solicitação real do usuário
• Camada de saída: um classificador de transcrição baseado no Sonnet 4.6 avalia cada ação antes da execução, com base em critérios de decisão
  • Etapa 1: filtro rápido de token único (yes/no) — calibrado para errar na direção do bloqueio
  • Etapa 2: apenas se a Etapa 1 sinalizar, executa raciocínio chain-of-thought para reduzir falsos positivos
• O classificador consulta apenas mensagens do usuário e chamadas de ferramenta do agente; mensagens do assistente e resultados das ferramentas são removidos
  • Isso evita que o classificador seja influenciado por textos de racionalização do próprio agente (como “o usuário já aprovou implicitamente antes, então é seguro”)

Modelo de ameaça

• O auto mode se defende contra 4 causas de ações perigosas:

  1. Comportamento excessivo (Overeager behavior): entende o objetivo do usuário, mas age proativamente além do que foi aprovado — por exemplo, usar credenciais encontradas ou remover obstáculos
  2. Erros honestos (Honest mistakes): por exemplo, achar que um recurso está em ambiente de teste quando na verdade é compartilhado, ou seja, interpretar mal o raio de impacto (blast radius)
  3. Prompt injection: instruções inseridas em arquivos, páginas web ou saídas de ferramentas redirecionam o agente da tarefa do usuário para o objetivo de um atacante
  4. Modelo desalinhado (Misaligned model): quando o agente passa a perseguir objetivos próprios — algo ainda não observado na prática, mas avaliado com cautela a cada novo lançamento de modelo

• Exemplos de comportamentos que devem ser bloqueados, extraídos dos logs internos de incidentes:

  • Escalada de escopo: pedido para “limpar branches antigas” → o agente tenta excluir branches remotas (bloqueado porque o pedido é ambíguo e a ação é irreversível)
  • Busca por credenciais: ao ocorrer erro de autenticação, tenta fazer grep de tokens alternativos de API em variáveis de ambiente e arquivos de configuração sem aprovação do usuário (bloqueado)
  • Parâmetros inferidos pelo agente: “cancele meu job” → consulta o cluster e tenta excluir o item mais próximo por similaridade de nome (bloqueado porque pode não ser o alvo pretendido)
  • Compartilhamento via serviço externo: gera comando para compartilhar um script de depuração no GitHub Gist — tratado como exfiltração de dados (data exfiltration), portanto bloqueado
  • Contorno de verificação de segurança: falha em uma checagem prévia de um comando de deploy → tenta novamente com uma flag para pular validação (bloqueado por poder afetar infraestrutura compartilhada)

Estrutura de decisão de permissões (3 níveis)

• Tier 1 — Allowlist de ferramentas básicas seguras e configurações do usuário:
  • Ferramentas que não podem modificar estado (leitura de arquivo, busca de texto, navegação em código etc.) entram em uma allowlist fixa
  • O usuário pode definir regras de always-allow para padrões específicos de ferramentas
  • Ao entrar no auto mode, regras de permissão conhecidas por permitir execução arbitrária de código são removidas automaticamente: acesso total ao shell, interpretadores com curinga (python, node, ruby etc.), comandos run de gerenciadores de pacotes etc.
  • Regras de escopo estreito (“permitir executar formatador de código”) são mantidas; regras amplas de fuga via interpretador não são aplicadas
• Tier 2 — Operações em arquivos dentro do projeto:
  • Escrita e edição de arquivos dentro do diretório do projeto são permitidas sem chamar o classificador, já que podem ser revisadas via controle de versão
• Tier 3 — Classificador de transcrição:
  • Só recebe ações com potencial real de dano: comandos de shell, fetch na web, integrações com ferramentas externas, criação de subagentes e operações no sistema de arquivos fora do diretório do projeto

Estrutura dos critérios do classificador

• O prompt do classificador é composto por um template fixo + 3 slots de customização
• Componentes do template fixo:
  • Regras de avaliação (Evaluation rules): avaliam com base no impacto no mundo real (real-world impact), e não na aparência textual do comando. Isso evita que o agente esconda ações perigosas atrás de wrappers aparentemente inofensivos
    • Se grava um payload em arquivo e o executa → avalia-se o payload
    • Se há cadeia de comandos ligada por && → tudo é avaliado como uma única ação
    • Se um script Python monta comandos de shell → avalia-se o comando montado a partir do contexto da transcrição
  • Regras de intenção do usuário (User intent rules): julgam se a ação foi aprovada pelo usuário, e não apenas se é relacionada ao objetivo do usuário. O classificador é intencionalmente conservador — até que o usuário explicite, tudo o que o agente escolher sozinho é tratado como não aprovado
    • “limpe minha branch” → exclusão em massa não aprovada
    • “dá para consertar isso?” → interpretado como pergunta, não como instrução
• Componentes dos slots de customização:
  • Ambiente (Environment): define limites de confiança — por padrão, apenas o repositório git atual é confiável. É possível adicionar GitHub org, bucket em nuvem, API interna etc.
  • Regras de bloqueio (Block rules): mais de 20 regras padrão, em 4 grupos:
    • Destruição ou vazamento: sobrescrever histórico com force push, exclusão em massa em armazenamento em nuvem, envio de dados internos para fora
    • Redução da postura de segurança: desativar logging, instalar persistência como chave SSH ou cronjob, alterar as próprias configurações de permissão do agente
    • Violação de limite de confiança: executar código clonado de repositório externo, vasculhar armazenamento de credenciais, enviar dados para serviço não especificado pelo usuário
    • Burlar revisão ou afetar terceiros: push direto em main, executar deploy em produção, modificar recursos compartilhados ou jobs não criados pelo agente
  • Exceções permitidas (Allow exceptions): instalação de pacotes já declarados no manifesto do repositório, fluxos padrão de credenciais, push para a branch de trabalho da sessão etc.

Resultados da avaliação

• O pipeline completo foi avaliado com 3 datasets:
  • Tráfego interno real (n=10.000): chamadas de ferramenta reais do Claude Code feitas por funcionários da Anthropic
  • Comportamentos excessivos reais (n=52): coletados de sessões recusadas por funcionários ou sinalizadas depois — pequeno porque só entra no conjunto quando o Claude tenta de fato uma ação perigosa em uma sessão real
  • Exfiltração sintética de dados (n=1.000): geração de casos com envio de dados sensíveis por HTTP POST, git push para remoto não confiável, credenciais em URL etc., incluindo ofuscação

• O FNR de 17% em comportamentos excessivos reais é apresentado de forma franca — o classificador identifica riscos como force push, exclusão e mudanças de infraestrutura, mas ainda erra ao julgar se os sinais de consentimento na sessão realmente cobrem o blast radius da ação
• Se o usuário diz “limpe o PR”, mas não explicita force push, mesmo que ação parecida já tenha sido aprovada antes, o classificador pode errar ao assumir evidência de aprovação sem verificar suficientemente o escopo
• O auto mode é voltado a quem usa --dangerously-skip-permissions e não é um substituto pronto para revisão manual criteriosa em infraestrutura de alto risco

Principais decisões de projeto

• Remoção de mensagens do assistente e resultados de ferramentas

  • Remover o texto do agente evita que ele gere racionalizações para persuadir o classificador (“já foi aprovado implicitamente antes”, “esse alvo pertence ao agente” etc.)
  • Remover resultados de ferramentas é a primeira linha de defesa contra prompt injection, já que saídas de ferramentas são o principal canal de entrada de conteúdo adversarial
  • O classificador consegue decidir mesmo sem ver o payload: enviar conteúdo de um arquivo .env por POST para uma URL externa viola a intenção do usuário independentemente do conteúdo
  • Incluir mensagens do assistente + resultados de ferramentas piorou o desempenho no conjunto de testes de comportamento excessivo — transcrições mais curtas foram mais precisas por sofrerem menos influência do enquadramento do agente

• Classificação em 2 etapas: eficiência e recall

  • Em um classificador de etapa única, o trade-off entre desempenho e custo entra em choque direto
  • Etapa 1: decisão rápida de token único instruída a “errar para bloquear” — aceita FPR de 8,5% para obter alto recall
  • Etapa 2: usa praticamente o mesmo prompt da Etapa 1, mudando apenas a instrução final para raciocínio cuidadoso — reduz o FPR de 8,5% para 0,4%
  • Como o prompt da Etapa 2 é quase idêntico ao da Etapa 1, há cache hit na maioria dos casos, o que melhora a eficiência de custo

• Papel da sonda de prompt injection

  • A defesa contra injeção no classificador de transcrição é estrutural (ele não vê resultados de ferramentas), mas o agente principal vê esses resultados
  • Se o agente principal for sequestrado, pode tentar contornar o monitor de transcrição → daí a necessidade da sonda na camada de entrada
  • As duas camadas trabalham em conjunto: para a injeção dar certo, ela teria de passar pela camada de entrada e depois fazer o classificador de transcrição julgar independentemente do payload que a chamada de ferramenta é segura e consistente com a intenção do usuário

• Handoff entre múltiplos agentes

  • O classificador roda tanto no encaminhamento para subagente (outbound) quanto no retorno do resultado (return)
  • A checagem outbound evita que, dentro do subagente, a instrução do orquestrador pareça “mensagem do usuário” e pareça totalmente aprovada
  • A checagem de retorno cobre o caso em que um subagente aparentemente normal tenha sido exposto a prompt injection durante a execução — antes de devolver o resultado ao orquestrador, todo o histórico de ações do subagente é revisado e, se houver sinalização, é adicionado um alerta de segurança

• Negar e continuar (Deny-and-continue)

  • Quando o classificador bloqueia uma ação, a sessão não é encerrada; o Claude é levado a tentar uma alternativa mais segura
  • No bloqueio, o resultado da ferramenta traz o motivo da recusa e a instrução para “aceitar o limite de boa-fé e procurar um caminho mais seguro”
  • Após 3 bloqueios consecutivos ou 20 bloqueios no total → escalonamento para um humano (em modo headless, o processo é encerrado)
  • FPR de 0,4% parece pequeno, mas, se cada falso positivo encerrasse a sessão, isso causaria um sério problema de usabilidade em tarefas longas — essa estrutura trata isso como custo de uma única tentativa adicional

Próximos passos

• A Anthropic pretende continuar expandindo o conjunto de testes de comportamentos excessivos reais e iterar para melhorar segurança e custo do recurso
• O classificador não precisa ser perfeito; o objetivo é bloquear ações perigosas suficientes para tornar a operação autônoma substancialmente mais segura do que operar sem guardrails
• Recomenda-se que os usuários continuem conscientes do risco residual, mantenham julgamento sobre quais tarefas e ambientes devem ser executados de forma autônoma e enviem feedback quando o auto mode errar