Le Claude Code Auto Mode est l’entre-deux qu’Anthropic a fini par sortir le 24 mars 2026 : un agent qui agit seul, mais avec un second modèle (Sonnet 4.6) qui inspecte chaque action avant qu’elle ne tourne. Concrètement, tu remplaces ton flag --dangerously-skip-permissions par une autonomie surveillée. C’est plus sûr que le mode YOLO, plus utilisable que le mode default qui demandait validation à chaque appel.
Pourquoi maintenant ? Début mars 2026, un développeur a posté une confession sur X : « je skip toutes les permissions dans Claude Code ». Plus de 2 000 likes en réponse. Tout le monde faisait pareil, parce que le default mode rendait l’outil inutilisable pour des tâches longues. Anthropic a admis que sa propre couche de sécurité était devenue du théâtre, et a publié Auto Mode comme remplaçant.
Tu vas voir comment l’activer en 4 commandes, comment configurer ton infrastructure trustée dans .claude/settings.local.json, ce que le classifier voit (et ne voit pas) avant chaque action, et pourquoi il reste imparfait : Anthropic admet 17 % de faux négatifs sur les actions trop zélées.
Points clés
- Auto Mode remplace
--dangerously-skip-permissionspar un classifier Sonnet 4.6 qui valide chaque action avant exécution.- Disponible sur Max, Team, Enterprise et API uniquement (pas sur Pro, pas sur Bedrock, pas sur Vertex).
- Le classifier voit les messages utilisateur et les tool calls, mais pas le raisonnement de Claude (reasoning-blind, par design).
- Métriques officielles Anthropic : 0,4 % de faux positifs en pipeline complet, mais 17 % de faux négatifs sur les actions trop zélées.
- Auto Mode se configure via
autoMode.environmentdans.claude/settings.local.json, et s’auto-désactive après 3 refus consécutifs ou 20 dans la session.
Auto Mode, c’est quoi exactement ?
Auto Mode est un mode de permission introduit dans Claude Code le 24 mars 2026. Quand tu l’actives, l’agent ne te demande plus l’autorisation pour chaque commande shell, chaque écriture de fichier, chaque appel web. À la place, un second modèle (Sonnet 4.6) lit chaque action avant qu’elle s’exécute et décide : autoriser, bloquer, ou escalader vers un humain.
Ce classifier est entraîné pour reconnaître trois familles d’actions à risque : les opérations irréversibles (suppression de branches distantes, drop de tables, force push), les actions hors scope (sortir du dossier de travail, toucher à ~/.ssh, écrire dans /etc), et les actions qui ressemblent à un détournement par prompt injection venu d’un fichier ou d’une page web crawlée.
| Plan | Auto Mode disponible ? |
|---|---|
| Max | Oui |
| Team | Oui (admin enablement requis) |
| Enterprise | Oui (admin enablement requis) |
| API (Anthropic direct) | Oui |
| Pro | Non |
| Bedrock | Non |
| Vertex | Non |
| Foundry | Non |
Si Claude Code te dit « auto mode is unavailable for your account », vérifie ton plan, vérifie que l’admin de ton org a activé la feature pour Team ou Enterprise. Sinon, retombe sur default ou plan mode.
Pourquoi Auto Mode existe : le default mode était devenu du théâtre
Avant Auto Mode, Claude Code te proposait deux extrêmes. Le default mode demandait validation pour chaque tool call. Sur un refactor de 40 fichiers, ça veut dire 200 prompts de permission, donc en pratique tu cliques « allow » en automatique sans lire. La sécurité était une fiction. À l’autre bout, --dangerously-skip-permissions (alias YOLO mode) supprimait toutes les vérifications. La majorité des devs étaient passés sur YOLO en silence.
Anthropic a publié sur son annonce officielle d’Auto Mode un constat lucide : la sécurité ne pouvait pas reposer sur l’humain. Il fallait déléguer la vérification à un autre modèle, plus rapide, qui regarde chaque action sans se laisser distraire par le raisonnement de l’agent principal. C’est très exactement ce que default mode prétendait être, sans jamais y arriver vraiment.
Auto Mode vs YOLO mode vs default : le bon choix par tâche
Tu as maintenant trois modes de permission dans Claude Code, et choisir le bon dépend de la tâche, pas du goût personnel.
| Mode | Bloque quoi | Latence | Quand l’utiliser |
|---|---|---|---|
default | Demande validation humaine pour chaque tool call risqué | 0 ms (mais coût attention élevé) | Premier essai d’un workflow, debug d’un comportement, prod sensible |
auto | Le classifier Sonnet 4.6 bloque les actions destructives, hors scope ou suspectes | 200 à 800 ms par tool call | Refactors longs, audits, génération en masse, tâches itératives sur ton repo |
--dangerously-skip-permissions | Rien | 0 ms | Sandbox jetable, container Docker éphémère, tu sais que tu peux tout détruire et reconstruire |
Concrètement : tu lances un refactor TypeScript sur 60 fichiers de ton propre repo, Auto Mode est le bon choix. Tu fais tourner un agent qui crawle des sites tiers et écrit des résumés, le default mode reste préférable parce que les contenus crawlés peuvent contenir des prompts injection. Tu prototypes dans un container jetable, YOLO est OK.
Hugo, dev backend solo à Toulouse, m’a raconté son premier audit en Auto Mode sur un monorepo Node de 80 paquets. Sept minutes pour un refactor qui lui aurait pris une heure en default mode (à cliquer « allow » 320 fois). Le classifier a bloqué deux actions : un git push --force que Claude voulait faire pour réorganiser un commit, et un npm publish accidentel sur un paquet privé. « Les deux étaient des vrais bugs », dit Hugo. « En default mode, j’aurais cliqué allow sans lire. »
Comment activer Auto Mode dans Claude Code
L’activation prend trois minutes si ton plan est éligible.
Étape 1 : vérifie ta version. Auto Mode est arrivé en mars 2026, donc ton CLI doit être à jour.
claude --version
# Doit retourner 1.5.0 ou supérieurÉtape 2 : active le mode dans ta session. Deux options. Soit tu lances Claude Code avec le drapeau :
claude --permission-mode autoSoit tu le changes en cours de session via la commande slash :
/permissions
# Choisis "auto" dans la listeÉtape 3 : inspecte les défauts. Avant d’activer pour de vrai, lis ce que le classifier autorise et bloque par défaut :
claude auto-mode defaultsLa commande retourne un JSON avec trois listes : allow (actions toujours autorisées dans le scope du repo), soft_deny (actions bloquées par défaut mais que tu peux ré-autoriser), block (actions toujours bloquées, non négociables). Lis les trois avant d’aller plus loin. Tu trouveras par exemple que pip install -r requirements.txt est dans allow (le classifier fait confiance aux manifestes déjà committés), mais pip install foo à la volée tombe en soft_deny.
Étape 4 : démarre en sandbox. Premier run en Auto Mode sur un dossier non critique, idéalement un fork ou un branch jetable. Observe ce qui se fait bloquer pendant 5 à 10 minutes de session. Tu vas vite repérer les actions légitimes que le classifier refuse parce qu’il ne connaît pas ton infrastructure, et c’est exactement ce que la configuration suivante va corriger.
Configurer autoMode.environment : exemples concrets
Par défaut, le classifier ne connaît que ton dossier de travail et les remotes Git du repo courant. Tout le reste, il bloque. Pour ton vrai workflow, tu dois lui dire quels buckets, quelles orgs GitHub, quels domaines internes sont trustés.
Tu fais ça dans .claude/settings.local.json (gitignored, perso à toi) ou dans ~/.claude/settings.json (globalement, toutes tes sessions).
{
"autoMode": {
"environment": {
"git_orgs": ["mon-org-github", "perso-github"],
"cloud_buckets": [
"s3://mon-bucket-production",
"gs://mon-data-staging"
],
"domains": ["api.monsite.fr", "internal.monequipe.io"]
},
"allow": [
"Run database migrations on staging databases"
],
"soft_deny": [
"Write to production cloud buckets without explicit user approval"
]
}
}Trois scopes existent et se cumulent :
- Personnel :
~/.claude/settings.json, tes propres trustés (tes orgs GitHub, ton bucket perso). - Projet perso :
.claude/settings.local.json, gitignored, le classifier ne lira pas ce fichier depuis le repo partagé. - Organisation : managed settings (déployé par admin sur les postes), le développeur peut ajouter mais pas retirer.
Camille, freelance SEO à Bordeaux, gère 12 clients e-commerce. Elle a configuré son ~/.claude/settings.json avec ses 12 domaines clients dans domains, et son bucket Cloudflare R2 où elle stocke les rapports d’audit dans cloud_buckets. Résultat : Claude Code peut crawler les 12 sites, écrire les rapports JSON, uploader vers R2 sans demander une seule fois. Elle a gagné, à la louche, 40 minutes par audit en supprimant les prompts de permission.
Allow rules vs soft_deny : quand utiliser quoi
allow ouvre une porte que le classifier aurait fermée. soft_deny referme une porte que le classifier aurait laissée ouverte. Concrètement : si tu veux que ton agent puisse lancer des migrations sur ta base staging, tu mets ça dans allow. Si tu veux que les écritures sur le bucket production demandent toujours validation humaine même en Auto Mode, tu mets ça dans soft_deny.
Le classifier Sonnet 4.6 sous le capot
C’est la partie technique intéressante. Le classifier est un second modèle, indépendant de la session principale. Si ta session tourne sur Opus 4.7, le classifier reste Sonnet 4.6. Anthropic l’a fixé pour des raisons de coût et de prévisibilité.
L’architecture est en deux étapes :
- Stage 1 : un classifier rapide qui répond yes/no en un token. Calibré pour sur-bloquer (8,5 % de faux positifs en trafic réel). C’est lui qui voit toutes les actions.
- Stage 2 : un raisonnement chain-of-thought qui ne se déclenche que si Stage 1 a flaggé. Plus lent (200 à 800 ms), il décide de bloquer pour de bon ou de laisser passer. Sur le pipeline complet, le taux de faux positifs descend à 0,4 %.
La feature la plus intéressante est le design reasoning-blind : le classifier voit uniquement les messages utilisateur et les tool calls de Claude. Il ne voit pas le raisonnement interne de Claude, ni les résultats des tools précédents. Cette amnésie volontaire bloque deux attaques. La première : Claude qui se justifie pour passer le filtre (« je sais que ça ressemble à du push force, mais l’utilisateur veut clairement… »). La seconde : un fichier ou une page web qui contient une prompt injection essayant de tromper le classifier directement.
Cette logique correspond exactement au pattern Guardrails appliqué à Claude Code. C’est même l’implémentation de référence : on isole un module qui ne fait que valider, on lui donne un contexte minimal, on coupe les boucles de rationalisation. Si tu construis ton propre agent, regarde ce design avant d’inventer le tien.
Escalation : ce qui se passe si Claude insiste
Si le classifier bloque, Claude reçoit un message d’erreur et peut soit reformuler, soit abandonner, soit escalader. Anthropic a ajouté deux backstops qui me paraissent salutaires :
- 3 refus consécutifs sur des actions liées : Claude doit demander à l’humain.
- 20 refus dans la même session : la session bascule en escalation forcée.
En mode headless (claude -p non interactif), c’est différent : 3 refus consécutifs terminent la session. Pas de boucle infinie possible.
Les limites à connaître avant d’y aller
Trois choses à savoir.
Le classifier reste non déterministe. Simon Willison l’a écrit le jour de la sortie : une protection basée sur un LLM ne sera jamais aussi fiable qu’un sandbox OS qui restreint l’accès fichiers et réseau au niveau du kernel. Le classifier est un progrès UX énorme, pas une garantie sécurité. Sur la prod, garde un sandbox déterministe en plus.
Les 17 % de faux négatifs sur les actions trop zélées. Anthropic a publié les chiffres dans la documentation officielle de configuration : dans 1 cas sur 6 où Claude exceeded ce que tu lui as demandé, le classifier a laissé passer. Le mode de défaillance dominant est subtil. Le classifier voit dans l’historique des messages que tu as déjà donné une approbation, et il ne vérifie pas si cette approbation couvre vraiment le rayon d’effet de l’action en cours. Tu as dit « modifie ce fichier », Claude finit par modifier 12 fichiers similaires, le classifier laisse passer parce qu’il pense que ton consentement initial s’étend.
Le supply chain n’est pas couvert. Si Claude installe pip install -r requirements.txt, le classifier laisse passer (c’est dans le allow par défaut). Mais si une dépendance non pinnée publie une version compromise dans la nuit, comme c’est arrivé avec LiteLLM en mars 2026, Auto Mode ne te protégera pas. Pin tes dépendances, utilise un lockfile, lance dans un container Docker éphémère pour les sessions sensibles.
Trois cas d’usage SEO concrets avec Auto Mode
Pour finir, des exemples qui ne sont pas du dev générique mais du SEO opérationnel.
Cas 1 : audit technique en lot sur 12 clients. Tu lances Claude Code en Auto Mode dans un dossier avec un script Python qui crawle 12 sites, extrait Title/Meta/Schema/Core Web Vitals, et écrit un rapport Markdown par site. Auto Mode autorise la lecture web, les écritures dans le dossier, refuse l’envoi par email automatique (le classifier bloque par défaut les destinations externes que tu n’as pas trustées). Tu valides la livraison à la main, le reste tourne seul.
Cas 2 : génération en masse de schema JSON-LD. Tu pointes Claude sur ton site WordPress, tu lui donnes un script qui interroge l’API REST pour récupérer les 240 articles, génère le bon schema Article pour chacun, et le pousse via PUT sur l’API. Auto Mode te demande la première fois si l’endpoint est trusted, tu l’ajoutes à domains, et les 239 PUT suivants passent en silence. Camille (notre freelance bordelaise) m’a fait tourner ça sur un client e-commerce avec 1 800 fiches produit : 47 minutes au total, contre une journée en default mode.
Cas 3 : refresh des metaTitle et metaDesc. Romain, lead tech d’une agence à Marseille, gère le SEO de 30 sites WordPress clients. Il a configuré un managed-settings.json (scope organisation) qui pré-trust les 30 domaines clients pour toute son équipe. Ses 5 consultants peuvent lancer Claude Code en Auto Mode, faire le refresh des metaTitle et metaDesc, sans avoir à reconfigurer leur poste. La règle organisation force aussi un soft_deny sur les écritures hors du dossier client, ce qui empêche un agent enthousiaste de toucher à autre chose.
Pour aller plus loin sur la conception d’agents qui se comportent bien, le hub des 21 patterns d’agents IA couvre les autres briques (Reflection, Tool Use, HITL, RAG). Auto Mode coche surtout deux de ces patterns : Guardrails pour le classifier, et un dérivé du pattern Human-in-the-Loop, sauf que l’humain n’est sollicité que sur exception, pas à chaque pas.
FAQ
Auto Mode est-il dispo sur le plan Pro de Claude ?
Non. Auto Mode est réservé aux plans Max, Team, Enterprise et API. Si tu es sur Pro, tu restes sur default ou --dangerously-skip-permissions. Anthropic n’a pas annoncé d’extension à Pro à date.
Quelle différence concrète avec --dangerously-skip-permissions ?
Avec --dangerously-skip-permissions, aucune validation, aucun classifier, tout passe. Avec Auto Mode, chaque action remonte au classifier Sonnet 4.6 qui peut bloquer ou demander confirmation. Auto Mode est plus lent (200 à 800 ms par tool call) mais beaucoup plus sûr.
Auto Mode peut-il s’auto-désactiver ?
Oui, dans deux cas. Si Claude reçoit 3 refus consécutifs sur des actions liées, il doit demander à l’humain. Si la session cumule 20 refus, elle bascule en escalation forcée. En mode headless (claude -p), 3 refus consécutifs terminent la session pour éviter les boucles infinies.
Le classifier voit-il mes secrets et clés API ?
Le classifier voit les messages utilisateur et les tool calls, donc oui, il voit potentiellement des clés API si tu en colles dans le chat ou si Claude lit un fichier .env. Anthropic indique que le classifier ne stocke ni n’exfiltre ces données, mais bonne pratique : utilise toujours des variables d’environnement, jamais de secrets dans la conversation.
Pourquoi Auto Mode m’affiche « temporarily unavailable » ?
Trois causes fréquentes : ton plan n’est pas éligible (Pro/Bedrock/Vertex), tu as atteint un rate limit Sonnet 4.6 momentané, ou ton admin Team/Enterprise n’a pas encore activé la feature. Vérifie d’abord ton plan, ensuite réessaie 30 secondes plus tard, et contacte ton admin si ça persiste.
Faut-il continuer à utiliser un sandbox OS avec Auto Mode ?
Oui, pour les workflows en production ou critiques. Auto Mode est une couche de sécurité supplémentaire, pas un remplaçant pour un sandbox déterministe. Pour des sessions itératives sur ton propre repo en dev, Auto Mode seul suffit. Pour de l’exécution de code venant de l’extérieur (PR review automatique, agents qui crawlent du contenu non maîtrisé), garde un container Docker éphémère par-dessus.
Conclusion
Auto Mode est le meilleur compromis qu’Anthropic ait livré pour le quotidien d’un dev qui veut laisser Claude Code travailler sans supervision continue. Le design est solide : classifier indépendant, reasoning-blind, escalation forcée après 3 refus, configuration en JSON simple. Pour des refactors longs, des audits SEO, des générations en masse sur ton propre périmètre, c’est largement suffisant.
Mais Auto Mode n’est pas une vraie sandbox. Le classifier rate 17 % des actions trop zélées, et la chaîne d’approvisionnement reste ton problème. Pour la prod, ajoute un container Docker éphémère, pin tes dépendances, garde une revue humaine sur les actions irréversibles.
Si tu construis ton propre agent IA, l’architecture du classifier d’Auto Mode est un cas d’école du pattern Guardrails. Tu veux savoir si ton agent applique ce genre de garde-fou ? On a bâti un audit qui passe ton agent en revue selon 21 patterns de conception, dont Guardrails et HITL. Audite ton agent IA en quelques minutes, ou regarde l’analyse complète de l’architecture interne de Claude Code pour comprendre comment Anthropic empile ses couches de sécurité. Pour aller plus loin sur le détail de configuration par scope (perso, projet, organisation), la page Permission Modes reste la source de vérité.
