> ## Documentation Index
> Fetch the complete documentation index at: https://ccb.agent-aura.top/llms.txt
> Use this file to discover all available pages before exploring further.

# Auto Mode - AI 分类器驱动的自主执行模式

> 详解 Claude Code 的 auto mode：基于 transcript classifier 的自动权限决策、两阶段分类流水线、危险权限剥离机制、模式切换状态管理、以及与 plan mode 的协作方式。

## 概述

Auto mode 是 Claude Code 的一种权限模式，让 AI 进入**连续自主执行**状态。与传统模式（每个敏感操作都弹出权限对话框等待用户审批）不同，auto mode 使用 AI 分类器（transcript classifier）自动判断每个工具调用是否安全，从而实现无中断的执行体验。

```
权限模式层级：

default  →  auto  →  bypassPermissions
（逐项确认） （AI 分类器审批） （全部放行）
```

## 核心架构

### 1. AI 分类器（yoloClassifier）

分类器是 auto mode 的核心，位于 `src/utils/permissions/yoloClassifier.ts`。

每个工具调用经过分类器评估，返回三种裁决之一：

| 裁决        | 含义   | 处理方式             |
| --------- | ---- | ---------------- |
| **allow** | 操作安全 | 直接执行，用户无感知       |
| **deny**  | 操作危险 | 拒绝执行，向 AI 返回拒绝消息 |
| **ask**   | 无法确定 | 回退到传统权限对话框       |

分类器的判断基于完整的对话上下文（transcript），而不仅仅看单条命令——它能理解操作的意图和上下文。

### 2. 两阶段分类流水线

分类器支持两阶段 XML 分类（`classifyYoloActionXml`）：

```
Stage 1 — "fast"（快速判断）
├── max_tokens=64，stop_sequences 触发即时 yes/no
├── 如果 allow → 直接放行（最快路径）
└── 如果 block → 进入 Stage 2

Stage 2 — "thinking"（深度思考）
├── chain-of-thought 推理
├── 减少误报（false positives）
└── 最终决定 allow / deny / ask
```

两个阶段共享相同的 system prompt 和 user content，利用 API 的 prompt caching（1 小时 TTL）优化性能。

可通过配置选择模式：

* `'both'`（默认）— 两阶段都跑
* `'fast'` — 只跑 Stage 1
* `'thinking'` — 只跑 Stage 2

### 3. 分类器结果类型

```typescript theme={null}
// src/types/permissions.ts
type YoloClassifierResult = {
  thinking?: string          // 分类器的推理过程
  shouldBlock: boolean       // 是否阻止
  reason: string             // 决策原因
  unavailable?: boolean      // 分类器是否不可用
  transcriptTooLong?: boolean // 对话是否超出上下文窗口
  model: string              // 使用的分类器模型
  stage?: 'fast' | 'thinking' // 哪个阶段做出的决定
  // ... token 使用量、耗时等监控字段
}
```

## 安全机制

### 危险权限剥离

进入 auto mode 时，系统调用 `stripDangerousPermissionsForAutoMode()`（`permissionSetup.ts:510`），移除所有可能绕过分类器的 allow 规则。

被剥离的规则类型（`dangerousPatterns.ts`）：

| 规则类型                | 示例                               | 剥离原因                         |
| ------------------- | -------------------------------- | ---------------------------- |
| **Bash 代码执行**       | `Bash(python:*)`, `Bash(node:*)` | 解释器可执行任意代码，绕过分类器审查           |
| **Shell 入口**        | `Bash(bash:*)`, `Bash(sh:*)`     | 直接 shell 访问等同无限制             |
| **Agent 规则**        | `Agent(*)`                       | 任何 Agent allow 规则会绕过分类器审批子代理 |
| **PowerShell 代码执行** | `PowerShell(node:*)`             | 同 Bash 逻辑                    |
| **权限提升**            | `Bash(sudo:*)`, `Bash(eval:*)`   | 可执行任意命令                      |

剥离的规则被暂存在 `strippedDangerousRules` 中，退出 auto mode 时通过 `restoreDangerousPermissions()` 恢复。

### 模型支持检测

不是所有模型都支持 auto mode。`modelSupportsAutoMode()`（`src/utils/betas.ts`）检查当前模型是否具备安全分类能力。不支持的模型无法进入 auto mode。

### Circuit Breaker 机制

`autoModeState.ts` 维护一个 circuit breaker 标志：

```typescript theme={null}
let autoModeCircuitBroken = false  // 由远程配置控制
```

当远程配置（GrowthBook `tengu_auto_mode_config.enabled`）设为 `'disabled'` 时，circuit breaker 触发，阻止 auto mode 的进入和继续使用。这为 Anthropic 提供了远程紧急关停能力。

## 模式切换状态管理

### 进入 Auto Mode

`transitionPermissionMode()`（`permissionSetup.ts:597`）处理所有模式切换：

```
1. 检查 auto mode gate 是否开启（isAutoModeGateEnabled）
2. 设置 autoModeActive = true
3. 调用 stripDangerousPermissionsForAutoMode() 剥离危险规则
4. 向对话注入 Auto Mode 系统提示
```

### 退出 Auto Mode

```
1. 设置 autoModeActive = false
2. 设置 needsAutoModeExitAttachment = true（触发退出通知）
3. 调用 restoreDangerousPermissions() 恢复被剥离的规则
4. 向对话注入 "Exited Auto Mode" 提示
```

### 触发路径

Auto mode 可通过以下方式激活：

* CLI 参数 `--enable-auto-mode`
* settings.json 中的 `autoMode` 配置
* Plan mode 默认使用 auto mode 语义（`useAutoModeDuringPlan`，默认 true）
* SDK 控制消息
* REPL 中 Shift+Tab 切换

## 系统提示词

### 进入时（Full Instructions）

注入到对话中的指令（`messages.ts:3481`）：

> Auto mode is active. The user chose continuous, autonomous execution. You should:
>
> 1. **Execute immediately** — 直接实现，做合理假设
> 2. **Minimize interruptions** — 常规决策自行判断，减少提问
> 3. **Prefer action over planning** — 默认直接编码，不进 plan mode
> 4. **Expect course corrections** — 用户可随时纠正
> 5. **Do not take overly destructive actions** — 删除数据/修改生产系统仍需确认
> 6. **Avoid data exfiltration** — 不主动分享密钥/内部文档

### 持续运行时（Sparse Instructions）

后续轮次注入简短提醒：

> Auto mode still active. Execute autonomously, minimize interruptions, prefer action over planning.

### 退出时（Exit Instructions）

> You have exited auto mode. Ask clarifying questions when the approach is ambiguous rather than making assumptions.

## 与 Plan Mode 的协作

Plan mode 默认使用 auto mode 语义（`getUseAutoModeDuringPlan()`，默认 true）。这意味着：

* Plan mode 进入时，如果 auto mode 可用，也会激活分类器
* `isAutoModeActive()` 是权威信号（`prePlanMode`/`strippedDangerousRules` 不可靠）
* 退出 plan mode 时会同时退出 auto mode

## 分类器不可用的降级策略

当分类器 API 不可用时（`unavailable: true` 或 `transcriptTooLong: true`）：

* 不会直接 allow — 回退到传统的权限对话框（ask）
* 向 AI 发送消息："{model} is temporarily unavailable, so auto mode cannot determine the safety of {toolName} right now."
* 确定性错误（如对话过长）不重试，直接降级

## 分类器 Prompt 模板

分类器的行为由三个 prompt 文件控制，位于 `src/utils/permissions/yolo-classifier-prompts/`。这些文件在构建时通过 `require()` 内联为字符串常量，运行时不可修改。

### auto\_mode\_system\_prompt.txt

主系统提示词，定义分类器的角色、分类流程和决策类别。包含：

* **分类流程**：理解操作 → 检查用户意图 → 评估风险
* **BLOCK 始终阻止**：外部代码执行、不可逆删除、未授权持久化、安全削弱、提权、网络服务
* **BLOCK 除非明确意图**：CWD 外写入、系统包管理、git push、大规模变更
* **ALLOW 安全操作**：读文件、搜索、git 只读命令、测试/lint/构建、CWD 内编辑
* `<permissions_template>` 占位符 — 运行时替换为具体权限模板（external 或 anthropic）
* 末尾 `Use the classify_result tool to report your classification.` — XML 模式下被替换为 `<block>` 标签格式说明

### permissions\_external.txt

外部用户版本的权限模板。三个 `<user_*_to_replace>` 标签内包裹默认规则（bullet 格式），用户自定义规则**整体替换**默认值：

```
<user_allow_rules_to_replace>
- 默认 allow 规则 1
- 默认 allow 规则 2
</user_allow_rules_to_replace>
```

* **allow**：9 条默认规则（只读命令、版本检查、git 只读、测试/lint/构建、包安装、CWD 内文件操作等）
* **soft\_deny**：10 条默认规则（外部代码执行、递归删除、shell 配置修改、提权、网络服务等）
* **environment**：4 条环境描述（终端环境、auto mode 上下文、开发工具可用、语言/框架不限）

`getDefaultExternalAutoModeRules()` 从此文件提取 bullet 项，供 `claude auto-mode defaults` 命令输出。

### permissions\_anthropic.txt

Anthropic 内部版本的权限模板。默认规则在标签**外部**，标签内为空，用户自定义规则以**追加**方式叠加：

```
- 默认规则（在标签外，始终生效）
<user_allow_rules_to_replace>
</user_allow_rules_to_replace>
```

相比 external 版本，额外包含：

* 云 CLI 只读命令（aws describe, gcloud describe, kubectl get 等）
* 基础设施即代码 plan 命令（terraform plan, pulumi preview 等）
* 对应的 deny 规则（云资源创建/修改/删除、IaC apply、生产环境访问等）

### 模板替换流程

```
buildYoloSystemPrompt()
  ├── BASE_PROMPT.replace('<permissions_template>', EXTERNAL/ANTHROPIC_TEMPLATE)
  ├── .replace(<user_allow_rules_to_replace>, userAllow ?? defaults)
  ├── .replace(<user_deny_rules_to_replace>, userDeny ?? defaults)
  └── .replace(<user_environment_to_replace>, userEnvironment ?? defaults)
```

* 外部模板：用户设置非空时**替换**对应标签内容，否则保留默认值
* 内部模板：用户设置**追加**到默认值之后（标签在末尾为空）

## 当前状态说明

> **注意**：auto mode 的完整代码逻辑已存在于代码库中，但依赖 `feature('TRANSCRIPT_CLASSIFIER')` feature flag。
> 在当前反编译版本中，`feature()` 始终返回 `false`，因此 auto mode 不可用。
> 要启用需将 `feature('TRANSCRIPT_CLASSIFIER')` 改为 `true`，并确保 GrowthBook 配置源有合理的 fallback 默认值。

Prompt 模板文件为**重建产物**——原始文件在反编译过程中丢失，已根据代码逻辑和 `yoloClassifier.ts` 中的替换模式重新编写。

## 相关源码索引

| 文件                                                                          | 职责                    |
| --------------------------------------------------------------------------- | --------------------- |
| `src/utils/permissions/yoloClassifier.ts`                                   | 分类器核心实现               |
| `src/utils/permissions/autoModeState.ts`                                    | Auto mode 状态管理        |
| `src/utils/permissions/permissionSetup.ts`                                  | 模式切换、危险权限剥离           |
| `src/utils/permissions/dangerousPatterns.ts`                                | 危险命令模式列表              |
| `src/utils/permissions/classifierDecision.ts`                               | 分类器决策处理               |
| `src/utils/permissions/classifierShared.ts`                                 | 分类器共享逻辑               |
| `src/utils/permissions/bashClassifier.ts`                                   | Bash 命令分类规则           |
| `src/utils/permissions/bypassPermissionsKillswitch.ts`                      | bypass 权限熔断器          |
| `src/utils/permissions/yolo-classifier-prompts/auto_mode_system_prompt.txt` | 分类器主系统提示词             |
| `src/utils/permissions/yolo-classifier-prompts/permissions_external.txt`    | 外部权限模板                |
| `src/utils/permissions/yolo-classifier-prompts/permissions_anthropic.txt`   | 内部权限模板                |
| `src/cli/handlers/autoMode.ts`                                              | CLI `auto-mode` 子命令处理 |
| `src/utils/messages.ts`                                                     | Auto mode 系统提示词注入     |
| `src/types/permissions.ts`                                                  | 权限类型定义                |
| `src/utils/betas.ts`                                                        | 模型 auto mode 支持检测     |
