はじめに
Cursor 3.6(2026年5月29日リリース)で、新しいエージェント実行モード「Auto-review」が追加されました。
これまでのCursorエージェントは、Shell・MCP・Fetchなどのツール呼び出しが発生するたびにユーザーへの承認プロンプトを表示していました。長時間・多ステップのタスクを自動化しようとすると、途中で何度も手を止めて「許可しますか?」に答え続ける必要があり、自動化のメリットが半減するという課題がありました。
Auto-reviewモードはこの問題を解決しつつ、安全性を犠牲にしない設計が特徴です。「承認回数を減らす=なんでも許可」ではなく、インテリジェントな分類によってリスクを評価した上で実行する仕組みになっています。
📌 影響を受ける人
- Cursorのエージェント機能を使ってタスクを自動化している開発者
- MCPサーバーを組み合わせた長時間エージェントを運用している方
- 承認プロンプトが頻繁に出ることに不満を感じている方
変更の全体像
Auto-reviewモードでは、ツール呼び出しを3種類に分類して処理します。
この3段階の分類によって、本当に承認が必要なものだけをユーザーに問い合わせる仕組みを実現しています。
変更内容
対象ツール
Auto-reviewモードが適用されるのは以下の3種類のツール呼び出しです。
| ツール | 説明 | 典型的な使用例 |
|---|---|---|
| Shell tool | シェルコマンドの実行 |
npm run build、git commit など |
| MCP | MCPサーバーへのリクエスト | DB操作、外部API呼び出し、ファイルI/O |
| Fetch tool | HTTP(S)リクエストの発行 | 外部サービスからのデータ取得 |
3つの実行パス
1. 許可リスト(Allowlist)による即時実行
事前に登録した呼び出しパターンは確認なしで即座に実行されます。繰り返し行う安全な操作(例:読み取り専用のShellコマンド)を登録しておくことで、ゼロ摩擦で動作させられます。
2. サンドボックス実行
サンドボックス化できると判断された呼び出しは、本番環境に影響を与えない隔離環境で実行されます。副作用のリスクを最小化しながら、承認なしで処理を進められます。
3. 分類器サブエージェントによる判断
上記2つに該当しない呼び出しは分類器サブエージェントに渡されます。分類器は次の3つのいずれかを選択します。
- 許可 → そのまま実行を継続
- アプローチ変更 → より安全な別の方法に切り替え
- ユーザーへ委譲 → 承認プロンプトを表示
影響と対応
設定方法
Auto-reviewモードは以下の手順で有効化できます。
Settings > Cursor Settings > Agents > Run Mode
ここでRunModeを「Auto-review」に切り替えるだけです。
カスタム指示による挙動調整
分類器サブエージェントにカスタム指示を与えることで、自分のプロジェクトに合わせた判断基準を設定できます。
たとえば次のような指示が考えられます。
- 「
rm -rfを含むコマンドは必ずユーザーに確認する」 - 「
git pushは許可リストに追加して即実行する」 - 「本番DBへの書き込みを含むMCPリクエストは必ず承認を求める」
💡 Tips
カスタム指示は自然言語で記述できます。プロジェクトのリスクポリシーや、チームのセキュリティ要件をそのまま書くだけでOKです。
既存ワークフローへの影響
⚠️ Breaking Change
Auto-reviewはデフォルトでは有効化されない新モードです。既存の動作に自動的な影響はありませんが、有効化した場合は分類器の判断によって従来と異なるタイミングで実行が進む可能性があります。長時間タスクを走らせる前に、許可リストと分類器のカスタム指示を整備しておくことを推奨します。
コード例
Before: 従来モードでの長時間タスク(擬似的なフロー)
エージェントが動作中...
> Shell: npm install ← [承認プロンプト] ✅ 許可
> Fetch: https://api.example ← [承認プロンプト] ✅ 許可
> MCP: database.query ← [承認プロンプト] ✅ 許可
> Shell: npm run build ← [承認プロンプト] ✅ 許可
> MCP: database.write ← [承認プロンプト] ✅ 許可
(ユーザーが5回手を止めて承認)
After: Auto-reviewモードでの同じタスク
エージェントが動作中...
> Shell: npm install → 許可リスト登録済み → ✅ 即時実行
> Fetch: https://api.example → サンドボックス可能 → 🔒 サンドボックス実行
> MCP: database.query → 分類器: 読み取りのみ → ✅ 許可
> Shell: npm run build → 許可リスト登録済み → ✅ 即時実行
> MCP: database.write → 分類器: 書き込み操作 → 👤 承認要求
(ユーザーが1回だけ承認)
分類器へのカスタム指示の例
Cursor SettingsのAgents設定で、以下のような指示を記述できます。
# Auto-review カスタム指示
## 即時実行(許可リスト相当)
- npm install / npm run build / npm test
- git status / git log / git diff(読み取り系のみ)
## 必ず承認を求める操作
- rm, rmdir を含むShellコマンド
- git push / git push --force
- DBへのINSERT・UPDATE・DELETEを含むMCPリクエスト
- 外部サービスへのPOST/PUT/DELETEリクエスト
## 判断に迷った場合
- デフォルトは承認要求とする
まとめ
Cursor 3.6のAuto-reviewモードを整理すると次のとおりです。
| 項目 | 内容 |
|---|---|
| 目的 | 承認プロンプトを減らしつつ安全な長時間エージェント実行を実現 |
| 対象 | Shell・MCP・Fetchの各ツール呼び出し |
| 実行パス | 許可リスト即時実行 / サンドボックス実行 / 分類器判断の3段階 |
| 設定場所 | Settings > Cursor Settings > Agents > Run Mode |
| カスタマイズ | 分類器へのカスタム指示で判断基準を調整可能 |
| 影響範囲 | オプトイン(既存動作への自動変更はなし) |
MCPや外部APIを組み合わせた複雑なエージェントを運用している方にとっては、生産性を大きく改善できる機能です。一方で、分類器の判断がすべてのケースで完璧とは限らないため、最初は慎重に許可リストとカスタム指示を設計し、挙動を観察しながら段階的に自動化の範囲を広げていくアプローチが現実的でしょう。