先に結論
Cursor の今回の更新で大きいのは、approval を減らしたいが Run Everything までは開けたくない という現実的な悩みに、やっと標準の答えができたことです。
新しく出た Auto-review は、まず allowlist を見ます。次に sandbox に入れられる操作を sandbox で流します。そこでも処理できない呼び出しだけ classifier に回します。
つまり、いきなり全部を自動実行するのではありません。安全に寄せられるものは自動化し、危ないものだけ止める 方向です。
いま Cursor の承認が多すぎて止まっているチームは、最初の候補を Auto-review に置いて大丈夫です。ただし、機密操作や厳密な再現性が必要な仕事まで同じ設定で流すのは危険です。
何が変わったのか
2026-05-29 の Cursor changelog で、Auto-review Run Mode が公開されました。Cursor はこれを fewer approval prompts and safer execution のための新しい run mode と説明しています。
公式 docs でも Run Mode の整理が更新され、選択肢は次の4つになりました。
- Auto-review
- Allowlist
- Allowlist with Sandbox
- Run Everything
このうち Cursor 3.6 以降で推奨 default とされているのが Auto-review です。ここが一番大きい変化です。今後は「毎回止める」でも「全部通す」でもない中間運用が、Cursor の標準になります。
Auto-review はどう動くのか
Auto-review は Shell、MCP、Fetch の tool call に適用されます。公式 docs では、判定は3段階です。
1. allowlist にある呼び出しはそのまま通す
まず allowlist に一致する呼び出しは即時実行されます。ここは既存運用と大きく変わりません。
2. sandbox に入れられる呼び出しは sandbox で動かす
allowlist にない呼び出しでも、sandbox で閉じ込められるならそのまま sandbox 実行されます。
この段階が入ったことで、以前より approval をかなり減らしやすくなります。特に workspace 内の読み書きや、制限付きのコマンド実行では効きます。
3. 残りは classifier が allow か block を判定する
allowlist にもなく、sandbox にも収まらない呼び出しは classifier に送られます。classifier は、ユーザーの意図と安全性を見て allow か block を返します。
block された場合、Cursor は別のやり方を試すか、通常の approval prompt を出します。
ここで大事なのは、classifier は 非決定的 だと docs に明記されていることです。安全境界そのものとして信頼し切る設計ではありません。便利さのための補助と考えるほうが正確です。
4つの run mode はどう使い分けるべきか
Auto-review が向くチーム
一番向いているのは、approval の多さで agent 作業が途切れているチームです。
- 長い refactor や調査で、毎回の承認が重い
- ただし Run Everything を標準にはしたくない
- allowlist だけでは例外パターンを吸収しきれない
この条件なら、Auto-review が最初の基準になります。
Allowlist が向くチーム
Allowlist は、人間承認を強く残したい組織 に向きます。
毎回承認したい操作が多いなら、allowlist を最小限にして運用するほうが分かりやすいです。Ask Every Time は deprecated なので、現在はこの使い方が近い立場になります。
Allowlist with Sandbox が向くチーム
Allowlist with Sandbox は、固定の allowlist を軸にしつつ、allowlist 外の操作も sandbox に閉じ込めて回したいチーム向けです。
classifier の非決定性を嫌うなら、Auto-review よりこちらのほうが説明しやすい場面があります。
Run Everything を残すべき場面
Run Everything は、prompt をほぼ消したい個人利用や、完全に自己責任で回す短時間の検証でだけ使うほうが安全です。
組織の標準設定として広く配るのは勧めにくいです。classifier も sandbox も挟まないので、止まらない代わりに最後の歯止めも減ります。
Linux、Windows、macOS で見るべき前提条件
Auto-review の価値は sandbox が動いてこそ出ます。だから OS ごとの前提条件は後回しにできません。
macOS は一番入りやすい
Cursor docs では、macOS は Cursor v2.0 以降なら追加セットアップなしで動くと案内されています。まず試すだけなら一番摩擦が少ないです。
Windows は WSL2 前提
Windows では WSL2 が必要です。sandbox は WSL2 の中で Linux と同じ制約をかける形になります。
Windows チームで Auto-review を試すなら、Cursor の設定を見る前に WSL2 が揃っているかを確認したほうが早いです。
Linux は kernel と user namespace を確認する
Linux は条件確認が重要です。公式 docs では、Kernel 6.2 以降の Landlock v3 対応と、unprivileged user namespaces が前提です。
条件を満たさない場合、Cursor は sandbox を使えず approval に戻ります。つまり「Auto-review にしたのに全然止まる」というズレは、設定より先に OS 側の前提で起きやすいです。
AppArmor の制約で sandbox が失敗するケースにも docs が触れています。特に remote environment や CLI では、必要な AppArmor package が自動で入っていない場合があります。
実務ではどの順番で導入するべきか
おすすめは、一気に全社で切り替えないことです。
1. まずは Auto-review を pilot チームで試す
最初は approval が多くて困っているチームに絞るのが自然です。ここで見るべきなのは、単に prompt が減ったかではありません。
- sandbox にうまく入るか
- classifier が止める場面が実務とズレないか
- 既存 allowlist と衝突しないか
この3点が揃えば広げやすくなります。
2. 機密操作は別ルールで残す
本番権限、秘密情報、外部送信、破壊的コマンドのような操作は、Auto-review に乗せる前提で考えないほうが安全です。
こうした部分は、Allowlist か明示承認に残すほうが説明しやすいです。
3. custom instructions と allowlist を見直す
Cursor の changelog では classifier を custom instructions で steer できると案内されています。つまり Auto-review は、設定を切り替えただけで完成する機能ではありません。
- どの作業は即時実行でよいか
- どの作業は sandbox に閉じ込めたいか
- どの作業は必ず人間承認にしたいか
この線引きを instructions と allowlist の両方で見直す必要があります。
Claude Code、Codex、Copilot と比べて何がうれしいか
今回の話は比較記事ではありません。ただ、導入判断では他製品との違いが気になるはずです。
Cursor の良さは、allowlist、sandbox、classifier を1つの run mode にまとめて持てること です。承認回数を減らしながら、ゼロガードにはしない中間地点が分かりやすくなりました。
一方で、厳格な deterministic 運用だけを最優先するなら、固定 policy を強く保てる設計のほうが向く場合もあります。その比較は Claude Code Auto mode vs Codex approval policy vs GitHub Copilot|承認フローと安全運用で選ぶ にまとめています。
Cursor 全体の位置づけを広く見たいなら、Cursor vs GitHub Copilot vs Claude Code【2026年版】 もつながります。
いま決めるべきこと
今回の更新で決めるべきことは多くありません。まずは次の3つで十分です。
- 標準の run mode を Auto-review に寄せるか
- 機密操作をどこまで別承認に残すか
- OS ごとの sandbox 前提条件を満たしているか
この3点が整理できれば、Cursor の approval 地獄はかなり緩和しやすくなります。
逆に、classifier があるから大丈夫と考えて全部を開けるのは危険です。Auto-review は便利ですが、無条件の安全装置ではありません。