Claude Code v2.1.187 — サンドボックスの秘密情報読み取りを止め、組織がモデルを制限できる版
Claude Code v2.1.187は、sandbox.credentialsでサンドボックスからの秘密情報の読み取りを止め、組織がモデル選択を制限できる版です。remote MCPのハングやCJKペーストの文字化けも直りました。
Claude Code v2.1.187は、組織が自律運用を統制するための設定を2つ加え、エージェント運用の安定性を一段固めた版です。sandbox.credentialsはサンドボックスから資格情報ファイルと秘密の環境変数を読み取らせない設定で、組織レベルのモデル制限は/modelや--modelでの選択を許可済みモデルの範囲に縛ります。あわせて、remote MCPツールが5分間応答なしで止まる問題や、韓国語やCJKのペーストが文字化けする問題など、15件の修正が入っています。本稿では、この版がどの利用形態に効くのかを、利用形態別の早見表と版差分のタイムラインで見ていきます。
このリリースで何ができるようになるか
この版で読者がまず把握したい変化は、3つです。サンドボックスからの秘密情報の遮断、組織レベルのモデル制限、そしてremote MCPツールのハングを断ち切る修正です。
1つ目は、sandbox.credentialsという設定で、サンドボックス内のコマンドが資格情報ファイルや秘密の環境変数を読み取るのを止められるようになった点です。サンドボックス内で動くコマンドが、認証情報やトークンの入ったファイル、秘密として渡している環境変数に触れないようにブロックします。エージェントに自由にコマンドを走らせつつ、秘密情報の流出経路を1つ塞ぐ設定が増えました。
2つ目は、組織が利用できるモデルを制限できるようになった点です。組織側で設定したモデル制限が、モデルピッカー・--model・/model・ANTHROPIC_MODELのいずれにも効きます。制限されたモデルを選ぼうとすると、「restricted by your organization's settings」というメッセージが表示され、許可されていないモデルは使えません。
3つ目は、remote MCPツールの呼び出しが応答のないまま止まる問題を断ち切る修正です。これまではremote MCPツールが応答を返さないと、5分間そのまま何も進まずブロックされていました。本版では5分の閾値を超えるとエラーで中止されるようになり、止まったまま待ち続けることがなくなります。閾値はCLAUDE_CODE_MCP_TOOL_IDLE_TIMEOUTで調整できます。
あなたの開発フローはどう変わるか
効き方は利用形態でかなり分かれます。組織でClaude Codeを統制したいエンタープライズ環境、remoteやMCP連携を多用する人、多段でサブエージェントを走らせる人ほど恩恵が大きく、ローカルで単発のタスクを回すだけなら体感差は限られます。
組織でメンバーにClaude Codeを配る立場の人には、統制の手札が2枚増えます。sandbox.credentialsで、エージェントがサンドボックス内で走らせるコマンドから秘密情報を切り離せます。これまで秘密情報の読み取り防止は、読み取り拒否のルールに自分でパスを足すといった手作業で組む領域でした。モデル制限のほうは、組織として使ってよいモデルの範囲を決められる仕組みで、メンバーが/modelや--modelで範囲外のモデルを選んでも弾かれます。秘密情報の遮断とモデルの制限が、どちらも組織側の設定として用意された点が、この版のエンタープライズ向けの中心です。
remoteやMCP連携を使う人には、止まらなくなる修正がまとまって効きます。remote MCPツールが応答を返さないと5分間ブロックされていた挙動が、本版ではエラーで中止されるようになりました。Remote Controlごしの/updateが、起動時の信頼確認ダイアログが出る場面で止まる問題、エージェントビューを行き来したり/bg・/tui・/updateを打った後にチャンネル接続が切れる問題も直っています。Remoteセッションの起動が、エージェントプロキシのCA証明書をシステム信頼に入れる処理の追加で約2.7秒遅くなっていた点も解消されました。
多段でサブエージェントを動かす人には、深さの追跡と作業ツリーの後始末が効きます。再開したサブエージェントが元の起動時の深さを取り戻すようになり、フォークしたサブエージェントも深さの上限にカウントされるようになりました。さらに、強制終了したエージェントが残したロック済みの作業ツリー登録が、自動でクリーンアップされます。バックグラウンドジョブが構造化出力を返さずにターンを終えたとき、エージェントビューで「working」のまま止まり続ける問題も直っています。
主な変更点
この版は、新機能3項目・修正15項目・改善3項目で構成されています。テーマごとにまとめ、各項目に「誰に効くか」を1行添えます。
追加された機能・設定
- サンドボックスの秘密情報読み取りをブロック:
sandbox.credentialsで、サンドボックス内のコマンドが資格情報ファイルと秘密の環境変数を読み取るのを止められます(エージェントにコマンドを任せつつ秘密情報を守りたい組織)。 - 組織レベルのモデル制限:組織が設定したモデル制限が、モデルピッカー・
--model・/model・ANTHROPIC_MODELに効きます。範囲外を選ぶと「restricted by your organization's settings」と表示されます(利用モデルを統制したい組織)。 - 全画面でのマウスクリック対応:全画面モードでも、権限プロンプトや
/model・/configなどのセレクトメニューをマウスクリックで選べます(全画面でClaude Codeを使う人)。
修正された不具合
- remote MCPツールの呼び出しが5分間応答なしで止まる問題を修正:止まり続けず、エラーで中止されるようになりました。閾値は
CLAUDE_CODE_MCP_TOOL_IDLE_TIMEOUTで調整できます(remote MCPを使う人)。 - 構造化出力の無限再呼び出しを修正:
--json-schemaやワークフローのagent({schema})で、成功後もモデルがStructuredOutputを際限なく呼び直す問題が直り、続くターンも構造化出力を確実に返すようになりました(スキーマ付きワークフローを組む人)。 - 韓国語・CJKペーストの文字化けを修正:ペーストをバイト単位の拡張キーイベントとして渡す端末で、韓国語やCJKのテキストが文字化けする問題を直しました(日本語・韓国語・中国語の入力をペーストする人)。
- バックグラウンドジョブの「working」スタックを修正:構造化出力を返さずにターンを終えたとき、エージェントビューで「working」のまま止まり続ける問題が直りました(バックグラウンドジョブを多用する人)。
- サブエージェントの深さ追跡を修正:再開したサブエージェントが元の起動時の深さを取り戻し、フォークしたサブエージェントも深さの上限にカウントされます(多段でサブエージェントを回す人)。
- 残留した作業ツリー登録の自動クリーンアップ:強制終了したエージェントが残した
.git/worktrees/のロック済みエントリが自動で片付けられます(エージェントを多数立ち上げる人)。 --resumeの「No conversation found」を修正:元の-p実行がモデルのターンを生まなかったとき、再開が「No conversation found」で失敗する問題を直しました(-p実行を再開する人)。
このほか、表示や入力まわりの細かな修正がまとまっています。Remote Controlごしの/updateが起動時の信頼確認ダイアログで止まる問題、エージェントビューを行き来した後や/bg・/tui・/updateの後にチャンネル接続が切れる問題が直りました。Remoteセッションの起動が、エージェントプロキシのCA証明書をシステム信頼に入れる処理の追加で約2.7秒遅くなっていた点も解消されています。エージェント停止の通知が、誰が止めたかを正しく示さない問題も直り、表現も「came to rest」から「finished」「stopped」へ整理されました。macOSのGhosttyで、全画面モードのCmd+クリックがURLを開かない問題、claude --helpが--bg/--backgroundフラグを表示しない問題、/shareのアップロード中にEsc・Ctrl-C・Ctrl-Dが効かない問題も修正されています。VS Code拡張では、大きなセッションを再開すると拡張が応答しなくなる問題が直りました。
改善された挙動
/install-github-appのワークフロー設定を任意化:GitHub Appのインストールだけを行い、ワークフローやシークレットの設定は省けるようになりました(GitHub App連携を最小構成で入れたい人)。/btwの前後ナビゲーション:←/→の矢印キーで、前の回答を辿れます(/btwで過去のやり取りを見返す人)。/pluginの未使用プラグイン提示:最近使っていないプラグインを表に出して、整理しやすくします(プラグインを多く入れている人)。
更新後はバージョンを確認できます。
npm install -g @anthropic-ai/claude-code
claude --versionremote MCPツールのハングを中止する閾値を変えたいときは、環境変数で指定します。
export CLAUDE_CODE_MCP_TOOL_IDLE_TIMEOUT=600000サンドボックスからの秘密情報の読み取りを止める設定は、sandbox.credentialsという設定キーとして追加されました。現時点では公式ドキュメントに専用ページがまだなく、具体的な書き方は構文が公開され次第に固まります。
sandbox.credentialsと組織モデル制限は自律運用の統制をどう変えるか
この版で加わった2つの設定は、組織がエージェントの自律運用を統制できる方向の整備と読めそうです。エージェントにコマンドを任せて自走させるほど、「どこまでを許すか」を組織側で決められるかが運用の安心感を左右します。本版は、秘密情報への到達とモデルの選択という2つの面で、その手綱を組織の手元に置く設定を加えました。
sandbox.credentialsは、サンドボックス内のコマンドから資格情報ファイルと秘密の環境変数を切り離す設定です。これまで秘密情報の読み取り防止は、読み取り拒否のルールに対象パスを自分で足すといった手作業で組む領域でした。本版では、その目的に向けた専用の設定が用意されています。現時点で公式ドキュメントにこのキーの専用ページはまだないため、既定値や適用範囲の細部までを断定するのは早いものの、秘密情報の流出経路を設定1つで塞ぐ選択肢が増えた点は明確です。
組織レベルのモデル制限は、メンバーがどのモデルを選べるかを組織が決められる仕組みです。モデルピッカー・--model・/model・ANTHROPIC_MODELのいずれの入口からでも制限が効き、範囲外のモデルを選ぼうとすると「restricted by your organization's settings」と表示されます。利用するモデルを揃えたい、あるいは特定のモデルだけに限定したいといった組織の要件を、個々のメンバーの設定に依存せず適用できます。秘密情報の遮断と並べると、エージェント運用を組織のポリシーの内側に収めるための土台が一段固まったと見ることもできます。
v2.1.183から本版までのセキュリティ強化タイムライン
組織の統制や安全側の判断が、ここ数版でどう積み上がってきたかを時系列で並べます。番号上の直前はv2.1.186で、sandbox.credentialsや組織モデル制限の追加は、自律運用を安全側に寄せてきた流れの延長に置けます。
| 版 | 公開日 | 中核となった統制・安全側の変更 |
|---|---|---|
| v2.1.183 | 公開日2026-06-19 | 中核となった統制・安全側の変更autoモードで破壊的なgit・IaCコマンドをブロック |
| v2.1.186 | 公開日2026-06-22 | 中核となった統制・安全側の変更背景サブエージェントの権限プロンプトをメインに表示 |
| v2.1.187 | 公開日2026-06-23 | 中核となった統制・安全側の変更サンドボックスの秘密情報読み取りをブロック、組織モデル制限(最新・先頭) |
v2.1.183では「頼んでいない破壊的操作を走らせない」という実行コマンドの判定が、v2.1.186では背景で動くサブエージェントの権限を可視化する変更が入りました。本版はそこに、秘密情報への到達とモデル選択という組織レベルの統制軸を加えています。番号上の直前にあたるClaude Code v2.1.186の解説では、MCPのCLI認証や背景サブエージェントの権限表示を扱いました。autoモードの安全側の判断を強めたClaude Code v2.1.183の解説とあわせて読むと、判定の対象が「個別コマンド」「サブエージェントの権限」「秘密情報とモデル」へと広がってきた流れが見えてきます。なお、番号上はv2.1.184とv2.1.182がchangelogに掲載のない欠番のため、この並びには含めていません。
利用形態別の影響早見表
自分の使い方でどの程度効くかは、次の早見表で確認できます。全員が一律に急いで動く種類の変更ではなく、利用形態ごとに濃淡が分かれます。
| 利用形態 | 影響度 | 効く理由 |
|---|---|---|
| 組織でClaude Codeを統制 | 影響度明確な恩恵あり | 効く理由秘密情報の遮断とモデル制限が組織設定で効く |
| remote・MCP連携を多用 | 影響度明確な恩恵あり | 効く理由MCPツールの5分ハングが中止され、起動遅延も解消 |
| 多段でサブエージェントを運用 | 影響度条件次第 | 効く理由深さ追跡や作業ツリーの後始末は該当構成でのみ効く |
| CJK・韓国語をペーストする | 影響度条件次第 | 効く理由文字化けの修正は対象端末を使う場面で効く |
| ローカル単発・MCP未使用 | 影響度ほぼ影響なし | 効く理由上記の前提に当てはまらず体感差は小さい |
組織でClaude Codeを統制する立場の人と、remoteやMCP連携を多用する人にとっては、統制の手札が増える点とハングが止まる点で「明確な恩恵あり」に寄ります。多段でサブエージェントを運用する人や、特定の端末でCJKをペーストする人は、該当する構成や場面でのみ効くため「条件次第」に置いています。ローカルでMCPを使わず単発のタスクを回すだけなら、これらの前提に当てはまらず、体感の変化は小さくなります。
まとめ
Claude Code v2.1.187は、sandbox.credentialsでサンドボックスからの秘密情報の読み取りを止め、組織レベルのモデル制限を加えた版です。あわせて、remote MCPツールの5分ハングをエラーで中止する修正、韓国語・CJKペーストの文字化けの修正、サブエージェントの深さ追跡や残留した作業ツリーの後始末など、15件の修正が入りました。
組織でClaude Codeを配って統制したい人や、remoteやMCP連携を多用する人では、秘密情報の遮断とモデル制限、そしてハングが止まる修正に更新の価値があります。多段でサブエージェントを運用する人は、深さ追跡や作業ツリーのクリーンアップが効く構成かを確かめる価値があります。sandbox.credentialsを導入する場合は、公式ドキュメントの専用ページがまだ整っていないため、自分の環境での挙動を確かめてから本番に乗せる形が無難です。ローカルでMCPを使わず単発で回す使い方では体感差は小さいため、手の空いたタイミングでの更新で問題ありません。Claude Code全体の使い方はClaude Code完全ガイドを参照してください。
関連する記事
Claude Code をもっと見る →Claude Code v2.1.153 — /model選択が既定値として保存、OAuth資格情報漏れを修正
Claude Code v2.1.149 — /usageに消費内訳を追加、PowerShellの権限バイパスを修正
Claude Code v2.1.191 — /clear前の会話に/rewindで戻れ、CPUを約37%削減
Claude Code v2.1.162 — エージェント並走画面の安定化と、起動の堅牢化
Claude Code v2.1.161 — MCP管理コマンドの秘密情報を伏せ字化、並列ツールを独立化
Claude Code v2.1.147 — マルチエージェントを決まった手順で動かすWorkflowツールを追加