Claude Media
Claude Code v2.1.210 — 自動運用の信頼境界を締め直し、無人セッションの取りこぼしを修正

Claude Code v2.1.210 — 自動運用の信頼境界を締め直し、無人セッションの取りこぼしを修正

Claude Code v2.1.210は、隔離サブエージェントがメインのチェックアウトにgit変更を実行できた穴やultracodeの誤発火を修正し、無人・常駐運用の止まって見える問題を広く直した版です。

Claude Code v2.1.210は、自動運用の信頼境界を締め直しつつ、無人・常駐セッションが「止まって見える」「黙って止まる」問題を広く直した版です。新しく追加された機能は2件だけで、重心は残る31項目の修正や改善のほうにあります。とりわけ、作業ツリー隔離(worktree)のサブエージェントが自分の隔離先ではなくメインのチェックアウトへgit変更を実行できた穴、ultracodeのキーワード起動がwebhook(Webフック)のペイロードや中継されたPRコメントといった人由来でない入力で誤発火する問題、Agentツールの間接的なプロンプトインジェクションへの堅牢化が、まとめて入りました。効き方は使い方で大きく分かれます。この記事では、利用形態別の影響早見表と、信頼境界まわりがv2.1.207から本版までどう締まってきたかのタイムラインで、更新の判断材料を示します。

このリリースで何ができるようになるか

この版で押さえたい変化は、隔離したサブエージェントの権限がメインのリポジトリへ漏れなくなったこと、無人で走らせているセッションが固まったまま黙って止まる経路が減ったこと、そして権限ルールの書き方に起動時の警告が付いたことの3点です。新機能は2件で、版の性格は、自動運用が広がるなかで綻んでいた足元の作り直しに寄っています。

1つ目は、自動運用の信頼境界です。作業ツリー隔離のサブエージェントは、自分専用の隔離された作業ツリーの中だけで動くはずが、メインのチェックアウトに対してgitの変更コマンドを実行できていました。本版でこれが塞がれます。あわせて、ultracodeのキーワード起動がwebhookのペイロードや中継されたPRコメントなど人由来でない入力で誤って発火する問題が直り、Agentツールはサブエージェントが読んだ内容を経由する間接的なプロンプトインジェクションに対して堅牢化されました。人が画面の前にいない経路ほど、この3つの手当てが効いてきます。

2つ目は、無人・常駐セッションの止まり方です。長く走るツール呼び出しに経過時間のカウンターが付き、固まって見える状態と本当に止まった状態を見分けやすくなりました。claude attachがセッションの切り替え中に「job not found」で失敗する問題、フックのコールバックのタイムアウトがモデルへユーザーの拒否として誤って伝わり無人セッションが待ちに入る問題、背景ワーカーが接続リセットでクラッシュを繰り返す問題も直ります。止まったセッションが残すgit worktreeのロックも、持ち主のプロセスが消えていれば定期掃除で解放されるようになりました。

3つ目は、権限ルールの書き方への起動時警告です。Write(path)NotebookEdit(path)Glob(path)のような書き方の権限ルールに対して、起動時に警告が出るようになりました。これらはパス単位で効かないため、代わりにEdit(path)Read(path)を使う形が案内されます。設定ファイルに古い書き方が残っていた場合、更新後にこの警告で気づけます。

あなたの開発フローはどう変わるか

本版の効き方は利用形態でかなり分かれます。作業ツリー隔離でサブエージェントを並列に回す運用、webhookや中継コメントを入力に自動起動する運用、CIや常駐で無人セッションを長く回す運用では手応えが大きく、サブエージェントに外部の内容を読ませる使い方や権限ルールを細かく書いている環境では設定次第、ローカルで短い対話を回す使い方ではほとんど変化を感じません。

作業ツリー隔離でサブエージェントを並列に回す運用

隔離したサブエージェントに任せていた作業が、実はメインのチェックアウトへgitの変更を及ぼせていました。隔離の前提は「自分の作業ツリーの外を触らない」ことなので、ここは境界の穴にあたります。本版でこの経路が塞がれ、隔離先の外へコミットやリセットが漏れなくなります。複数のサブエージェントを別々の作業ツリーで同時に走らせる構成ほど、取り違えの芽が減ります。

webhookや中継PRコメントを入力に自動起動する運用

ultracodeはキーワードで高負荷モードへ切り替える仕組みですが、その起動語がwebhookのペイロードや中継されたPRコメントに紛れていると、人が指示していないのに発火していました。外部から届く文字列がそのまま起動語として解釈される余地があった形です。本版では、こうした人由来でない入力では発火しなくなります。PRコメントやwebhookをトリガーに自動でセッションを立てる構成では、意図しない高負荷起動が止まります。

CIや常駐で無人セッションを長く回す運用

無人で走らせる経路では、これまで「止まって見える」「黙って止まる」の2種類の詰まりがありました。長いツール呼び出しは進捗が見えず固まって見え、フックのタイムアウトはユーザーの拒否として伝わってセッションが待ちに入り、背景ワーカーは接続リセットでクラッシュを繰り返し、停止したセッションはgit worktreeのロックを残していました。本版はこれらをまとめて手当てします。経過時間カウンターで生きているツール呼び出しが分かり、claude attachは切り替え中でもデーモンの落ち着きを待ってからつなぎ、コマンドがタイムアウトで自動的に背景へ回ったときのメッセージも、ハングと明示的な背景実行を区別できる形に変わりました。

サブエージェントに外部の内容を読ませる使い方

Agentツールは、サブエージェントが読んだ内容を経由する間接的なプロンプトインジェクションに対して堅牢化されました。堅牢化は特定の脆弱性の公表ではなく、外部から取り込んだ内容が指示として効いてしまう余地を狭める整えにあたります。効き目は読ませる内容によって変わるため、外部のドキュメントやWebの取得結果をサブエージェントに渡す運用ほど、境界が一段固くなる意味があります。

利用形態別の影響早見表

利用形態影響度効く理由
作業ツリー隔離でサブエージェントを並列運用影響度明確な恩恵あり効く理由隔離サブエージェントがメインのチェックアウトへgit変更を実行できた穴を修正
webhookや中継PRコメントで自動起動影響度明確な恩恵あり効く理由ultracodeが人由来でない入力で誤発火しなくなる
CI・常駐で無人セッションを長時間運用影響度明確な恩恵あり効く理由経過時間表示、attach安定化、フックのタイムアウト誤報、ワーカーのクラッシュループ、worktreeロック残留をまとめて修正
サブエージェントに外部の内容を読ませる影響度条件次第効く理由Agentツールの間接プロンプトインジェクション堅牢化は、効き目が読ませる内容による
権限ルールをWrite(path)などで記述影響度条件次第効く理由起動時警告が出て、Edit(path)/Read(path)への書き換えが要る
ローカルで短い対話を回す使い方影響度ほぼ影響なし効く理由対象が自動運用・無人・常駐に寄っている

主な変更点

本版は不具合修正が中心で、追加された機能は2件です。性質で見ると、追加された機能、自動運用と信頼境界、無人・常駐セッションの安定化、エージェント表示、ツールとレンダリングの堅牢化、プラグイン・MCP・SDK、クラウドとauto mode、その他に分けられます。効き先が読み取りにくい項目にだけ、誰に効くかを添えます。

追加された機能

  • 畳んだツール要約の行に経過時間のカウンターを追加。長く走るツール呼び出しが、止まって見えるのではなく目に見えて時間を刻む
  • Write(path)NotebookEdit(path)Glob(path)という権限ルールに起動時警告を追加。代わりにEdit(path)Read(path)を使うよう案内する

自動運用と信頼境界

  • 作業ツリー隔離(isolation: 'worktree')のサブエージェントが、自分の隔離された作業ツリーではなくメインのチェックアウトに対してgitの変更コマンドを実行できた問題を修正
  • ultracodeのキーワード起動が、webhookのペイロードや中継されたPRコメントなど人由来でない入力で発火していた問題を修正
  • Agentツールを、サブエージェントが読んだ内容を経由する間接的なプロンプトインジェクションに対して堅牢化
  • 遅れて現れる.claude/*のシンボリックリンクが、サンドボックスの書き込み拒否リストへ反映されない問題を修正

無人・常駐セッションの安定化

  • claude attachがセッションの切り替え中に「job not found」や「agent is still starting」で失敗する問題を修正。再接続はデーモンが落ち着くまで待ち、遅い再接続中の端末サイズ変更も完了後に反映される
  • フックのコールバックのタイムアウトが、モデルへユーザーの拒否として誤って伝わり、無人セッションが止まって待ちに入る問題を修正
  • 背景ワーカーが、クライアントの背景サービスへの接続リセットでクラッシュを繰り返す問題を修正
  • 停止した背景セッションがgit worktreeのロックを恒久的に残す問題を修正(持ち主のプロセスが消えたロックを定期掃除が解放する)
  • コマンドが背景へ回されたcdを、Claudeが効いたものと思い込む問題を修正。ツール結果が「作業ディレクトリは変わっていない」と示すようになった
  • Bash/PowerShellツールが、コマンドがタイムアウトして自動的に背景へ回ったときのメッセージを改善し、ハングと明示的な背景実行をモデルが区別できるように変更 — 無人でコマンドを流す運用に効きます

エージェント表示まわり

  • claude agents --effort ultracodeが、割り当てたセッションに届かず値が黙って捨てられる問題を修正
  • ←でエージェント表示を開いてセッションへ戻ったときに、タスクトラッカーが落ちる問題を修正
  • エージェントのダッシュボードが、削除済みセッションの放棄された下書きから貼り付け画像を保持し続ける問題を修正
  • CLAUDE_CODE_DISABLE_ALTERNATE_SCREEN=1で、セッションからエージェント表示へ戻ると重なったゴーストフレームが残る問題を修正
  • エージェントのフッターに、入力待ちの背景エージェントが何件あるかを表示し、件数が変わったときに色で短く強調するように改善
  • ←を押した元のセッションが、マウスやカーソル移動で選択が動いても目印を保つように改善

ツールとレンダリングの堅牢化

  • ツール結果のレンダラーが数値のbigintやプレーンテキストを返したときに、セッションが落ちる問題を修正
  • UIコンポーネントが装飾付きテキスト要素の外に内容を返したときに、描画されたテキスト片がクラッシュのテレメトリーに漏れる問題を修正
  • Claude Codeから開いた外部エディタに、貼り付けマーカーが漏れて貼り付けテキストの前後に不要なÈ/Éとして現れる問題を修正
  • Grepの内容モードが、結果の末尾を越えてページングすると「No matches found」と誤って返す問題を修正

プラグイン・MCP・SDK

  • プラグインが提供するMCPサーバーが、セッション途中のMCP再同期で片付けられてしまう問題を修正
  • プラグインのキャッシュ書き込みが、失敗時に一時ファイルを残し、Windowsやネットワークファイルシステムでのロック済みファイルの改名で失敗する問題を修正
  • initializeの制御リクエストで登録したSDKのMCPサーバーが、次のターンまで接続を始めない問題を修正
  • スキルやコマンド内の、対応する引数がない$1/$2の位置プレースホルダーが黙って取り除かれる問題を修正(そのまま原文どおり保持される)

クラウドとauto mode

  • auto modeで、権限を判定する分類器が外部セッションでは既定でSonnet 5を使い、セッションの最初のリクエストで検証してセッションに固定するように改善
  • /doctorが、明示的な有効化の要らなくなったBedrock・Vertex・Foundryで、auto modeを既定にする提案を飛ばしていた問題を修正
  • 編集のないプラン承認が「(edited by user)」と表示され、古いスナップショットでプランのファイルを上書きする問題を修正

その他

  • 同梱のdatavizスキルのチャート色検証を、OKLab色空間の知覚的な色差で行い、色覚の閾値を調整
  • MEMORY.mdのインデックスを読み取り上限より大きくするメモリ書き込みが、黙って切り詰めるのではなく明示的なエラーを出すように変更
  • スクリーンリーダーモードが、Shift+Tabでモードを切り替えたときに権限モードの変更を読み上げるように改善
  • サーバー側の不具合を修正する間、Fableがアドバイザーの選択肢で一時的に「利用不可」と表示される

更新はclaude updateで取得できます。

claude update
claude --version

作業ツリー隔離の穴が塞がり、無人運用の信頼境界が締まる

本版でいちばん芯にあるのは、人が画面の前にいない経路の信頼境界を、書き方や入力元の違いによらず締め直したことです。境界がすり抜ける穴を、3か所まとめて塞ぎました。自動運用が広がるほど、確認を挟めない経路で「隔離したはずのものが外へ届く」「外から来た文字列が指示として効く」といったずれが影響を大きくします。

とりわけ重いのが、作業ツリー隔離の穴です。隔離の狙いは、サブエージェントを自分専用の作業ツリーに閉じ込めて、メインのチェックアウトを触らせないことにあります。ところが従来は、隔離下のサブエージェントがメインのチェックアウトへgitの変更コマンドを実行できていました。閉じ込めたはずの権限が、リポジトリの本体側へ漏れていた形です。本版でこの経路が塞がれ、隔離の約束が実挙動に追いつきました。

残る2つは、外から来る入力の扱いです。ultracodeの起動語がwebhookのペイロードや中継されたPRコメントで誤発火していたのは、人の指示でない文字列が起動語として効いていたということです。本版では人由来でない入力では発火しなくなります。Agentツールの間接プロンプトインジェクションへの堅牢化も、サブエージェントが読み込んだ内容が指示として効いてしまう余地を狭めるもので、狙う向きは同じです。3つに共通するのは、境界のこちら側で組み立てた前提が、外側の入力や隔離の外へ滑り出す経路を止めた点です。

穴の場所これまでの挙動本版での扱い
作業ツリー隔離のサブエージェントこれまでの挙動メインのチェックアウトへgit変更を実行できた本版での扱い隔離先の外へ変更が漏れないように修正
ultracodeの起動語これまでの挙動webhookや中継PRコメントで誤発火本版での扱い人由来でない入力では発火しない
Agentツールが読む外部の内容これまでの挙動読んだ内容が指示として効く余地本版での扱い間接プロンプトインジェクションに対して堅牢化

この整えは、直前のv2.1.209claude agentsのバックグラウンドセッションで/modelなどのダイアログが開けなくなっていた過剰なガードを差し戻した版だったのに対し、今度は緩めるのではなく境界を締める方向の変更が中心です。緩める版と締める版が近い番号で交互に現れるのは、自動運用の範囲が動くなかで「どこまで通し、どこで止めるか」を細かく合わせている動きと読めます。

自動運用の信頼境界はv2.1.207から本版までどう締まってきたか

本版の信頼境界まわりの変更は単発ではなく、数版にわたって「自動で走らせる前提のもとで、境界を段階的に締める」流れの続きにあります。auto modeや背景エージェント、隔離が広がるほど、確認を挟めない経路での線引きが問われます。時系列で並べると、締め直しの積み上がりが見えてきます。

バージョン自動運用の信頼境界まわりの変化
v2.1.207自動運用の信頼境界まわりの変化非対話実行で同意ダイアログなしに「同意済み」と恒久記録する問題を修正、プラグインのshell形式で${user_config.*}を拒否
v2.1.208自動運用の信頼境界まわりの変化破壊的な削除コマンドのガードを、$(…)やバッククォートなどサブシェル経由の書き方にも拡張
v2.1.209自動運用の信頼境界まわりの変化claude agentsのバックグラウンドで/modelなどが開けなくなっていた過剰なガードを差し戻し
v2.1.210自動運用の信頼境界まわりの変化作業ツリー隔離のgit変更漏れ、ultracodeの非人間由来入力での誤発火、Agentツールの間接プロンプトインジェクションを修正・堅牢化

v2.1.207では、人が画面を見られない非対話実行で、同意ダイアログを経ずに管理設定を「同意済み」と恒久記録していた問題が直りました。続くv2.1.208では、破壊的な削除コマンドのガードが、削除対象をサブシェルで組み立てる書き方にも及ぶようになり、書き方の違いで確認をすり抜ける余地が塞がれています。v2.1.209はいったん過剰なガードを差し戻す方向に振れ、本版でふたたび締める側へ戻りました。締める動きと緩める動きが交互に出るのは、自動運用の範囲が動くなかで境界を実挙動に合わせ続けている表れです。単発の対話利用では表に出にくい領域ですが、CIやクラウド経由でエージェントを常用するなら、この一連の版で境界の線引きが段階的に定まってきました。

まとめ

本版は、自動運用の信頼境界を締め直しつつ、無人・常駐セッションが止まって見える・黙って止まる問題を広く直した、修正中心の版です。作業ツリー隔離でサブエージェントを並列に走らせている場合、webhookや中継PRコメントをトリガーに自動起動している場合、CIや常駐で無人セッションを長く回している場合は、更新する価値が見込めます。とくに隔離下のサブエージェントがメインのチェックアウトへgit変更を及ぼせていた穴と、ultracodeの誤発火は、人が張り付かない経路ほど効いてきます。

権限ルールをWrite(path)NotebookEdit(path)Glob(path)で書いていた場合は、起動時の警告にあわせてEdit(path)Read(path)への書き換えを見直す場面があります。サブエージェントに外部の内容を読ませる運用では、Agentツールの堅牢化で境界が一段固くなります。一方、ローカルで短い対話が中心なら、体感の変化はほとんどありません。新機能の追加は2件で、本版が現時点の最新です。更新はclaude updateで取得でき、自分の利用形態が上の早見表のどこに当たるかを確認したうえで、更新の要否を判断する形になります。

関連ガイド

Claude Code全体の中での本バージョンの位置づけはClaude Code完全ガイドで確認でき、2026年7月のアップデート全体の流れは月次アップデートまとめでたどれます。

この記事を共有:XはてブLinkedIn