Claude Code v2.1.214 — 権限バイパスを複数修正し、Windowsと背景セッションも安定化
Claude Code v2.1.214は、自律実行や自動承認のときに意図しない書き込みや実行を招いていた権限チェックのすり抜けをまとめて塞ぎ、Windowsと背景セッションの弱点も広く直した版です。
Claude Code v2.1.214は、自律実行や自動承認のときに意図しない書き込みや実行を招いていた権限チェックのすり抜けを、冒頭でまとめて塞いだ版です。芯にあるのは、確認を挟めない経路で本来なら止まるはずの操作が自動で通っていた穴を、一度に埋めたこと。単一セグメントの Edit(src/**) のような許可ルールがツリー内のどこの src/ にも効いていた挙動、Windows PowerShell 5.1でのバイパス、Bashの権限判定がすり抜ける書き方が、いくつもまとめて直りました。あわせて、Windowsでの実用性を底上げする修正や、背景セッションが消せない・残り続ける・隣を巻き添えにするといった不具合も対象です。虐待的な相手や脱獄(jailbreak)の試みに対してClaudeが会話を終了できるEndConversationツールも加わりました。直前のv2.1.212(v2.1.213は欠番)が自律実行そのものに上限をかけた版だったのに対し、本版は自動承認が何を通すかの線引きを締め直す側に寄っています。この記事では、利用形態別の影響早見表と、権限まわりのハードニングをv2.1.210から本版まで並べたタイムラインで、更新の判断材料を示します。
このリリースで何ができるようになるか
この版で押さえたい変化は、自動承認のすり抜けが塞がったこと、Windowsでの実行が詰まりにくくなったこと、そして背景セッションを消したり残さず畳んだりできるようになったことの3点です。新しく加わったのはEndConversationツールなどの数件で、版の重心は確認を挟めない経路の穴を埋める修正のほうにあります。
1つ目は、自動承認の線引きです。これまで単一セグメントの Edit(src/**) のような許可ルールは、作業ディレクトリ直下の src/ だけでなく、ツリーのどこにある src/ への書き込みも自動で承認していました。本版からは <cwd>/src だけに一致し、深さを問わず一致させたいときは **/src/** と書きます。あわせて、Windows PowerShell 5.1でのバイパス、Bashの権限判定がファイルディスクリプタのリダイレクト形式で判定を取りこぼしていた問題、10,000文字を超えるコマンドが自動実行されていた問題、zshの [[ ]] 内の変数添字を無害な文字として素通ししていた問題が直りました。危ない書き方を1つずつ塞ぐのではなく、自動で通していた側の判定を安全側へ倒す修正がまとまっています。
2つ目は、Windowsでの実行です。PowerShellツールで子プロセスが標準入力を待つとタイムアウトまで固まる問題、非UTF-8の入力でPythonスクリプトが UnicodeDecodeError で落ちる問題、> や >> がほかのツールで読めないUTF-16LEのファイルを書き出す問題などが直りました。企業プロキシの背後でストリーミングが「Socket is closed」で失敗する経路も塞がれています。
3つ目は、背景セッションの後始末です。停止した背景セッションが claude rm やエージェント表示から消せない問題、← や /background で退避したまま放置したセッションがデーモンとワーカーを永久に生かし続ける問題、後任のデーモンが先任の制御ソケットを消してしまい健全なデーモンを巻き添えにする問題が直りました。EndConversationツールは、claude.aiで2025年から使われてきた仕組みで、虐待的な相手やjailbreakの試みに対してClaudeがセッションを終了できるようにします。
あなたの開発フローはどう変わるか
本版の効き方は利用形態でかなり分かれます。CIやマルチエージェントで自律的に走らせる現場、WindowsやPowerShellで動かす環境、背景セッションを多用する使い方では手応えが大きく、docker/podmanを扱う運用や可観測性のためにテレメトリを流す構成では設定しだい、ローカルで短い対話を回すだけならほとんど変化を感じません。
CI・マルチエージェントで自律的に走らせる運用
自動承認の線引きが締まったことは、この使い方にいちばん効きます。人が画面を見ていない経路では、許可ルールが広く効きすぎたり、Bashの判定がすり抜けたりすると、意図しない書き込みや実行がそのまま通ってしまいます。本版では、単一セグメントの許可ルールが作業ディレクトリ直下だけに絞られ、10,000文字を超えるコマンドは必ずプロンプトを出し、help や man の危険なオプションや、リモートセッションでローカルの確認前に進んでしまうプロンプトも塞がれました。確認を挟めない前提で組んだ自動化ほど、通り道の広がりすぎが減ります。
WindowsやPowerShellで動かす運用
Windows環境での詰まりが、いくつもまとめて直りました。PowerShellツールで子プロセスが標準入力を待つと固まる問題や、where.exe・fc.exe・diff.exe が正しく否定の答えを返しているのにエラー扱いされる問題は、Windowsでコマンドを流す運用に直に効きます。PowerShell 7のエラーメッセージに生のANSIエスケープが混じる問題や、企業プロキシ越しのストリーミング切断も対象です。日々の作業がWindows中心なら、体感の引っかかりが目に見えて減ります。
背景セッションを多用する運用
背景で複数のセッションを回す運用では、消せない・残る・巻き添えの3種類の不具合が重なっていました。停止済みのセッションがエージェント表示や claude rm から消せず、gitでないフォルダから起動したセッションは削除もできませんでした。退避して放置したセッションはデーモンとワーカーを生かし続け、後任のデーモンが先任の制御ソケットを消して健全なほうを落とす経路もありました。本版はこれらをまとめて手当てし、読めないフォルダがセッションストアにあると停止セッションの再開が会話を復元できない問題も直しています。
docker・podmanを扱う運用
docker コマンド(Podmanの docker シムを含む)で、--url・--connection・--identity やPodmanのリモートモードといったデーモンのリダイレクトフラグを付けたとき、これまで権限プロンプトなしに走っていました。本版からはプロンプトが出ます。コンテナのリモート接続先を切り替える運用では確認が1段増えるため、効き目は使い方しだいです。
可観測性のためにテレメトリを流す運用
OpenTelemetryのログイベントに、メッセージ単位で突き合わせるための message.uuid・client_request_id・tool_source 属性が加わりました。ターンの非同期コンテキストの外で出るログにトレース情報が欠ける問題や、複数の累積 message_delta フレームでコストとトークンを二重に数える問題も直っています。ダッシュボードでツールの出所や相関を追う運用に効きますが、テレメトリを流していない構成には関係しません。
利用形態別の影響早見表
| 利用形態 | 影響度 | 効く理由 |
|---|---|---|
| CI・マルチエージェントで自律実行 | 影響度明確な恩恵あり | 効く理由許可ルールの範囲、長大コマンド、リモート確認のすり抜けをまとめて修正 |
| WindowsやPowerShellで動かす | 影響度明確な恩恵あり | 効く理由標準入力での固まり、文字コード、企業プロキシ越しの切断を修正 |
| 背景セッションを多用する | 影響度明確な恩恵あり | 効く理由消せない・残る・制御ソケットの巻き添えを一括で手当て |
| docker・podmanを扱う | 影響度条件次第 | 効く理由デーモンのリダイレクトフラグに権限プロンプトが増える |
| 可観測性のためテレメトリを運用 | 影響度条件次第 | 効く理由OTel属性の追加と二重計上の修正は、流している構成にのみ効く |
| ローカルで短い対話を回す | 影響度ほぼ影響なし | 効く理由対象が自律実行・Windows・背景セッションに寄っている |
主な変更点
本版は修正が中心で、新しく加わったのはEndConversationツール、長時間ツールの進捗ハートビート、memoryファイルの modified タイムスタンプ、subagentStatusLine への推論の努力レベルです。性質で分けると次のようになります。効き先が読み取りにくい項目にだけ、誰に効くかを添えます。
権限チェックと自動承認
- 単一セグメントの
Edit(src/**)のような許可ルールが、ツリー内のどこのsrc/への書き込みも自動承認していた問題を修正(<cwd>/srcだけに一致) - Windows PowerShell 5.1のセッションでの権限チェックのバイパスを修正
- Bashの権限チェックを、パーサと権限アナライザで解釈が分かれるファイルディスクリプタのリダイレクト形式で、安全側に倒すよう修正
- 10,000文字を超えるコマンドを、自動実行せず常にプロンプトを出すよう修正
- zshの変数添字や
[[ ]]内の修飾子を無害な文字として素通ししていた問題を修正(これらは承認のプロンプトが出る) - 一部の
help・manコマンドが、危険なオプションやコマンド置換、バックスラッシュのパスを走らせられた問題を修正 - リモートセッションで、ローカルの確認ダイアログより先に進めてしまう権限プロンプトを修正
docker(Podmanのdockerシムを含む)のデーモンリダイレクトフラグに権限プロンプトを追加fileの-m/--magic-fileや-f/--files-fromを、読み取り専用として自動許可せず権限を要求するよう変更- 単一セグメントの
dir/**フックのif:条件を<cwd>/dirだけに一致するよう変更。深さを問わないなら**/dir/**と書く。deny/askは従来どおり深さを問わず一致
新しく加わった機能
- EndConversationツールを追加。虐待的な相手やjailbreakの試みに対してClaudeがセッションを終了できる(claude.aiでは2025年から)
- 長く走るツール呼び出しに、これまで無音だった経過を伝える定期的な進捗ハートビートを追加
- memoryファイルのfrontmatterに、ISO形式の
modifiedタイムスタンプを追加 subagentStatusLineのペイロードに推論の努力レベルを追加。カスタムのエージェント行にモデルと努力レベルを描ける
Windows・PowerShell
- PowerShellツールのコマンドが、子プロセスの標準入力待ちでタイムアウトまで固まる問題を修正
- PowerShellツール下のPythonスクリプトが、非UTF-8の標準入力で
UnicodeDecodeError、非ASCII出力でUnicodeEncodeErrorで落ちる問題を修正 - PowerShell 7のエラーメッセージに生のANSIエスケープが混じる問題を修正
where.exe・fc.exe・diff.exeが正しい否定の答えを返してもエラーと報告される問題を修正- Windows PowerShell 5.1で
>・>>が、ほかのツールでUTF-8として読めないUTF-16LEのファイルを書く問題を修正 - 企業プロキシの背後で、ストリーミングのターンが「Socket is closed」で失敗する問題を修正 — 企業ネットワークでWindowsを使う運用に効きます
背景セッション・デーモン
- 退避した背景デーモンが、停止時に後任の制御ソケットを消し、次のクライアントが健全な後任を落としていた問題を修正
←や/backgroundで退避し放置した背景セッションが、デーモンとワーカーを永久に生かし続ける問題を修正- 背景サービスがアイドルになった後、停止済みの背景セッションを
claude rmやエージェント表示から消せない問題を修正 - gitでないフォルダから起動した背景セッションを、エージェント表示から消せない問題を修正
- 読めないフォルダがセッションストアにあると、停止した背景セッションの再開が保存済みの会話を復元できない問題を修正
OpenTelemetry・テレメトリ
- OpenTelemetryのログイベントに
message.uuid・client_request_id・tool_source属性を追加し、メッセージ単位の相関とツールの出所を追えるようにした - OpenTelemetryのコンテンツ属性の60KB切り詰め上限を設定する
CLAUDE_CODE_OTEL_CONTENT_MAX_LENGTHを追加 - ターンの非同期コンテキストの外で出るOTelログに、対話スパンのトレース情報が欠ける問題を修正
- 複数の累積
message_deltaフレームを出すストリームで、セッションのコストとトークンを二重に数える問題を修正
その他の修正
- スケジュール実行のタスクが、自分の設定したプロンプトを信頼できない入力として拒む問題を修正。発火したプロンプトはセッションに割り当てられたタスクとして届く
--settingsのCLIフラグで有効にしたプラグインが読み込まれない問題を修正(v2.1.181からの退行)- 長時間セッションでOAuthトークンのローテーション後に、フィーチャーフラグが古くなる問題を修正
--settingsがデバイスファイルや数GBのファイルを指すときのメモリ増大を修正(2MiB超の設定ファイルは起動時に明確なエラーで止まる)pkill -fのパターンがCLI自身のプロセスに偶然一致し、BashツールがClaudeのセッションを落とす問題を修正(Linux)/ultrareviewがマージベースのないリポジトリで動かない問題を修正。追跡中の全ファイルをレビューする選択肢を出す- シェル設定のパスがディレクトリのとき、
claude update・claude doctorが黙ってハングし、/statusの診断が空欄になる問題を修正 - exitコード2のフックが、stdoutのJSONがスキーマ検証に落ちるとドキュメントどおりに阻止できない問題を修正
- MCPの一時的なエラーが、プロンプトやリソースの更新中にサーバーのスラッシュコマンドとリソースを消してしまう問題を修正
- セッションがforkとして始まったとき、SessionStartフックが
"resume"ではなく"fork"を報告するよう変更
更新は claude update で取得できます。
claude update
claude --version権限チェックのバイパス修正は、v2.1.210以降の自動承認ハードニングを一段進める動き
本版の権限まわりの修正は、単発の思いつきではなく、自動で走らせる前提のもとで確認の境界を締めてきた流れの続きにあります。これまでの数版は、危ない操作を止めたり、隔離の穴を塞いだり、承認の見た目を守ったりしてきました。本版はそこに、自動で通していた判定そのものを見直すという軸を足しています。単一セグメントの許可ルールが広く効きすぎる、長すぎるコマンドが素通りする、リモートの確認が順番を飛ばす。こうした穴は、危険なコマンドを1つずつ塞ぐだけでは埋まりません。
時系列で並べると、締め直しの積み上がりが見えてきます。v2.1.210は隔離した作業ツリーの外へgit変更が漏れる穴と ultracode の誤発火を塞ぎ、v2.1.211は中継先での承認プレビューの改ざんとフックの ask の下限崩れを直しました。v2.1.212はプランモードが確認なしにファイルを書き換える問題を塞ぎつつ、WebSearchとサブエージェントの起動に上限を設けています。本版は、その承認と権限の話を「どのルールが、どこまでを自動で通すか」の判定に踏み込ませた続きにあたります。
| バージョン | 権限・自動承認まわりの手当て |
|---|---|
| v2.1.210 | 権限・自動承認まわりの手当て隔離作業ツリーのgit変更漏れ、ultracode の誤発火、間接プロンプトインジェクションを修正 |
| v2.1.211 | 権限・自動承認まわりの手当て中継先での承認プレビュー改ざんを封じ、フックの ask の下限を固定 |
| v2.1.212 | 権限・自動承認まわりの手当てプランモードの確認なしのファイル書き換えを修正、自律実行に上限を追加 |
| v2.1.214 | 権限・自動承認まわりの手当て単一セグメント許可ルールの範囲、長大コマンド、リモート確認などのバイパスを修正 |
危険な操作を止める版と、通り道の広がりを絞る版は、狙う向きが少し違います。前者は「この一手を通さない」ための線で、後者は「このルールで、ここまでしか通さない」ための線です。v2.1.210とv2.1.211が前者に寄っていたのに対し、本版は後者を厚くしました。単発の対話利用では表に出にくい領域ですが、CIやクラウド経由でエージェントを常用するなら、この一連の版で自動承認の線引きが一段ずつ具体的になってきています。
まとめ
本版は、自律実行や自動承認のときに意図しない書き込みや実行を招いていた権限チェックのすり抜けを冒頭でまとめて塞ぎ、Windowsと背景セッションの弱点も広く直した、修正中心の版です。CIやマルチエージェントで確認を挟まずにエージェントを走らせている場合、WindowsやPowerShellで日々作業している場合、背景で複数のセッションを回している場合は、更新する価値が見込めます。とりわけ、単一セグメントの許可ルールが作業ディレクトリ直下だけに絞られた点と、10,000文字を超えるコマンドが必ずプロンプトを出すようになった点は、人が張り付かない経路ほど効いてきます。
Edit(src/**) のような単一セグメントのルールを使っている場合は、深さを問わせたいときに **/src/** と書き直す必要がある点を確認しておくと、意図した範囲でルールが効きます。docker・podmanでリモート接続先を切り替える運用では、確認が1段増えます。一方、ローカルで短い対話が中心なら、体感の変化はほとんどありません。本版が現時点の最新です。更新は claude update で取得でき、自分の使い方が上の早見表のどこに当たるかを見てから、更新の要否を判断できます。
関連ガイド
Claude Code全体の中での本バージョンの位置づけはClaude Code完全ガイドで確認でき、2026年7月のアップデート全体の流れは月次アップデートまとめでたどれます。
関連する記事
Claude Code をもっと見る →Claude Codeとは — Anthropicのエージェント型AIコーディングCLI完全ガイド
Claude Code v2.1.211 — ゲートウェイの課金ずれを修正し、承認とエージェント可視化を強化
Claude Code v2.1.209 — claude agentsで/modelなどが開けない不具合を修正
Claude Code v2.1.149 — /usageに消費内訳を追加、PowerShellの権限バイパスを修正
Claude Code v2.1.111 — Opus 4.7 xhigh・Auto mode・/ultrareview
Claude Code v2.1.212 — 検索とサブエージェントの暴走に上限、会話を別セッションに複製