Claude Media
Claude Code v2.1.214 — 権限バイパスを複数修正し、Windowsと背景セッションも安定化

Claude Code v2.1.214 — 権限バイパスを複数修正し、Windowsと背景セッションも安定化

Claude Code v2.1.214は、自律実行や自動承認のときに意図しない書き込みや実行を招いていた権限チェックのすり抜けをまとめて塞ぎ、Windowsと背景セッションの弱点も広く直した版です。

Claude Code v2.1.214は、自律実行や自動承認のときに意図しない書き込みや実行を招いていた権限チェックのすり抜けを、冒頭でまとめて塞いだ版です。芯にあるのは、確認を挟めない経路で本来なら止まるはずの操作が自動で通っていた穴を、一度に埋めたこと。単一セグメントの Edit(src/**) のような許可ルールがツリー内のどこの src/ にも効いていた挙動、Windows PowerShell 5.1でのバイパス、Bashの権限判定がすり抜ける書き方が、いくつもまとめて直りました。あわせて、Windowsでの実用性を底上げする修正や、背景セッションが消せない・残り続ける・隣を巻き添えにするといった不具合も対象です。虐待的な相手や脱獄(jailbreak)の試みに対してClaudeが会話を終了できるEndConversationツールも加わりました。直前のv2.1.212(v2.1.213は欠番)が自律実行そのものに上限をかけた版だったのに対し、本版は自動承認が何を通すかの線引きを締め直す側に寄っています。この記事では、利用形態別の影響早見表と、権限まわりのハードニングをv2.1.210から本版まで並べたタイムラインで、更新の判断材料を示します。

このリリースで何ができるようになるか

この版で押さえたい変化は、自動承認のすり抜けが塞がったこと、Windowsでの実行が詰まりにくくなったこと、そして背景セッションを消したり残さず畳んだりできるようになったことの3点です。新しく加わったのはEndConversationツールなどの数件で、版の重心は確認を挟めない経路の穴を埋める修正のほうにあります。

1つ目は、自動承認の線引きです。これまで単一セグメントの Edit(src/**) のような許可ルールは、作業ディレクトリ直下の src/ だけでなく、ツリーのどこにある src/ への書き込みも自動で承認していました。本版からは <cwd>/src だけに一致し、深さを問わず一致させたいときは **/src/** と書きます。あわせて、Windows PowerShell 5.1でのバイパス、Bashの権限判定がファイルディスクリプタのリダイレクト形式で判定を取りこぼしていた問題、10,000文字を超えるコマンドが自動実行されていた問題、zshの [[ ]] 内の変数添字を無害な文字として素通ししていた問題が直りました。危ない書き方を1つずつ塞ぐのではなく、自動で通していた側の判定を安全側へ倒す修正がまとまっています。

2つ目は、Windowsでの実行です。PowerShellツールで子プロセスが標準入力を待つとタイムアウトまで固まる問題、非UTF-8の入力でPythonスクリプトが UnicodeDecodeError で落ちる問題、>>> がほかのツールで読めないUTF-16LEのファイルを書き出す問題などが直りました。企業プロキシの背後でストリーミングが「Socket is closed」で失敗する経路も塞がれています。

3つ目は、背景セッションの後始末です。停止した背景セッションが claude rm やエージェント表示から消せない問題、/background で退避したまま放置したセッションがデーモンとワーカーを永久に生かし続ける問題、後任のデーモンが先任の制御ソケットを消してしまい健全なデーモンを巻き添えにする問題が直りました。EndConversationツールは、claude.aiで2025年から使われてきた仕組みで、虐待的な相手やjailbreakの試みに対してClaudeがセッションを終了できるようにします。

あなたの開発フローはどう変わるか

本版の効き方は利用形態でかなり分かれます。CIやマルチエージェントで自律的に走らせる現場、WindowsやPowerShellで動かす環境、背景セッションを多用する使い方では手応えが大きく、docker/podmanを扱う運用や可観測性のためにテレメトリを流す構成では設定しだい、ローカルで短い対話を回すだけならほとんど変化を感じません。

CI・マルチエージェントで自律的に走らせる運用

自動承認の線引きが締まったことは、この使い方にいちばん効きます。人が画面を見ていない経路では、許可ルールが広く効きすぎたり、Bashの判定がすり抜けたりすると、意図しない書き込みや実行がそのまま通ってしまいます。本版では、単一セグメントの許可ルールが作業ディレクトリ直下だけに絞られ、10,000文字を超えるコマンドは必ずプロンプトを出し、helpman の危険なオプションや、リモートセッションでローカルの確認前に進んでしまうプロンプトも塞がれました。確認を挟めない前提で組んだ自動化ほど、通り道の広がりすぎが減ります。

WindowsやPowerShellで動かす運用

Windows環境での詰まりが、いくつもまとめて直りました。PowerShellツールで子プロセスが標準入力を待つと固まる問題や、where.exefc.exediff.exe が正しく否定の答えを返しているのにエラー扱いされる問題は、Windowsでコマンドを流す運用に直に効きます。PowerShell 7のエラーメッセージに生のANSIエスケープが混じる問題や、企業プロキシ越しのストリーミング切断も対象です。日々の作業がWindows中心なら、体感の引っかかりが目に見えて減ります。

背景セッションを多用する運用

背景で複数のセッションを回す運用では、消せない・残る・巻き添えの3種類の不具合が重なっていました。停止済みのセッションがエージェント表示や claude rm から消せず、gitでないフォルダから起動したセッションは削除もできませんでした。退避して放置したセッションはデーモンとワーカーを生かし続け、後任のデーモンが先任の制御ソケットを消して健全なほうを落とす経路もありました。本版はこれらをまとめて手当てし、読めないフォルダがセッションストアにあると停止セッションの再開が会話を復元できない問題も直しています。

docker・podmanを扱う運用

docker コマンド(Podmanの docker シムを含む)で、--url--connection--identity やPodmanのリモートモードといったデーモンのリダイレクトフラグを付けたとき、これまで権限プロンプトなしに走っていました。本版からはプロンプトが出ます。コンテナのリモート接続先を切り替える運用では確認が1段増えるため、効き目は使い方しだいです。

可観測性のためにテレメトリを流す運用

OpenTelemetryのログイベントに、メッセージ単位で突き合わせるための message.uuidclient_request_idtool_source 属性が加わりました。ターンの非同期コンテキストの外で出るログにトレース情報が欠ける問題や、複数の累積 message_delta フレームでコストとトークンを二重に数える問題も直っています。ダッシュボードでツールの出所や相関を追う運用に効きますが、テレメトリを流していない構成には関係しません。

利用形態別の影響早見表

利用形態影響度効く理由
CI・マルチエージェントで自律実行影響度明確な恩恵あり効く理由許可ルールの範囲、長大コマンド、リモート確認のすり抜けをまとめて修正
WindowsやPowerShellで動かす影響度明確な恩恵あり効く理由標準入力での固まり、文字コード、企業プロキシ越しの切断を修正
背景セッションを多用する影響度明確な恩恵あり効く理由消せない・残る・制御ソケットの巻き添えを一括で手当て
docker・podmanを扱う影響度条件次第効く理由デーモンのリダイレクトフラグに権限プロンプトが増える
可観測性のためテレメトリを運用影響度条件次第効く理由OTel属性の追加と二重計上の修正は、流している構成にのみ効く
ローカルで短い対話を回す影響度ほぼ影響なし効く理由対象が自律実行・Windows・背景セッションに寄っている

主な変更点

本版は修正が中心で、新しく加わったのはEndConversationツール、長時間ツールの進捗ハートビート、memoryファイルの modified タイムスタンプ、subagentStatusLine への推論の努力レベルです。性質で分けると次のようになります。効き先が読み取りにくい項目にだけ、誰に効くかを添えます。

権限チェックと自動承認

  • 単一セグメントの Edit(src/**) のような許可ルールが、ツリー内のどこの src/ への書き込みも自動承認していた問題を修正(<cwd>/src だけに一致)
  • Windows PowerShell 5.1のセッションでの権限チェックのバイパスを修正
  • Bashの権限チェックを、パーサと権限アナライザで解釈が分かれるファイルディスクリプタのリダイレクト形式で、安全側に倒すよう修正
  • 10,000文字を超えるコマンドを、自動実行せず常にプロンプトを出すよう修正
  • zshの変数添字や [[ ]] 内の修飾子を無害な文字として素通ししていた問題を修正(これらは承認のプロンプトが出る)
  • 一部の helpman コマンドが、危険なオプションやコマンド置換、バックスラッシュのパスを走らせられた問題を修正
  • リモートセッションで、ローカルの確認ダイアログより先に進めてしまう権限プロンプトを修正
  • docker(Podmanの docker シムを含む)のデーモンリダイレクトフラグに権限プロンプトを追加
  • file-m/--magic-file-f/--files-from を、読み取り専用として自動許可せず権限を要求するよう変更
  • 単一セグメントの dir/** フックの if: 条件を <cwd>/dir だけに一致するよう変更。深さを問わないなら **/dir/** と書く。deny/ask は従来どおり深さを問わず一致

新しく加わった機能

  • EndConversationツールを追加。虐待的な相手やjailbreakの試みに対してClaudeがセッションを終了できる(claude.aiでは2025年から)
  • 長く走るツール呼び出しに、これまで無音だった経過を伝える定期的な進捗ハートビートを追加
  • memoryファイルのfrontmatterに、ISO形式の modified タイムスタンプを追加
  • subagentStatusLine のペイロードに推論の努力レベルを追加。カスタムのエージェント行にモデルと努力レベルを描ける

Windows・PowerShell

  • PowerShellツールのコマンドが、子プロセスの標準入力待ちでタイムアウトまで固まる問題を修正
  • PowerShellツール下のPythonスクリプトが、非UTF-8の標準入力で UnicodeDecodeError、非ASCII出力で UnicodeEncodeError で落ちる問題を修正
  • PowerShell 7のエラーメッセージに生のANSIエスケープが混じる問題を修正
  • where.exefc.exediff.exe が正しい否定の答えを返してもエラーと報告される問題を修正
  • Windows PowerShell 5.1で >>> が、ほかのツールでUTF-8として読めないUTF-16LEのファイルを書く問題を修正
  • 企業プロキシの背後で、ストリーミングのターンが「Socket is closed」で失敗する問題を修正 — 企業ネットワークでWindowsを使う運用に効きます

背景セッション・デーモン

  • 退避した背景デーモンが、停止時に後任の制御ソケットを消し、次のクライアントが健全な後任を落としていた問題を修正
  • /background で退避し放置した背景セッションが、デーモンとワーカーを永久に生かし続ける問題を修正
  • 背景サービスがアイドルになった後、停止済みの背景セッションを claude rm やエージェント表示から消せない問題を修正
  • gitでないフォルダから起動した背景セッションを、エージェント表示から消せない問題を修正
  • 読めないフォルダがセッションストアにあると、停止した背景セッションの再開が保存済みの会話を復元できない問題を修正

OpenTelemetry・テレメトリ

  • OpenTelemetryのログイベントに message.uuidclient_request_idtool_source 属性を追加し、メッセージ単位の相関とツールの出所を追えるようにした
  • OpenTelemetryのコンテンツ属性の60KB切り詰め上限を設定する CLAUDE_CODE_OTEL_CONTENT_MAX_LENGTH を追加
  • ターンの非同期コンテキストの外で出るOTelログに、対話スパンのトレース情報が欠ける問題を修正
  • 複数の累積 message_delta フレームを出すストリームで、セッションのコストとトークンを二重に数える問題を修正

その他の修正

  • スケジュール実行のタスクが、自分の設定したプロンプトを信頼できない入力として拒む問題を修正。発火したプロンプトはセッションに割り当てられたタスクとして届く
  • --settings のCLIフラグで有効にしたプラグインが読み込まれない問題を修正(v2.1.181からの退行)
  • 長時間セッションでOAuthトークンのローテーション後に、フィーチャーフラグが古くなる問題を修正
  • --settings がデバイスファイルや数GBのファイルを指すときのメモリ増大を修正(2MiB超の設定ファイルは起動時に明確なエラーで止まる)
  • pkill -f のパターンがCLI自身のプロセスに偶然一致し、BashツールがClaudeのセッションを落とす問題を修正(Linux)
  • /ultrareview がマージベースのないリポジトリで動かない問題を修正。追跡中の全ファイルをレビューする選択肢を出す
  • シェル設定のパスがディレクトリのとき、claude updateclaude doctor が黙ってハングし、/status の診断が空欄になる問題を修正
  • exitコード2のフックが、stdoutのJSONがスキーマ検証に落ちるとドキュメントどおりに阻止できない問題を修正
  • MCPの一時的なエラーが、プロンプトやリソースの更新中にサーバーのスラッシュコマンドとリソースを消してしまう問題を修正
  • セッションがforkとして始まったとき、SessionStartフックが "resume" ではなく "fork" を報告するよう変更

更新は claude update で取得できます。

claude update
claude --version

権限チェックのバイパス修正は、v2.1.210以降の自動承認ハードニングを一段進める動き

本版の権限まわりの修正は、単発の思いつきではなく、自動で走らせる前提のもとで確認の境界を締めてきた流れの続きにあります。これまでの数版は、危ない操作を止めたり、隔離の穴を塞いだり、承認の見た目を守ったりしてきました。本版はそこに、自動で通していた判定そのものを見直すという軸を足しています。単一セグメントの許可ルールが広く効きすぎる、長すぎるコマンドが素通りする、リモートの確認が順番を飛ばす。こうした穴は、危険なコマンドを1つずつ塞ぐだけでは埋まりません。

時系列で並べると、締め直しの積み上がりが見えてきます。v2.1.210は隔離した作業ツリーの外へgit変更が漏れる穴と ultracode の誤発火を塞ぎ、v2.1.211は中継先での承認プレビューの改ざんとフックの ask の下限崩れを直しました。v2.1.212はプランモードが確認なしにファイルを書き換える問題を塞ぎつつ、WebSearchとサブエージェントの起動に上限を設けています。本版は、その承認と権限の話を「どのルールが、どこまでを自動で通すか」の判定に踏み込ませた続きにあたります。

バージョン権限・自動承認まわりの手当て
v2.1.210権限・自動承認まわりの手当て隔離作業ツリーのgit変更漏れ、ultracode の誤発火、間接プロンプトインジェクションを修正
v2.1.211権限・自動承認まわりの手当て中継先での承認プレビュー改ざんを封じ、フックの ask の下限を固定
v2.1.212権限・自動承認まわりの手当てプランモードの確認なしのファイル書き換えを修正、自律実行に上限を追加
v2.1.214権限・自動承認まわりの手当て単一セグメント許可ルールの範囲、長大コマンド、リモート確認などのバイパスを修正

危険な操作を止める版と、通り道の広がりを絞る版は、狙う向きが少し違います。前者は「この一手を通さない」ための線で、後者は「このルールで、ここまでしか通さない」ための線です。v2.1.210v2.1.211が前者に寄っていたのに対し、本版は後者を厚くしました。単発の対話利用では表に出にくい領域ですが、CIやクラウド経由でエージェントを常用するなら、この一連の版で自動承認の線引きが一段ずつ具体的になってきています。

まとめ

本版は、自律実行や自動承認のときに意図しない書き込みや実行を招いていた権限チェックのすり抜けを冒頭でまとめて塞ぎ、Windowsと背景セッションの弱点も広く直した、修正中心の版です。CIやマルチエージェントで確認を挟まずにエージェントを走らせている場合、WindowsやPowerShellで日々作業している場合、背景で複数のセッションを回している場合は、更新する価値が見込めます。とりわけ、単一セグメントの許可ルールが作業ディレクトリ直下だけに絞られた点と、10,000文字を超えるコマンドが必ずプロンプトを出すようになった点は、人が張り付かない経路ほど効いてきます。

Edit(src/**) のような単一セグメントのルールを使っている場合は、深さを問わせたいときに **/src/** と書き直す必要がある点を確認しておくと、意図した範囲でルールが効きます。docker・podmanでリモート接続先を切り替える運用では、確認が1段増えます。一方、ローカルで短い対話が中心なら、体感の変化はほとんどありません。本版が現時点の最新です。更新は claude update で取得でき、自分の使い方が上の早見表のどこに当たるかを見てから、更新の要否を判断できます。

関連ガイド

Claude Code全体の中での本バージョンの位置づけはClaude Code完全ガイドで確認でき、2026年7月のアップデート全体の流れは月次アップデートまとめでたどれます。

この記事を共有:XはてブLinkedIn