本文へスキップ
Claude Media
Claude Code v2.1.7 — ツール権限指定で複合コマンドが擦り抜ける脆弱性修正と、MCP多接続時のコンテキスト圧迫を自動回避
Claude Codeリリースノート

Claude Code v2.1.7 — ツール権限指定で複合コマンドが擦り抜ける脆弱性修正と、MCP多接続時のコンテキスト圧迫を自動回避

Claude Code v2.1.7は、ツール権限のワイルドカード指定が複合コマンドに誤って一致する脆弱性を塞ぎ、MCPツール定義の自動遅延ロードを全ユーザーで既定有効化しました。Windowsのファイル誤検知やtempパス解釈不具合、OAuth URLの切替も含みます。

読了目安 約6

⚠️ Bash(git:*) のようなワイルドカード権限を運用しているチームは、複合コマンド経由で許可ルールを擦り抜けられる脆弱性が本版で修正されています。該当する設定をお使いの場合はv2.1.7以降への更新を推奨します。

このリリースで何ができるようになるか

Claude Code v2.1.7は、ワイルドカード権限の擦り抜け経路を塞ぎつつ、MCPサーバを多数接続したときのコンテキスト圧迫を既定で回避する中粒リリースです。

  • ツール権限のワイルドカード指定が、&&; で連結した複合コマンドに誤って一致する脆弱性を修正
  • MCPツール定義の自動遅延ロードを全ユーザーで既定有効化(コンテキスト窓の10%超で MCPSearch 経由の必要時取得に切替)
  • Windowsのファイル外部変更の誤検知と、tempパスの \t / \n 解釈不具合を解消
  • OAuth / API ConsoleのURLを console.anthropic.com から platform.claude.com に切替

派手な機能追加はないものの、MCPを多数つないでいる環境Windowsネイティブ運用で体感差が出やすい変更が並びます。

あなたの開発フローはどう変わるか

Bash(*:*) などワイルドカード権限を運用しているチーム

Bash(git:*) のような許可ルールが、git status && rm -rf /tmp/x のようにシェル演算子で繋いだ複合コマンドにも一致してしまい、実質的に許可範囲を超えるコマンドが擦り抜けて実行され得る脆弱性が修正されました。v2.1.0で導入されたワイルドカード権限モデルの安全側を補強する位置付けです。本版以上への更新と合わせて、許可ルールの棚卸しを行うとよい区切りです。

MCPサーバを複数つないで運用しているチーム

これまでは起動時に全MCPツールの説明文を先頭から読み込むため、ツール定義が長いほどコンテキスト窓の冒頭を食いつぶす現象がありました。本版以降、ツール説明文の総量がコンテキスト窓の10%を超えると、自動で MCPSearch 経由の必要時取得に切替わります。

起動時の挙動従来本版以降
MCPツール定義 ≦ コンテキストの10%全定義を先頭ロード同じ(変化なし)
MCPツール定義 > コンテキストの10%全定義を先頭ロードMCPSearch 経由で必要時に展開

社内MCP・外部SaaSのMCP・ローカル開発用MCPを同時接続するエンタープライズ寄りの構成では、コンテキストの圧迫が大きく緩みます。従来の挙動に戻したい場合は settings.jsondisallowedToolsMCPSearch を追加すれば、全定義の先頭ロードに戻せます。

Windowsネイティブで利用しているチーム

Windows特有の2件が解消されます。

  • 「file modified」誤検知: OneDrive / Dropboxのクラウド同期、アンチウイルスのスキャン、Gitの操作などが内容を変えずタイムスタンプだけ更新したケースで、Claude Codeが「ファイルが外部で変更された」と誤検知してツール呼び出しを拒否していた問題
  • tempパスのエスケープ解釈不具合: \temp\note.txt のように tn を含むパスがbashコマンド層で \t(タブ) / \n(改行)として解釈されて失敗していた問題

VSCode拡張側でも、claudeProcessWrapper 設定でwrapperのパスではなくClaudeバイナリのパスが渡されていた問題が修正されています。

IdP / SSOでURLホワイトリストを管理しているチーム

OAuth / API ConsoleのURLが console.anthropic.com から platform.claude.com に切り替わりました。既存セッションには基本的に透過的ですが、IdP側でリダイレクトURLやCookieドメインをホワイトリスト管理している場合は、platform.claude.com の許可を事前に確認しておくと安心です。

配信 / 録画用途でClaude Codeを見せる場合

showTurnDuration 設定で「Cooked for 1m 6s」のようなターン実行時間メッセージを非表示にできるようになりました。チーム録画や配信で見栄えを整えたい場合に有効です。

主な変更点

追加機能

  • showTurnDuration 設定: ターン実行時間メッセージを非表示にする選択肢
  • 権限プロンプトのフィードバック送信: 承認と同時に短いフィードバックを付けて送れる導線
  • タスク通知のインライン応答表示: エージェントの最終応答が通知に表示され、transcriptを開かなくても輪郭が掴める

セキュリティ

  • ワイルドカード権限ルールがシェル演算子入り複合コマンドに誤って一致する問題 を修正

設定変更

  • MCPツール検索の自動モード: 全ユーザーで既定有効化(コンテキスト窓10%超で自動遅延ロード)
  • OAuth / API Console URL: console.anthropic.com から platform.claude.com へ移行

バグ修正

領域修正内容
Windowsクラウド同期 / アンチウイルス / Gitのタイムスタンプ更新で「file modified」誤検知
Windowstempパス内の t / n がエスケープ文字として解釈される不具合
ストリーミングsiblingツール失敗時に残留 tool_result が出る問題
コンテキストブロック閾値計算がeffective contextではなくfullを参照していた問題
UI/model / /theme 実行時のスピナー一瞬点滅
UIターミナルタイトルのbrailleアニメーションのジッタ(固定幅文字で安定化)
プラグインgit submodule付きプラグインが完全初期化されない問題
VSCode拡張claudeProcessWrapper 設定でwrapperパスではなくClaudeバイナリパスが渡される問題

改善

  • ターミナル描画の応答性: メモリ確保のオーバーヘッドを削減してタイピング追従性を向上

MCP既定遅延ロードが示す方向性

本版でMCPツール検索の自動モードが既定に昇格したのは、単なる最適化以上の意味があります。

  • 「MCPは繋ぐほどコンテキストを食う」前提が運営側で共有された: 繋げば繋ぐほど応答品質が落ちる現象を、既定挙動で防ぎにいく形に変わりました
  • MCPツールが「定数」から「可変リソース」へ: 起動時に全部載せるのではなく、必要なときに取り出すリソースとして扱う設計
  • MCPSearch という内部ツールが標準化: Claude自身が必要に応じてツール定義を探しに行く2段階の意思決定が前提化
  • オプトアウト経路は維持: 既存ワークフローへの配慮として disallowedTools で従来挙動に戻せる

ただし、開発中のMCPサーバやtool数が少ないシンプルなサーバを使うケースでは、10%閾値に届かず従来どおりの挙動が続きます。本版の体感差はMCPを業務で常用しているかどうかで大きく分かれます。

前後版との位置付け

主な変更の傾向
v2.1.0Skill / Hooks / 権限モデルの再編(109項目)。ワイルドカード権限もここ発
v2.1.6シェル継続行バイパス修正、ネストSkill自動検出など25項目
v2.1.7(本版)ワイルドカード権限の安全側補強、MCP既定遅延ロード、Windows修正など15項目
v2.1.14以降bashモード強化、プラグインのSHAピン留めなど日常運用の微調整

v2.1.0で広げた面の歪みを順次拾いに来る流れの真ん中に位置するパッチです。

まとめ

  • ワイルドカード権限を運用するチーム: 複合コマンド擦り抜け経路が塞がります(冒頭の注意書き参照)
  • MCPを多数接続しているチーム: 自動遅延ロードでコンテキストの食いつぶしが緩和されます
  • Windowsネイティブ運用: file modified誤検知 + tempパス解釈不具合の解消で体感が変わります
  • IdP / SSOホワイトリスト管理: platform.claude.com の許可確認を
  • 配信 / 録画でClaude Codeを見せる場合: showTurnDuration で表示を整えられます

派手さはありませんが、運用面に効く変更が複数同時に入った地固め版です。

この記事を共有:XLinkedIn

関連する記事

Claude Code をもっと見る →