Claude Code 2.1.210/211、サブエージェント分離と承認表示の安全性を強化

2026.07.16 セキュリティ Anthropic

Anthropicは、Claude Code 2.1.210と2.1.211を公開した。worktreeに分離したサブエージェントが、隔離先ではなく本体の作業ツリーに対してGitの変更操作を実行できる不具合を修正したほか、自動実行時の承認判断と許可画面の安全性を高めた。worktreeは、同じリポジトリから独立した作業用ディレクトリを作るGitの仕組みだ。

2.1.210では、サブエージェントが読み込んだ内容を通じた間接的なプロンプトインジェクションへの対策や、後から現れた.claude配下のシンボリックリンクをサンドボックスの書き込み禁止対象に反映する修正も入った。2.1.211では、双方向文字やゼロ幅文字などで承認メッセージの見た目を変えられないようにし、PreToolUseフックがaskを返した場合はauto modeでも確認を省略しないようにした。

2.1.211には、--forward-subagent-textフラグまたはCLAUDE_CODE_FORWARD_SUBAGENT_TEXT環境変数を使い、サブエージェントのテキストと推論をstream-json出力へ含める機能も追加された。並列実行するエージェントと本体の作業領域、そして自動実行と人の承認の境界を守る修正がまとまった更新となる。