AI・テクノロジー

Claude Code 2026年4月のセキュリティ修正とパフォーマンス改善——開発者が知っておくべき重要な変更点

anchang info 約1分で読めます
# Claude Code # セキュリティ # パフォーマンス # アップデート # 2026

2026年4月の第2週、Claude Codeはv2.1.97からv2.1.101まで連続リリースを行い、複数の重要なセキュリティ修正パフォーマンス改善が含まれました。本記事では、開発者が知っておくべき重要な変更点を解説します。

セキュリティ修正

Bashツールの権限バイパス修正(v2.1.98)

最も重要な修正は、Bashツールに関する複数の権限バイパス脆弱性の対処です。

修正された問題:

  • バックスラッシュエスケープによるバイパス: フラグをバックスラッシュでエスケープすると、読み取り専用として自動許可されてしまう脆弱性
  • 複合コマンドのバイパス: 複合Bashコマンドが強制的な権限プロンプトをバイパスする問題
  • 環境変数プリフィックスの問題: env変数プリフィックス付きの読み取り専用コマンドが権限確認されない問題
  • ネットワークリダイレクトの問題: /dev/tcp//dev/udp/ へのリダイレクトがプロンプトなしに自動許可される問題

これらの修正により、Claude Codeが実行するBashコマンドのセキュリティが大幅に強化されました。

コマンドインジェクション脆弱性の修正(v2.1.101)

POSIX which フォールバック内のコマンドインジェクション脆弱性が修正されました。攻撃者が細工した入力を通じて任意のコマンドを実行できる可能性があった問題です。

Grep/Ripgrepのパスファイル問題(v2.1.98)

grep -f FILErg -f FILE コマンドで、作業ディレクトリ外のパターンファイルを読み込む際に権限確認が行われない問題が修正されました。

推奨アクション

これらのセキュリティ修正は重要度が高いため、v2.1.101への即時アップデートを推奨します。

# バージョン確認
claude --version

# アップデート(npm)
npm update -g @anthropic-ai/claude-code

# アップデート(Homebrew)
brew upgrade claude-code

パフォーマンス改善

Write ツールの差分計算が60%高速化(v2.1.98)

ファイル書き込み時の差分計算が、特にタブ・&$ を含むファイルで60%高速化されました。大きなファイルの編集時に体感できる改善です。

--resume の大幅高速化

セッション再開(--resume)時のパフォーマンスが改善されました。

  • フォーク数が多い大規模セッションで最大45%高速化
  • 約100〜150MBのピークメモリ削減

長時間にわたるセッションを頻繁に再開する開発者にとって、大きな体験改善です。

メモリリークの修正(v2.1.101)

長時間セッションで発生していた2つのメモリリークが修正されました。

仮想スクローラーのメモリリーク: メッセージリストの歴史的コピーが数十個保持され続ける問題。長時間作業すると数百MBに膨れ上がる可能性がありました。

MCP HTTP/SSE接続のメモリリーク(v2.1.97): MCP サーバーの再接続時に、約50MB/時のペースでメモリが蓄積される問題。MCPサーバーを多数接続して長時間作業する場合に影響がありました。

リモートコントロールのメモリリーク修正(v2.1.98)

権限ハンドラーのエントリがセッション期間中ずっと保持され続ける問題が修正されました。

安定性の改善

--resume の信頼性向上

セッション再開に関する複数の問題が修正されました。

問題 修正内容
コンテキスト喪失 大規模セッションでの不適切なブランチアンカリングを修正
チェーン復旧エラー サブエージェント会話への誤った橋渡しを修正
クラッシュ Edit/Write結果にfile_pathが欠落時のクラッシュを修正
差分消失 10KB以上のファイルエディット差分が消える問題を修正

リクエストタイムアウトの柔軟化(v2.1.101)

従来はハードコードされた5分のリクエストタイムアウトがあり、ローカルLLM・拡張思考・遅いゲートウェイ経由の利用でAPI_TIMEOUT_MSの設定に関係なく中止されていました。この制限が撤廃され、環境変数での制御が正しく反映されるようになりました。

429リトライの改善(v2.1.98)

レート制限(429エラー)のリトライ処理が改善されました。以前は小さなRetry-After値の場合、約13秒で全リトライを消費してしまう問題がありました。現在は指数バックオフが最小値として適用され、リトライ間隔が適切に確保されます。

サブエージェントの修正

v2.1.101では、サブエージェントに関する複数の問題が修正されました。

  • MCPツール継承: 動的に注入されたサーバーからのMCPツールが継承されない問題
  • サンドボックス内のファイルアクセス: サブエージェントが自身のワークツリー内のファイルへのアクセスが拒否される問題
  • ワークツリー分離: サブエージェントのBash操作が親セッションに漏洩する問題
  • エラー報告: バックグラウンドサブエージェントがエラー時に部分的な進捗を親に報告しない問題

マルチエージェント構成を活用している開発者にとって重要な修正です。

CJK文字の表示問題修正(v2.1.97)

Windows環境のNO_FLICKERモードで、CJK(中国語・日本語・韓国語)テキストが文字化けする問題が修正されました。日本語環境でClaude Codeを使う開発者にとって嬉しい修正です。

まとめ

今回のアップデートでは、特にBashツールのセキュリティ修正が重要です。Claude Codeをチームで利用している場合は、全メンバーがv2.1.101以降にアップデートすることを推奨します。

パフォーマンス面では、Write差分計算の60%高速化とメモリリークの修正により、長時間セッションでの安定性が大幅に向上しています。

関連記事