Anthropic は 2026年4月9日、Claude Code の最新バージョン v2.1.98 をリリースしました。今回のアップデートは新機能追加に加え、Bash ツールの権限バイパスという深刻なセキュリティ問題の修正を含む重要なリリースです。すぐにアップデートすることを強くおすすめします。

本記事は2026年4月公開のClaude Code v2.1.98のリリース解説です。当時の変更点を歴史的な記録としてそのまま残しています。その後も更新は続いているため、現在の最新動向はClaude Code最新アップデートまとめで確認してください。

# アップグレード
npm install -g @anthropic-ai/claude-code@2.1.98

# バージョン確認
claude --version

新機能: Vertex AI セットアップウィザード

最大の目玉は Google Vertex AI のインタラクティブなセットアップウィザードです。ログイン画面で「3rd-party platform」を選択すると起動し、以下を順番にガイドしてくれます。

  • GCP 認証
  • プロジェクトとリージョンの設定
  • 認証情報の検証
  • 利用するモデルのピン留め

これまで Vertex AI 経由で Claude Code を使うには、環境変数を手動で設定する必要があり、初学者には敷居が高い作業でした。今後は対話形式で迷わず構築できます。日本のエンタープライズ環境で GCP を採用している企業にとって、導入のハードルが大きく下がるアップデートです。

Perforce ユーザー向けの新フラグ

export CLAUDE_CODE_PERFORCE_MODE=1

この環境変数をセットすると、Edit / Write / NotebookEdit が読み取り専用ファイルに対して失敗し、p4 edit を実行するようヒントを表示するようになります。Perforce を使うゲーム業界・大規模開発の現場で、誤って read-only ファイルを上書きする事故を防げます。

開発者向け機能拡張

Monitor ツールの追加

バックグラウンドスクリプトのイベントをストリーミングで監視できる Monitor ツールが追加されました。長時間動くビルドやテストの進捗を随時取得しやすくなります。

サブプロセスのサンドボックス化(Linux)

export CLAUDE_CODE_SUBPROCESS_ENV_SCRUB=1
export CLAUDE_CODE_SCRIPT_CAPS=50  # セッションあたりのスクリプト実行回数上限

Linux 環境で PID namespace による分離が有効になり、セッションあたりのスクリプト呼び出し回数も制限できます。CI 環境やマルチテナント環境での運用に向いた強化です。

プロンプトキャッシュ最適化

--exclude-dynamic-system-prompt-sections フラグが print モードに追加され、ユーザー間で共通のプロンプトキャッシュが効きやすくなりました。バッチ処理で Claude Code を呼び出すユースケースでコスト削減が期待できます。

OTEL トレース連携

Bash ツールのサブプロセスに W3C TRACEPARENT 環境変数が自動付与され、子プロセスのスパンが Claude Code のトレースツリーに正しく接続されるようになりました。可観測性を重視する組織には嬉しい強化です。

セキュリティ修正(最重要)

今回のリリースで特に注目すべきは、Bash ツールに関する複数の権限バイパス修正です。

  • バックスラッシュでエスケープしたフラグが read-only コマンドとして自動許可され、任意コード実行につながる脆弱性
  • 複合 Bash コマンドが auto / bypass-permissions モードで強制プロンプトを回避できた問題
  • 環境変数プレフィックス付きの read-only コマンドが許可リストに無くてもプロンプトされない問題
  • /dev/tcp/... /dev/udp/... へのリダイレクトが自動許可されていた問題
  • --dangerously-skip-permissions が保護パスへの書き込み承認後に accept-edits モードに静かにダウングレードされる問題

これらは外部から Claude Code を悪用される余地を残していたため、全ユーザーに即時アップデートを推奨します。

安定性・UI バグ修正

日々の利用で効いてくる修正も豊富です。

  • ストリーミング応答がストールした際、タイムアウトせず非ストリーミングへフォールバック
  • 429 リトライが小さな Retry-After で 13 秒以内に全試行を使い切る問題を修正(指数バックオフを最小値として適用)
  • MCP OAuth の authServerMetadataUrl 設定が再起動後のトークン更新で無視される問題(ADFS 等に影響)
  • macOS のテキスト置換でトリガーワードが消える不具合
  • xterm / VS Code 統合ターミナルで kitty キーボードプロトコル使用時に大文字が小文字化される問題
  • permissions.additionalDirectories のセッション中変更が即座に反映される
  • Bash(cmd:*) 等のワイルドカード許可ルールが余分な空白で失敗していた問題
  • cut -d /, awk '{print $1}' file, ファイル名に % を含むケースなどでの誤プロンプト
  • toString のような JavaScript prototype プロパティと同名のルールで settings.json がサイレントに無視される問題
  • /resume ピッカーの複数の不具合(--resume <name> で編集不可、検索状態のリセット、矢印キー無効化など)
  • /export が絶対パスや ~ を honor しない問題
  • フルスクリーンモードで MCP ツール結果ホバー時のクラッシュ

常設ガイド: 会社でClaudeをどの「経路」から使うかの決め方

ここからは、このバージョンに限らず使える話です。v2.1.98のVertex AIウィザードは、Claudeを業務利用する3つの経路のうち1つを簡単にする機能でした。そもそもこの「経路」の考え方を押さえておくと、情シス担当や経営層との話が一気に早くなります。

Claudeのモデルを業務で使う経路は、大きく次の3つです。

Claudeを業務利用する3つの経路

1つ目はAnthropicとの直接契約です。もっとも手軽で、新機能もいちばん早く使えます。特別な統制要件がない会社なら、まずこれが第一候補です。プランごとの費用感はClaude Codeの料金を完全解説で試算できます。

2つ目はAmazon Bedrock経由です。すでにAWSで社内システムを運用していて、「データはAWSアカウントの外に出さない」という統制がある会社が選びます。金融・公共系の案件で多いパターンで、請求も既存のAWS利用料に合算されるため、経理処理を一本化できる利点もあります。

3つ目がGoogle Vertex AI経由で、GCPを標準クラウドにしている会社や、Googleワークスペース中心で運用している組織に向いた選択肢です。従来は環境変数の手動設定という壁がありましたが、v2.1.98のウィザードでこの壁が大きく下がりました。

選び方の判断基準はシンプルです。社内に「使っていいクラウド」の縛りがなければ直接契約、縛りがあるならそのクラウド経由、と考えれば大きく外しません。従業員数十名の会社で本格導入するなら、管理機能がまとまった法人向けプランの比較をClaude Teamプラン 企業向け完全ガイドで確認しておくと、稟議資料がそのまま書けます。

セキュリティ修正から学ぶ: AIエージェントに仕事を任せるときの安全設計

今回のBash権限バイパス修正は、AIエージェント(指示すると自分でパソコンを操作して作業を進めるAI)を業務で使ううえでの基本原則を再確認させてくれます。バージョンに関係なく、次の3つは守ってください。

第一に、確認をスキップする設定を安易に使わないことです。Claude Codeは操作のたびに「実行していいか」を確認してくる設計で、これが安全の土台です。確認が面倒だからと全部スキップする設定にすると、今回のような不具合が起きたときに被害を止める最後の砦がなくなります。

第二に、任せる範囲をフォルダで区切ることです。経理データの入ったフォルダと、AIに触らせる作業フォルダを分けておくだけで、事故の影響範囲は大幅に狭まります。

第三に、セキュリティ修正を含むアップデートは最優先で当てることです。新機能の更新は後回しでかまいませんが、セキュリティ修正だけは「当てない」という選択肢がありません。リリースノートにsecurityやpermissionという単語があれば、その日のうちに更新する習慣をつけてください。

この3原則は、Claude Codeに限らず今後登場するあらゆるAIエージェントに共通します。ツールの側も今回のように守りを強化し続けていますが、最終的に事故を防ぐのは「確認を残す・範囲を区切る・修正をすぐ当てる」という使う側の運用です。導入を検討している会社では、この3行をそのまま社内ルールの叩き台にしても機能します。

なお、非エンジニアの方向けに本記事の用語を補足すると、Bashはパソコンに文字で命令を送る仕組み、権限バイパスは「本来出るはずの確認画面が出ずに操作が通ってしまう状態」のことです。つまり今回の修正は、AIが人間の確認なしに想定外の操作をできてしまう穴を塞いだ、と読み替えれば十分です。

まとめ

v2.1.98 は 「Vertex AI ウィザードによる導入容易化」と「Bash 権限バイパスの修正」が二大テーマのリリースです。特にセキュリティ修正は深刻度が高く、--dangerously-skip-permissions や auto モードを多用するユーザーは速やかに更新すべきです。Perforce モード、Monitor ツール、サンドボックス強化などエンタープライズ向け機能も着実に積み上がっており、Claude Code が業務基盤として成熟しつつあることが感じられます。npm install -g @anthropic-ai/claude-code@2.1.98 で今すぐアップデートしましょう。

初期設定と安全設定を手順どおりに済ませたい方には、無料のはじめてのClaude Codeプレイブックを用意しています。権限まわりの推奨設定もこの1冊で確認できます。