Claude Code v2.1.98 fügt einen Vertex AI-Assistenten, Sicherheitskorrekturen und eine Subprozess-Sandbox hinzu.

Claude Code v2.1.98 ist ein Wartungs-Release, das sich auf Sicherheitshärtung, neue Plattformintegrationen und Verbesserungen des Entwickler-Workflows konzentriert. Das Update behebt mehrere kritische Sicherheitsprobleme und fügt gleichzeitig praktische Funktionen für Teams hinzu, die Google Cloud und Versionskontrollsysteme nutzen.

Neue Funktionen und Integrationen

Das Release fügt einen interaktiven Google Vertex AI Einrichtungsassistenten hinzu, der über den Anmeldebildschirm bei Auswahl von "Drittanbieter-Plattform" zugänglich ist. Dieser führt Benutzer durch die GCP-Authentifizierung, die Konfiguration von Projekt und Region, die Überprüfung der Anmeldedaten und das Anheften von Modellen.

Für Perforce-Benutzer bewirkt die Umgebungsvariable CLAUDE_CODE_PERFORCE_MODE nun, dass Edit/Write/NotebookEdit-Operationen bei schreibgeschützten Dateien mit einem p4 edit-Hinweis fehlschlagen, anstatt sie stillschweigend zu überschreiben.

Weitere Ergänzungen umfassen:

• Monitor-Tool zum Streamen von Ereignissen aus Hintergrundskripten
• Subprozess-Sandboxing mit PID-Namespace-Isolierung unter Linux, wenn CLAUDE_CODE_SUBPROCESS_ENV_SCRUB gesetzt ist
• Umgebungsvariable CLAUDE_CODE_SCRIPT_CAPS zur Begrenzung von Skriptaufrufen pro Sitzung
• Flag --exclude-dynamic-system-prompt-sections für den Druckmodus zur verbesserten benutzerübergreifenden Prompt-Zwischenspeicherung
• workspace.git_worktree zur Statuszeilen-JSON-Eingabe, gesetzt, wenn sich das aktuelle Verzeichnis in einem verknüpften Git-Worktree befindet
• W3C TRACEPARENT Umgebungsvariable für Bash-Tool-Subprozesse, wenn OTEL-Tracing aktiviert ist
• LSP: Claude Code identifiziert sich nun gegenüber Sprachservern über clientInfo in der Initialize-Anfrage

Sicherheitskorrekturen

Das Release behebt mehrere Sicherheitslücken:

• Behoben: Eine Bash-Tool-Berechtigungsumgehung, bei der ein Backslash-escaped-Flag als schreibgeschützt automatisch erlaubt werden konnte und zur Ausführung beliebigen Codes führen konnte
• Behoben: Zusammengesetzte Bash-Befehle umgehen erzwungene Berechtigungsabfragen für Sicherheitsprüfungen und explizite Ask-Regeln in Auto- und Bypass-Permissions-Modi
• Behoben: Schreibgeschützte Befehle mit Umgebungsvariablen-Präfixen fragen nicht nach, es sei denn, die Variable ist als sicher bekannt (LANG, TZ, NO_COLOR, usw.)
• Behoben: Umleitungen zu /dev/tcp/... oder /dev/udp/... fragen nicht nach, anstatt automatisch erlaubt zu werden
• Behoben: --dangerously-skip-permissions wird nach Genehmigung eines Schreibvorgangs auf einen geschützten Pfad via Bash stillschweigend auf Accept-Edits-Modus herabgestuft
• Behoben: Verwaltete Einstellungs-Erlaubnisregeln bleiben aktiv, nachdem ein Administrator sie entfernt hat, bis zum Prozessneustart

Fehlerbehebungen und Verbesserungen

Das Release enthält zahlreiche Stabilitäts- und Benutzerfreundlichkeitskorrekturen:

• Behoben: Hängengebliebene Streaming-Antworten führen zu Timeouts anstatt auf Nicht-Streaming-Modus zurückzufallen
• Behoben: 429-Wiederholungsversuche verbrauchen alle Versuche in ~13s, wenn der Server einen kleinen Retry-After zurückgibt – exponentieller Backoff gilt nun als Minimum
• Behoben: MCP OAuth oauth.authServerMetadataUrl Konfigurationsüberschreibung wird nach Token-Aktualisierung nach Neustart nicht beachtet, betrifft ADFS und ähnliche IdPs
• Behoben: Großbuchstaben werden bei aktivem Kitty-Tastaturprotokoll auf xterm und VS Code integriertem Terminal in Kleinbuchstaben umgewandelt
• Behoben: macOS-Textersetzungen löschen das Auslösewort anstatt die Ersetzung einzufügen
• Behoben: Änderungen an permissions.additionalDirectories werden nicht während der Sitzung angewendet – entfernte Verzeichnisse verlieren sofort den Zugriff und hinzugefügte funktionieren ohne Neustart
• Behoben: Entfernen eines Verzeichnisses aus additionalDirectories widerruft den Zugriff auf dasselbe Verzeichnis, das via --add-dir übergeben wurde
• Behoben: Bash(cmd:*) und Bash(git commit *) Wildcard-Berechtigungsregeln scheitern beim Abgleich von Befehlen mit zusätzlichen Leerzeichen oder Tabs
• Behoben: Bash(...) Verweigerungsregeln werden für Pipe-Befehle, die cd mit anderen Segmenten mischen, auf eine Abfrage herabgestuft
• Behoben: Falsche Bash-Berechtigungsabfragen für cut -d /, paste -d /, column -s /, awk '{print $1}' file und Dateinamen, die % enthalten
• Behoben: Berechtigungsregeln mit Namen, die JavaScript-Prototype-Eigenschaften entsprechen (z.B. toString), führen dazu, dass settings.json stillschweigend ignoriert wird
• Behoben: Agent-Teammitglieder erben nicht den Berechtigungsmodus des Leiters bei Verwendung von --dangerously-skip-permissions

UI- und Workflow-Korrekturen

• Behoben: Absturz im Vollbildmodus beim Überfahren von MCP-Tool-Ergebnissen
• Behoben: Kopieren umbrochener URLs im Vollbildmodus fügt Leerzeichen an Zeilenumbrüchen ein
• Behoben: Dateibearbeitungs-Diffs verschwinden aus der UI bei --resume, wenn die bearbeitete Datei größer als 10KB war
• Behoben: Mehrere /resume Picker-Probleme: --resume <name> öffnet nicht bearbeitbar, Filter-Neuladen löscht Suchstatus, leere Liste schluckt Pfeiltasten, projektübergreifende Veraltung und flüchtiger Aufgabenstatus-Text ersetzt Gesprächszusammenfassungen
• Behoben: /export beachtet keine absoluten Pfade und ~ und schreibt benutzerdefinierte Erweiterungen stillschweigend in .txt um
• Behoben: /effort max wird für unbekannte oder zukünftige Modell-IDs verweigert
• Behoben: Slash-Befehl-Picker bricht, wenn das Frontmatter-name eines Plugins ein YAML-Boolesches Schlüsselwort ist
• Behoben: Rate-Limit-Upsell-Text wird nach Nachrichten-Remounts ausgeblendet
• Behoben: MCP-Tools mit _meta["anthropic/maxResultSizeChars"] umgehen nicht die tokenbasierte pe

Dieses Release ist besonders wichtig für Teams, die sich mit Sicherheitshärtung befassen, da es mehrere Berechtigungsumgehungs-Schwachstellen behebt, die zur Ausführung beliebigen Codes führen könnten. Die Subprozess-Sandboxing-Funktionen bieten zusätzliche Isolierung für Umgebungen zur Ausführung nicht vertrauenswürdigen Codes.