Claude Code v2.1.98 adiciona assistente de Vertex AI, correções de segurança e sandboxing de subprocessos

O Claude Code v2.1.98 é uma versão de manutenção focada em reforço de segurança, novas integrações de plataforma e melhorias no fluxo de trabalho do desenvolvedor. A atualização aborda várias questões críticas de segurança enquanto adiciona recursos práticos para equipes que usam Google Cloud e sistemas de controle de versão.

Novos Recursos e Integrações

A versão adiciona um assistente interativo de configuração do Google Vertex AI acessível na tela de login ao selecionar "plataforma de terceiros". Isso guia os usuários pela autenticação do GCP, configuração de projeto e região, verificação de credenciais e fixação de modelo.

Para usuários do Perforce, a variável de ambiente CLAUDE_CODE_PERFORCE_MODE agora faz com que as operações Edit/Write/NotebookEdit falhem em arquivos somente leitura com uma dica p4 edit em vez de sobrescrevê-los silenciosamente.

Outras adições incluem:

• Ferramenta Monitor para transmitir eventos de scripts em segundo plano
• Isolamento de subprocessos com namespace de PID no Linux quando CLAUDE_CODE_SUBPROCESS_ENV_SCRUB está definido
• Variável de ambiente CLAUDE_CODE_SCRIPT_CAPS para limitar invocações de script por sessão
• Flag --exclude-dynamic-system-prompt-sections para o modo de impressão para melhor cache de prompt entre usuários
• workspace.git_worktree para a entrada JSON da linha de status, definida sempre que o diretório atual está dentro de uma árvore de trabalho vinculada do git
• Variável de ambiente W3C TRACEPARENT para subprocessos da ferramenta Bash quando o rastreamento OTEL está ativado
• LSP: O Claude Code agora se identifica para servidores de linguagem via clientInfo na solicitação de inicialização

Correções de Segurança

A versão aborda múltiplas vulnerabilidades de segurança:

• Corrigido um bypass de permissão da ferramenta Bash onde uma flag escapada com barra invertida poderia ser automaticamente permitida como somente leitura e levar à execução arbitrária de código
• Corrigidos comandos Bash compostos que contornavam prompts de permissão forçados para verificações de segurança e regras de solicitação explícita nos modos automático e bypass-permissions
• Corrigidos comandos somente leitura com prefixos de variáveis de ambiente que não solicitavam a menos que a variável fosse conhecida como segura (LANG, TZ, NO_COLOR, etc.)
• Corrigidos redirecionamentos para /dev/tcp/... ou /dev/udp/... que não solicitavam em vez de permitir automaticamente
• Corrigido --dangerously-skip-permissions sendo silenciosamente rebaixado para o modo accept-edits após aprovar uma gravação em um caminho protegido via Bash
• Corrigidas regras de permissão de configurações gerenciadas que permaneciam ativas após um administrador removê-las, até a reinicialização do processo

Correções de Bugs e Melhorias

A versão inclui inúmeras correções de estabilidade e usabilidade:

• Corrigidas respostas de streaming travadas que expiravam em vez de retornar ao modo não streaming
• Corrigidas tentativas de retry 429 que consumiam todas as tentativas em ~13s quando o servidor retornava um Retry-After pequeno — agora o backoff exponencial é aplicado como mínimo
• Corrigida a substituição de configuração oauth.authServerMetadataUrl do MCP OAuth não sendo respeitada na atualização do token após reinicialização, afetando ADFS e IdPs similares
• Corrigidas letras maiúsculas sendo convertidas para minúsculas no terminal integrado xterm e VS Code quando o protocolo de teclado kitty está ativo
• Corrigidas substituições de texto no macOS que deletavam a palavra de acionamento em vez de inserir a substituição
• Corrigidas alterações em permissions.additionalDirectories não sendo aplicadas durante a sessão — diretórios removidos perdem acesso imediatamente e adicionados funcionam sem reinicialização
• Corrigida a remoção de um diretório de additionalDirectories revogando acesso ao mesmo diretório passado via --add-dir
• Corrigidas regras de permissão com curinga Bash(cmd:*) e Bash(git commit *) que falhavam ao corresponder comandos com espaços ou tabulações extras
• Corrigidas regras de negação Bash(...) sendo rebaixadas para um prompt para comandos encadeados que misturam cd com outros segmentos
• Corrigidos prompts de permissão Bash falsos para cut -d /, paste -d /, column -s /, awk '{print $1}' file e nomes de arquivo contendo %
• Corrigidas regras de permissão com nomes correspondendo a propriedades de protótipo JavaScript (ex: toString) fazendo com que settings.json fosse silenciosamente ignorado
• Corrigidos membros da equipe do agente não herdando o modo de permissão do líder ao usar --dangerously-skip-permissions

Correções de Interface e Fluxo de Trabalho

• Corrigida uma falha no modo tela cheia ao passar o mouse sobre resultados de ferramentas MCP
• Corrigida a cópia de URLs quebradas no modo tela cheia inserindo espaços nas quebras de linha
• Corrigidos diffs de edição de arquivo desaparecendo da interface no --resume quando o arquivo editado era maior que 10KB
• Corrigidos vários problemas do seletor /resume: --resume <nome> abrindo não editável, recarregamento do filtro apagando estado de busca, lista vazia consumindo teclas de seta, obsolescência entre projetos e texto de status de tarefa transitório substituindo resumos de conversa
• Corrigido /export não respeitando caminhos absolutos e ~, e silenciosamente reescrevendo extensões fornecidas pelo usuário para .txt
• Corrigido /effort max sendo negado para IDs de modelo desconhecidos ou futuros
• Corrigido o seletor de comandos de barra quebrando quando o name do frontmatter de um plugin é uma palavra-chave booleana YAML
• Corrigido texto de upsell de limite de taxa sendo ocultado após remontagens de mensagem
• Corrigidas ferramentas MCP com _meta["anthropic/maxResultSizeChars"] não contornando o pe baseado em token

Esta versão é particularmente importante para equipes preocupadas com reforço de segurança, pois aborda múltiplas vulnerabilidades de bypass de permissão que poderiam levar à execução arbitrária de código. Os recursos de isolamento de subprocessos fornecem isolamento adicional para ambientes de execução de código não confiáveis.