Claude Code v2.1.98 добавляет мастер Vertex AI, исправления безопасности и песочницу для подпроцессов.

Claude Code v2.1.98 — это обновление для обслуживания, сфокусированное на усилении безопасности, новых интеграциях с платформами и улучшениях рабочего процесса разработчиков. Обновление устраняет несколько критических проблем безопасности, одновременно добавляя практические функции для команд, использующих Google Cloud и системы контроля версий.

Новые функции и интеграции

В выпуске добавлен интерактивный мастер настройки Google Vertex AI, доступный с экрана входа при выборе «Сторонняя платформа». Он проводит пользователей через аутентификацию GCP, настройку проекта и региона, проверку учётных данных и закрепление модели.

Для пользователей Perforce переменная окружения CLAUDE_CODE_PERFORCE_MODE теперь приводит к сбою операций Edit/Write/NotebookEdit для файлов только для чтения с подсказкой p4 edit вместо их тихой перезаписи.

Другие добавления включают:

• Инструмент Monitor для потоковой передачи событий из фоновых скриптов
• Изоляция подпроцессов с пространством имён PID в Linux при установке CLAUDE_CODE_SUBPROCESS_ENV_SCRUB
• Переменная окружения CLAUDE_CODE_SCRIPT_CAPS для ограничения вызовов скриптов за сессию
• Флаг --exclude-dynamic-system-prompt-sections для режима печати для улучшения кэширования промптов между пользователями
• workspace.git_worktree в JSON-ввод строки состояния, устанавливается, когда текущий каталог находится внутри связанного рабочего дерева git
• Переменная окружения W3C TRACEPARENT для подпроцессов инструмента Bash при включённой трассировке OTEL
• LSP: Claude Code теперь идентифицирует себя для языковых серверов через clientInfo в запросе инициализации

Исправления безопасности

Выпуск устраняет несколько уязвимостей безопасности:

• Исправлен обход разрешений в инструменте Bash, где экранированный обратным слешем флаг мог быть автоматически разрешён как только для чтения и приводить к выполнению произвольного кода
• Исправлены составные команды Bash, обходящие принудительные запросы разрешений для проверок безопасности и явных правил запроса в автоматическом режиме и режиме обхода разрешений
• Исправлены команды только для чтения с префиксами переменных окружения, не запрашивающие разрешение, если переменная не известна как безопасная (LANG, TZ, NO_COLOR и т.д.)
• Исправлены перенаправления на /dev/tcp/... или /dev/udp/..., не запрашивающие разрешение вместо автоматического разрешения
• Исправлено тихое понижение --dangerously-skip-permissions до режима accept-edits после одобрения записи в защищённый путь через Bash
• Исправлены правила разрешений управляемых настроек, остающиеся активными после их удаления администратором, до перезапуска процесса

Исправления ошибок и улучшения

Выпуск включает многочисленные исправления стабильности и удобства использования:

• Исправлены зависшие потоковые ответы, завершающиеся таймаутом вместо перехода в непотоковый режим
• Исправлены повторные попытки при 429, сжигающие все попытки за ~13с, когда сервер возвращает небольшой Retry-After — теперь применяется экспоненциальная задержка как минимум
• Исправлено игнорирование переопределения конфигурации oauth.authServerMetadataUrl MCP OAuth при обновлении токена после перезапуска, затрагивающее ADFS и подобные IdP
• Исправлено преобразование заглавных букв в строчные на терминале xterm и встроенном терминале VS Code при активном протоколе клавиатуры kitty
• Исправлены текстовые замены macOS, удаляющие слово-триггер вместо вставки замены
• Исправлено неприменение изменений permissions.additionalDirectories в середине сессии — удалённые каталоги теряют доступ немедленно, а добавленные работают без перезапуска
• Исправлено удаление каталога из additionalDirectories, отзывающее доступ к тому же каталогу, переданному через --add-dir
• Исправлены правила разрешений с подстановочными знаками Bash(cmd:*) и Bash(git commit *), не соответствующие командам с лишними пробелами или табуляциями
• Исправлены правила запрета Bash(...), понижаемые до запроса для конвейерных команд, смешивающих cd с другими сегментами
• Исправлены ложные запросы разрешений Bash для cut -d /, paste -d /, column -s /, awk '{print $1}' file и имён файлов, содержащих %
• Исправлены правила разрешений с именами, совпадающими со свойствами прототипа JavaScript (например, toString), приводящие к тихому игнорированию settings.json
• Исправлено ненаследование членами команды агента режима разрешений лидера при использовании --dangerously-skip-permissions

Исправления интерфейса и рабочего процесса

• Исправлен сбой в полноэкранном режиме при наведении на результаты инструмента MCP
• Исправлено копирование перенесённых URL в полноэкранном режиме, вставляющее пробелы на разрывах строк
• Исправлено исчезновение различий редактирования файлов из интерфейса при --resume, когда редактируемый файл был больше 10 КБ
• Исправлены несколько проблем средства выбора /resume: --resume <name> открывается недоступным для редактирования, перезагрузка фильтра стирает состояние поиска, пустой список поглощает клавиши со стрелками, устаревание между проектами и замена текста статуса задачи на сводки беседы
• Исправлено игнорирование /export абсолютных путей и ~ и тихое переписывание пользовательских расширений в .txt
• Исправлен отказ /effort max для неизвестных или будущих идентификаторов моделей
• Исправлено нарушение работы средства выбора слэш-команд, когда name во frontmatter плагина является ключевым словом YAML boolean
• Исправлено скрытие текста апсейла лимита скорости после повторных монтирований сообщений
• Исправлены инструменты MCP с _meta["anthropic/maxResultSizeChars"], не обходящие ограничение на основе токенов

Этот выпуск особенно важен для команд, озабоченных усилением безопасности, поскольку он устраняет несколько уязвимостей обхода разрешений, которые могли привести к выполнению произвольного кода. Функции изоляции подпроцессов обеспечивают дополнительную защиту для сред выполнения ненадёжного кода.