Claude Code v2.1.161がリリース：シークレット漏洩の重大なセキュリティ修正とセッション回帰バグの修正を実施

Anthropicが、AI開発ツール「Claude Code」のバージョン2.1.161をリリースしました。このアップデートには、開発環境におけるセキュリティ上の重大な脆弱性修正と、複数のセッション管理に関する重要なバグ修正が含まれています。特に注目すべきは、`claude mcp`コマンドが設定ファイル内のシークレット情報（APIキーや認証トークンなど）を、以前のバージョン（v2.1.160以前）では平文で端末に出力していた問題（Critical）を修正した点です。修正後、認証ヘッダーやURL内のシークレットは自動的にマスク（***）表示されるようになり、情報漏洩リスクが大幅に低減されました。また、組織管理ポリシー（managed-settings）を利用するエンタープライズ環境において、Amazon Bedrock、Google Vertex AI、Foundry、Mantle経由でのセッション確立がブロックされていた回帰バグ（High）も修正され、正常なセッション開始が可能になりました。さらに、並列ツール呼び出しの堅牢性が向上し、一つのBashコマンドの失敗が他のツール呼び出しを巻き込むことがなくなりました。その他、OpenTelemetryメトリクスへのカスタムラベル付与機能が追加され、チームやリポジトリ別の利用量モニタリングが可能となり、バックグラウンドセッションのモデル設定の確実な適用など、複数の改善が盛り込まれています。利用者は、セキュリティ確保のため、速やかなアップデート（`npm update -g @anthropic-ai/claude-code`）と、過去のログ確認、APIキーのローテーションを検討することが強く推奨されています。

---

背景

AI開発ツール「Claude Code」は、Anthropicが提供する開発支援環境であり、外部サービスとの連携やシークレット管理機能を持っています。本リリースは、特にセキュリティ上の重大な脆弱性（シークレットの平文出力）と、大規模なエンタープライズ環境で発生していたセッション管理の回帰バグを修正する、極めて重要なパッチバージョンです。

重要用語解説

• claude mcp: Claude CodeにおけるMCP（Multi-Cloud Platform）機能のコマンド群。外部サービスとの接続設定やシークレット管理を行う際に使用され、以前はシークレットを平文出力する脆弱性がありました。
• シークレット: APIキーや認証トークンなど、システムやサービスにアクセスするための機密性の高い情報。漏洩すると不正利用のリスクがあるため、平文での出力は重大なセキュリティリスクとなります。
• 回帰バグ: 以前のバージョンで正常に動作していた機能が、新しいバージョンに更新された際に予期せず動作しなくなる現象。本件では、セッション確立がブロックされる問題が該当します。

今後の影響

本アップデートは、セキュリティリスクの低減と、大規模な組織環境での安定稼働を保証する点で極めて重要です。特にシークレット漏洩の修正は、開発者のローカル環境やCI/CDログのセキュリティポリシー遵守に直結します。利用者は、速やかにアップデートを実施し、過去のログ確認とAPIキーのローテーションを徹底することが求められます。これにより、開発ワークフローの信頼性が大幅に向上します。