今日(4/6)は重要なセキュリティパッチの適用と同時にサービス障害も発生した。また、Claude Code SDK が「Claude Agent SDK」に正式改名されるなど、SDK 周りにも注目の変化がある。
【緊急】セキュリティ脆弱性パッチ(4/6 適用)
今すぐアップデートを推奨
Anthropic が 4/6 に重要なコマンドパーサーのバグを修正した。
脆弱性の概要:
Claude Code にはサブコマンドを最大 50 個まで許可するハードコードされた制限があった。この制限の実装に欠陥があり、攻撃者が「51 番目の隠しサブコマンド」を仕込める状態になっていた。
- 影響範囲:開発者が設定した deny ルールをサイレントにバイパス可能
- 最悪のケース:CI/CD 環境での SSH キーや API トークンの外部流出
- 状態:パッチ適用済み(4/6 リリース)
CI/CD パイプラインや自動化環境で Claude Code を使っている場合は最優先でアップデートを。
# バージョン確認
claude --version
# アップデート
npm update -g @anthropic-ai/claude-agent-sdk4/6 サービス障害(現在対応中)
4/6、Claude.ai 全体でログイン・音声モード・チャット補完にわたる障害が発生。Claude Code もログイン画面を共有しているため影響を受けた。
- 対象:Claude.ai(デスクトップ、モバイル)および Claude Code のログインフロー
- Anthropic は対応中とのこと(status.claude.com で最新状況を確認)
Claude Code SDK → Claude Agent SDK に改名
名前が変わっただけではない。機能も強化された。
Claude Code の SDK が Claude Agent SDK として再ブランディングされた。最新バージョン:
- Python:v0.1.48(4/4 リリース)
- TypeScript:v0.2.71
新機能と改善点:
| 変更 | 内容 |
|---|---|
get_context_usage() | コンテキストウィンドウの使用状況をプログラムから取得できる |
@tool デコレーターのパラメーター注釈 | ツール定義の記述が分かりやすくなった |
tool_use_id / agent_id の公開 | ToolPermissionContext からアクセス可能に |
session_id オプション | カスタムセッション ID を指定できる |
| プロンプトキャッシュ修正 | query() 呼び出しでのキャッシュ無効化バグを修正。入力トークンコストが最大 12 倍削減できるケースも |
ソース:Claude Agent SDK Python Releases / npmjs.com
Apple Xcode 26.3 が Claude Agent SDK をネイティブサポート
Xcode 26.3 が Claude Agent SDK を標準でサポートするようになった。
- サブエージェントの作成・管理
- バックグラウンドタスクの実行
- プラグインとの連携
iOS/macOS アプリを開発しながら Claude をコーディングアシスタントとして使っている場合、Xcode 自体が Agent SDK を理解して補完・デバッグできるようになる。
ソース:Anthropic News - Apple Xcode + Claude Agent SDK
新フック:PermissionDenied
自動モードの分類器がアクションを拒否したとき(Deny)に発火する新しいライフサイクルフックが追加された。
// settings.json(hooks の設定例)
{
"hooks": {
"PermissionDenied": [
{
"matcher": "Bash",
"hooks": [
{
"type": "command",
"command": "echo '[Claude] 操作が拒否されました: $CLAUDE_TOOL_NAME' >> ~/claude-denied.log"
}
]
}
]
}
}使いどころ:
- 拒否されたアクションのログ記録
- 拒否時のフォールバック処理
- セキュリティ監査(どの操作が制限されているかを把握)
@ メンションでサブエージェントを名前指定
サブエージェントが @ のタイプアヘッド候補に名前付きで表示されるようになった。
これまでは UUID や内部 ID で管理していたサブエージェントを、分かりやすい名前で呼び出せる。複数のサブエージェントを並列で動かす複雑なワークフローで便利。
フリッカーなし ALT スクリーンレンダリング
ターミナルの画面点滅が気になっていた人向けに、環境変数でフリッカーフリーモードを有効にできるようになった。
export CLAUDE_CODE_NO_FLICKER=1仮想スクロールバックを使ったレンダリングに切り替わる。tmux や長いセッションで作業する際の体験が向上する。
/powerup — インタラクティブな機能学習レッスン
/powerup コマンドで Claude Code の機能を学べるインタラクティブなレッスンが追加された。
- フックの設定方法
- MCP サーバーの接続
- スキルの作り方
新しくチームに加わったメンバーへのオンボーディング素材としても使える。
MCP/Hooks/Skills の役割整理(2026年版)
最近コミュニティで話題になっている拡張レイヤーの整理:
| レイヤー | 役割 | 例 |
|---|---|---|
| Hooks | ライフサイクルイベントに反応するシェルスクリプト | PreToolUse, PostToolUse, PermissionDenied |
| MCP | 外部ツール・API との接続 | Web 検索、DB、ファイルシステム |
| Skills | 再利用可能なワークフロー定義 | /commit, /review-pr |
コミュニティリソース:awesome-claude-code(フック・スキル・プラグインのキュレーションリスト)
Anthropic Claude Code チームによるウェビナー(4/7)
4/7 に Anthropic の Claude Code チームが「What We Shipped」ウェビナーを開催予定。最近のリリース内容の解説とライブ Q&A がある。
今日のまとめ
- セキュリティパッチ:CI/CD を使っているなら今すぐ
npm updateを - Agent SDK:Python v0.1.48 のキャッシュバグ修正でトークンコストが最大 12 倍削減できるケースあり
- Xcode 26.3:iOS/macOS 開発者は Agent SDK との統合を確認
PermissionDeniedフック:セキュリティ監査や自動フォールバックに活用できる
参考ソース:
- Anthropic Patches Claude Code Bypass Vulnerability - Let’s Data Science
- Claude Agent SDK Python Releases - GitHub
- Apple Xcode + Claude Agent SDK - Anthropic
- Claude Code Changelog - code.claude.com
- Claude Code by Anthropic - Release Notes - Releasebot
- awesome-claude-code - GitHub
- Claude Code MCP/Hooks/Skills Architecture - GenAI Unplugged