【全网首发】Claude Code v2.1.209 & v2.1.210 发布:硬核加固 Subagent 间接注入防御、长耗时工具秒表读秒、彻底封锁 Worktree 越权篡改!
就在今天(2026 年 7 月 14 日至 15 日),Anthropic 研发团队密集推送了 v2.1.209 和 v2.1.210 两个极具分量的版本。伴随着前天“无障碍屏幕阅读器辅助模式”的上线以及 jj 逃逸热键的引入,本次双版本更新迅速将技术触角深入到了 Agent 协作链的间接提示词注入防御、多 Worktree 隔离运行的物理沙箱闭环,以及终端界面“假死/挂起”视觉体验的重构。
更新时间:2026-07-15
核心看点:引入长耗时工具“秒表”读秒显示、Subagent 间接提示词注入(Prompt Injection)硬核防御、物理割裂 Worktree 越权修改主库、大修外部编辑器粘贴乱码(È/É 字符)。
以下是为您整理的全新双版本硬核技术拆解:
一、视觉与交互进化:长耗时工具引入“秒表”读秒
在之前的版本中,当 AI 调用一些极其耗时(如拉取超大依赖、编译、或跑大型自动化测试)的本地工具时,终端底部的折叠工具栏只会显示一个静态的 Loading 菊花。对于开发者而言,由于无法感知它到底运行了多久,极易产生“是不是程序卡死挂起了”的焦虑感。
-
实时秒表计数器(Live Elapsed-Time Counter):从 v2.1.210 开始,折叠的工具摘要行(Collapsed Tool Summary Line)上正式新增了实时的“已流逝时间(秒级)”计数器!
-
消除卡死焦虑:长耗时工具运行时,秒表会像跑表一样在屏幕上跳动读秒(如
Running Tool... (12s)),让整个长效自动化流的运行走向变得无比清晰透明。
二、间接注入防火墙:Subagent 间接提示词注入(Indirect Prompt Injection)硬化
随着 Agent 团队协作流(Agent Teams)的普及,一个极高危的安全威胁浮出水面:间接提示词注入。
-
高危场景:主 Agent 指派了一个子智能体(Subagent)去读取某个不受信任的项目文件或网页,该文件中如果暗藏了恶意的、带有“删除全盘代码、盗取密钥”指令的提示词,子智能体读取后极易被该内容控制,进而“反水”越权危害开发者宿主机。
-
物理防线构筑(Hardened Against Injection):v2.1.210 针对 Agent 工具实施了极强的间接提示词注入硬化审计。系统会强行对子智能体通过读文件工具接触到的全量上下文进行前置敏感性过滤与解耦,直接阻断了任何企图利用 Subagent 读取脏数据作为跳板实施“木马提权”的可能。
三、物理沙箱闭环:物理割裂 Worktree 越权修改主库
为了加快高并发编码效率,Claude Code 允许创建 Git 工作树(Worktrees)作为隔离沙箱(isolation: 'worktree')派生子智能体去跑代码任务。然而,之前存在一个严重的路径穿透漏洞:
-
漏洞表现:在部分特殊边界条件下,本应在被隔离工作树中运行的 Subagent,其调用的 Git 修改指令(如
git reset/git commit)居然能够穿透沙箱,直接作用、修改到开发者外部的主代码库(Main Repo Checkout)上,引发不可预知的代码错乱与冲突。 -
沙箱物理隔离:新版本彻底重构了 Worktree 的进程隔离上下文,强行封锁了子智能体向主库发送任何变动指令的通道,沙箱物理隔离宣告 100% 闭环。
-
垃圾锁自动清理:修复了被强制击杀(Killed)的后台任务会永久锁死
.git工作树的问题。现在系统的周期性自扫描引擎会自动识别并物理释放(Releases locks)那些拥有者进程已经消亡的僵尸git worktree lock。
四、其它高频 Bug 彻底根治
-
消灭外部编辑器粘贴乱码(È/É 字符):修复了一个非常令人抓狂的交互 Bug。此前,当开发者从 Claude Code 复制文本并在终端内部拉起外部编辑器(如 vim、nano 或 VS Code)进行粘贴时,粘贴标记(Paste Markers)会泄露进外部编辑器,导致代码行首尾高频出现莫名其妙的 stray
È或É等乱码字符。新版本已完美剔除该编码污染。 -
彻底拦截
ultracode非人类外部源注入:修复了在之前的版本中,通过 Webhook 回调、PR 联动的外部评论等“非人类真实输入”发送来的 Payload 中如果带有ultracode关键字,也会触发该强思考模式的严重逻辑漏洞。现在系统仅允许人类在控制台打字时触发ultracode。 -
大修
claude attach会话过渡卡死:修复了在会话状态交替的刹那,执行claude attach会高频抛出job not found(未找到任务)或agent is still starting报错的痛点;现在 attach 进程会优雅挂起,静静等待后台守护进程状态彻底稳定(Settle)后再行吸附,且中途触发的终端缩放指令会在吸附成功后自动应用。 -
规则拼写校验上线:现在,如果你在
.claude.json规则配置中错误地使用了类似Write(path)、NotebookEdit(path)或Glob(path)这类不合法或已被废弃的权限控制语法,客户端在启动时会自动弹出醒目的高亮警告,并精准指引你用标准的Edit(path)或Read(path)进行替代。 -
大修多 Worktree 下 grep 报错:修复了本地项目有太多 Git 工作树时,Grep 内容检索工具在分页检索越过结果尾端(Paginating past the end)时,会由于数据溢出错误报错 “No matches found(未找到匹配项)” 的 Bug。
-
保存 Plan 防覆盖重退化:修复了当用户在交互式终端中批准了一个无修改的文件变更方案(Plan Approvals without edits)时,系统会在后台愚蠢地将其标记为已由用户编辑
(edited by user),并用一个陈旧、脏数据历史快照去无情覆盖、回滚覆盖当前的 Plan 计划文件的恶性退化缺陷。 -
大修 BigInt/纯文本结果导致的终端崩溃:修复了当某个 MCP 工具的 Result 渲染器在执行发生异常并返回了原始的
BigInt超大数字或者纯文本(Plain Text)而非 TUI 的 UI 元素时,会导致 Claude 终端进程直接当场致命崩溃(Crash)的鲁棒性缺陷。
五、细节、无障碍与云平台自愈
-
无障碍阅读器模式 Shift+Tab 语音播报:在已启用的无障碍屏幕阅读器模式(Screen Reader Mode)下,当开发者通过快捷键
Shift+Tab循环切换系统当前的权限审批模式(Manual / Auto 等)时,系统现在会通过阅读器大声朗读(Announce aloud)当前切换到的权限模式。 -
联网搜索
/doctor自愈修复:修复了在 Bedrock、Vertex AI 以及 Foundry 托管会话下,/doctor诊断器会错误跳过“自动模式配置”检测的 Bug(因为在这些平台上自动模式现已默认免申请直开)。 -
科研调色盘色彩感知算法升级:大幅升级了内置的
dataviz可视化技能。现在其图表色彩校验算法引入了更为符合人类视网膜色彩感知的 OKLab 感知色差公式,并重新标定、校准了针对红绿色盲、全色盲等障碍群体的对比度限额阈值。 -
内存索引文件
MEMORY.md溢出硬拦截:现在,当内存写入操作导致本地长期记忆索引文件MEMORY.md积压膨胀、超过其最大读取限度时,系统会抛出明确、详尽的 Error 报错阻断,不再像以前一样毫无征兆地在后台默默执行截断(Silent Truncation)从而导致关键上下文丢失。 -
Fable 顾问模式临时下架:由于上游 API 存在导致 Fable 顾问调用发生间歇性崩溃的缺陷,在
/advisor(顾问选择器)菜单中,Claude Fable 5暂时会被标记为不可用(Unavailable)。一旦上游热修复部署完毕,该限制将被无缝解除。
升级命令
由于本次更新包含了针对 Subagent 间接注入的高危防御加固、长耗时工具实时读秒秒表的上线,以及 Git 工作树路径越权穿透主库的毁灭性修复,强烈建议所有极客立刻一键全局无损跟进更新:
Bash
npm install -g @anthropic-ai/claude-code@latest
欢迎在评论区留下你的看法!长耗时工具终于迎来的实时秒表读秒显示,有没有拯救你那饱受“程序是不是卡死了”折磨的焦虑心态?Subagent 间接注入防御的加固,有没有解开你对放开 AI 自动读外部仓库文件时的安全焦虑?欢迎一起在评论区交流讨论!
更多推荐




所有评论(0)