Claude Code 2.1.98: Subagent-Monitor, Perforce-Mode und kritischer Bash-Permission-Fix

Innerhalb weniger Wochen hat Claude Code mit den Versionen 2.1.94, 2.1.96, 2.1.97 und 2.1.98 mehrere spuerbare Schritte gemacht. Drei Schwerpunkte stechen heraus: Subagenten werden endlich sichtbar und steuerbar, das Bash-Tool bekommt mehrere ueberfaellige Security-Korrekturen, und der Werkzeugkasten oeffnet sich weiter Richtung Unternehmens-Stacks (Google Vertex AI, Amazon Bedrock via Mantle, Perforce). Wer Claude Code im Alltag nutzt, sollte mindestens auf 2.1.98 aktualisieren -- nicht wegen der Features, sondern wegen eines Bash-Permission-Bypass, der zu Remote Code Execution fuehren konnte.

Sichtbarkeit fuer Subagenten

Bisher waren delegierte Subagenten weitgehend eine Black Box: Man wusste, dass etwas im Hintergrund laeuft, hatte aber wenig Einblick. Das aendert sich mit 2.1.97 und 2.1.98 grundlegend.

/agents zeigt jetzt ein Tabbed Layout. Neben der Library mit allen verfuegbaren Agent-Typen gibt es eine Running-Tab, in der live laufende Subagent-Instanzen aufgelistet sind. Aus der Library heraus lassen sich Agenten direkt starten oder bestehende Instanzen ansehen. Ergaenzend signalisiert ein ● N running-Indikator neben jedem Agent-Typ, wie viele Instanzen aktuell aktiv sind.

Zusaetzlich existiert in 2.1.98 ein neues Monitor-Tool, das Streaming-Events aus Background-Skripten in Echtzeit abgreift. Wer haeufig laenger laufende Agent-Pipelines startet, kann damit Status, Fortschritt und Fehler unmittelbar im Hauptkontext sehen, statt am Ende auf einen kompletten Dump zu warten. Auch Fehlerbilder wurden geschaerft: Subagenten, die mit einem Fehler abbrechen, melden ihren Teilfortschritt jetzt korrekt an den Parent-Agent.

Security-Hardening im Bash-Tool

Der wichtigste Punkt zum Aktualisieren ist ein Bash-Permission-Bypass, der in 2.1.98 geschlossen wurde: Ein backslash-escaped Flag konnte als Read-Only-Operation ausgewertet und damit automatisch erlaubt werden. Da der Bash-Tool damit beliebige Befehle anstossen konnte, war daraus Remote Code Execution moeglich. Weitere zusammenhaengende Korrekturen:

• Compound Commands: Verkettete Bash-Befehle konnten erzwungene Permission-Prompts in auto- und bypass-permissions-Modus umgehen.
• Env-Var-Praefixe: Read-only-Befehle mit Env-Var-Praefix wurden nur fuer eine kleine Whitelist (LANG, TZ, NO_COLOR, ...) automatisch erlaubt -- alles andere fragt jetzt nach.
• Netzwerk-Redirects: Umleitungen nach /dev/tcp/... und /dev/udp/... wurden frueher implizit zugelassen, was eine Datenausleitung ueber harmlose Befehle ermoeglichte. Jetzt loesen sie einen Permission-Prompt aus.
• Prototype-Property-Bug: Permission-Regeln, deren Name mit JavaScript-Prototype-Properties wie toString kollidierte, fuehrten dazu, dass die gesamte settings.json stillschweigend ignoriert wurde. Das ist behoben.
• Linux Subprocess-Sandboxing: Mit CLAUDE_CODE_SUBPROCESS_ENV_SCRUB startet Claude Code Subprozesse jetzt in einem PID-Namespace. Zusammen mit CLAUDE_CODE_SCRIPT_CAPS lassen sich Skript-Aufrufe pro Session begrenzen.

Alleine diese Fixes rechtfertigen das Update. Wer Claude Code in Auto- oder Bypass-Modus betreibt, sollte 2.1.97 oder aelter nicht weiter benutzen.

Enterprise-Integrationen

Die Einbindung in Unternehmensumgebungen ist deutlich glatter geworden:

• Google Vertex AI Setup-Wizard (2.1.98): Im Login-Screen steht unter "3rd-party platform" ein interaktiver Assistent, der durch GCP-Authentifizierung, Projekt- und Region-Konfiguration, Credential-Verifikation und Model-Pinning fuehrt. Das ersetzt die vorher manuelle ENV-Var-Choreografie.
• Amazon Bedrock via Mantle (2.1.94): Mit CLAUDE_CODE_USE_MANTLE=1 laeuft Bedrock ueber den Mantle-Gateway. Praktisch fuer Unternehmen, die ihre LLM-Aufrufe zentral auditieren oder routen.
• Perforce-Mode (2.1.98): CLAUDE_CODE_PERFORCE_MODE sorgt dafuer, dass Edit, Write und NotebookEdit an Read-Only-Files mit einem p4 edit-Hint scheitern, statt sie still zu ueberschreiben. Ein kleiner, aber wichtiger Schutz fuer Perforce-Workflows.
• Default Effort Level (2.1.94): API-Key-, Bedrock-, Vertex-, Foundry-, Team- und Enterprise-Nutzer arbeiten standardmaessig mit effort high. Der Mehrverbrauch ist messbar, die Antwortqualitaet aber deutlich besser. Wer sparen will, dreht ueber /effort zurueck.
• LSP clientInfo: Claude Code identifiziert sich gegenueber Sprachservern jetzt explizit -- relevant fuer LSPs, die Telemetrie nach Client unterscheiden.

Quality-of-Life

Im Alltag fallen mehrere kleinere, aber spuerbare Verbesserungen auf:

• Focus View (2.1.97): Ctrl+O schaltet im NO_FLICKER-Modus einen reduzierten View ein -- Prompt, einzeilige Tool-Zusammenfassung mit Diff-Stats, finale Antwort. Hilfreich, wenn die Tool-Logs visuelles Rauschen erzeugen.
• Status Line refreshInterval (2.1.97): Die Status Line laesst sich jetzt periodisch neu rendern. Damit lassen sich Token-Counts, Branch-Status oder eigene Metriken live nachfuehren.
• workspace.git_worktree (2.1.97/98): Der Status-Line-JSON-Input enthaelt ein neues Feld, sobald das aktuelle Verzeichnis in einem Linked Worktree liegt. Praktisch fuer Multi-Branch-Setups.
• /reload-plugins (2.1.98): Plugin-Skills werden jetzt ohne Restart neu geladen. Wer eigene Skills entwickelt, spart sich den staendigen Session-Neustart.
• /claude-api Skill: Deckt jetzt zusaetzlich Managed Agents ab.
• --exclude-dynamic-system-prompt-sections (2.1.98): Im Print-Mode fuer besseres Cross-User Prompt Caching -- relevant fuer SDK- und CI-Pipelines mit hohem Durchsatz.
• W3C TRACEPARENT in Bash-Subprocesses bei aktivem OTEL-Tracing: Child-Spans haengen sich korrekt unter den Claude-Code-Trace.
• Slack MCP (2.1.94): Der Slacked #channel-Header ist kompakter und enthaelt einen klickbaren Link.

Daneben wurden mehrere --resume-Probleme behoben (verschwindende Diffs bei Files >10KB, kaputte Filter, Cache-Misses), 429-Retries nutzen jetzt korrekt Exponential Backoff und Accept-Edits-Mode akzeptiert auch Befehle mit harmlosen Env-Var-Praefixen oder Process-Wrappern wie timeout 5 mkdir out.

Relevanz

Wer Claude Code aktiv nutzt, sollte direkt auf 2.1.98 gehen -- der Bash-Bypass ist kein theoretisches Risiko. Im Alltag lohnt es sich, die Running-Tab in /agents und das neue Monitor-Tool auszuprobieren, sobald man laengere Background-Pipelines anstoesst. Wer in einem Vertex- oder Bedrock-Setup arbeitet, profitiert vom neuen Wizard und der Mantle-Integration ohne weitere Konfiguration. Das Perforce-Flag ist nur fuer entsprechende Shops relevant, dort aber ein klarer Gewinn an Sicherheit gegen versehentliche Overwrites. Und wer Skills entwickelt, sollte sich /reload-plugins zur Gewohnheit machen.

Quellen

• Claude Code Changelog auf GitHub
• Claude Code Docs -- Changelog