Claude Code v2.1.183|git reset・terraform destroyを止める新セーフティ
- Claude CodeのAuto Modeを日常的に使っているエンジニア・フリーランス
- AIエージェントにインフラ操作(terraform、git)を任せている方
- 2026年2月のDataTalks事件のようなインシデントを未然に防ぎたいチームリード
「terraform destroyの一行で、約194万行のデータと2年半分の学習履歴が消えた」。2026年2月26日、DataTalks.Club創業者のAlexey Grigorev氏がClaude Codeとの作業中に経験した事故である(Tom’s Hardware、本人の復旧記録)。AWSサポートのエスカレーションでスナップショットが見つかり24時間で復旧したが、世界中のDevOps担当者の背筋を凍らせるには十分な事件だった。
あれから約4ヶ月。Anthropicは2026年6月19日、Claude Code v2.1.183 をリリースした。今回の目玉は静かだが重い。Auto Modeで実行される破壊的なgitコマンドとインフラ削除コマンドが、原則としてブロックされるようになった。
v2.1.183は新機能というより「やらかし防止」の設計レイヤー追加だ。Auto Modeを本格運用する前提条件がひとつ整った。とはいえバイパスモード(--dangerously-skip-permissions)にはこのガードは効かない。混同しないこと。
ブロック対象のコマンド一覧
公式CHANGELOG とClassmethod DevelopersIOの解説記事(2026年6月19日)から整理する。
| 種別 | コマンド | ブロックの条件 |
|---|---|---|
| Git | git reset --hard | ユーザーが「ローカル変更を破棄してほしい」と明示していない場合 |
| Git | git checkout -- . | 同上 |
| Git | git clean -fd | 同上 |
| Git | git stash drop | 同上 |
| Git | git commit --amend | 直前のコミットが当該セッションのエージェントによるものでない場合 |
| インフラ | terraform destroy | 対象スタックを明示的に指示していない場合 |
| インフラ | pulumi destroy | 同上 |
| インフラ | cdk destroy | 同上 |
論理は単純だ。「ユーザーが具体的に許可した破壊」のみを通し、文脈から推測された破壊は止める。エージェントが「掃除したほうがよさそうですね」と判断して走らせるパターンを抑制する。
なぜgit commit —amendまで対象か
--amendは破壊的に見えない。だが直前のコミットがチームメイトのものだった場合、強制プッシュと組み合わさるとローカル履歴を書き換えてしまう。「セッション内でエージェントが作ったコミットだけ修正できる」というルールは、共有ブランチを守る現実的な落とし所だ。
「ローカル変更を捨てたい」という指示は通る
ガードは「破棄系を全面禁止」ではない。明示的な依頼は通過する。
# これは通る
> ローカルの変更を全部捨ててHEADに戻したい
# これは止まる
> ビルドエラーを直して
(Claudeが勝手に git reset --hard を実行しようとする)
「明示」の判定はAuto Mode内蔵の分類器(Sonnet 4.6)が行う。 3月に登場したAuto Modeの基本構造 の延長線上にあり、判定対象が「リスクのある操作」から「破壊的な操作」へ拡張された格好だ。
実ユーザーの声:何が救われるのか
Gitユーザー向けの解説記事には、git reset --hard の事故事例がいくつも残っている。3時間分の未コミット変更を --soft のつもりで --hard してロストした開発者の話(DataCamp)。Gitユーザー調査では、約25%が「リセットしすぎて作業を失った経験あり」、約10%が「数時間以上の作業を git reset --hard で失った」と回答している(同記事内引用)。
寝不足の深夜作業や、CIから流れてきた指示文を雑に確認したまま実行に進む状況で、こうした事故は起きる。AIエージェントが裏で勝手に「ブランチをきれいにしておきました」と動いた場合のリカバリーは、人間が自分で叩いた時よりさらに難しい。
そして冒頭のDataTalks事件。Gruntworkのエンジニアは事件を振り返る記事の中で、「標準のDevOps安全策(削除保護、リモートステート、バックアップ検証、最小権限)は、運用者がAIエージェントだからこそ、より重要だ」と書いている(Gruntwork Blog)。
v2.1.183のガードは、これら2つのストーリーが繰り返されるリスクを下げる方向に効く。完全に消えるわけではない。だが「うっかり」の頻度は明確に下がる見込みだ。
v2.1.183のそれ以外の変更
破壊コマンド以外にも、地味だが効く改善が含まれている。
attribution.sessionUrl:claude.aiセッションリンクを外せる
Web版またはRemote ControlセッションでClaude Codeが作るコミットメッセージとPR本文には、これまで https://claude.ai/code/session_xxx のような深層リンクが自動付与されていた。プライベートリポジトリの社外公開時にこのリンクが残ると気まずい、というフィードバックを受けて追加された設定だ(GitHub Issue #66504)。
{
"attribution": {
"commit": "",
"pr": "",
"sessionUrl": false
}
}
これで全アトリビューションを完全に消せる。ローカルCLIセッションでは元々付かないため、影響範囲は限定的。
/config —help と トグル挙動の見直し
/config のショートハンドキー一覧が --help で確認できるようになった。地味だが、設定キーが増えすぎて公式ドキュメントを開かないと分からなかった状態の改善だ。トグル系の値(boolean)も、誤って反転させにくいUIに調整されている。
廃止モデルの警告がstderrにも
廃止予定モデルを指定して走らせた場合、--print モードのstderrにも警告メッセージが出るようになった。CIで claude -p を叩いているチームには地味に効く。気付かないまま廃止日を迎えてジョブが落ちる事故が、ログ監視で拾えるようになった。
スケジュール実行と承認の分離(セキュリティ)
scheduled tasks やwebhook trigger 経由で起動されたClaude Codeは、もはやキーボード入力として扱われなくなった。Auto Mode下で「ユーザーが承認した」と誤認されない設計に変更された格好だ。ローカル開発で気付くことはあまりないが、ホスト型でClaude Codeを動かしているチームには重要な修正だ。
細かいバグ修正
- 思考ブロックだけ返した時にターンが無音終了する不具合の修正
- サブエージェントでのWebSearch機能の動作改善(サブエージェント全般の話はこちら)
- Windows Terminal環境でのTUI表示崩れの解消
- vimモードのカーソル位置とフルスクリーン描画の修正
- MCP認証スタブツールが他ツールから見えていた問題の修正
- tmuxチームメイトペインの起動失敗の修正
PMとして見た評価
「セーフティはあるに越したことはない」と言うのは簡単だ。だが、開発者が手を止めずに前へ進めるためのガードレールこそ、AI開発ツールの差別化要因になりつつある。
率直に書くと、PMの立場からClaude Codeを評価するとき、私は3つの観点を見る。コミット履歴の信頼性、本番インフラへのアクセス範囲、そしてオンボーディング負荷。v2.1.183は1つめと2つめに直接効く。チームに「Auto Mode禁止」と通達していた組織が、「条件付きOK」に方針を緩める根拠ができた。
ただし誤解してはいけない。--dangerously-skip-permissions モードでは今回のガードは効かない。フラグ名の通り「危険を承知でスキップ」する選択肢は残っており、Auto Mode と混同してはならない。
2026年4月の/powerup・MCP 500Kアップデート、6月10日の入れ子サブエージェント と続いた一連の流れを見ると、Anthropicは「機能の拡張」と「安全の補強」を交互にリリースしている。エージェントの自律性を上げた直後に、その失敗コストを下げる手を入れる。プロダクトのリリース順としては教科書通りで、好感が持てる。
私自身、本番DBに触るterraform plan/applyのスクリプトを書く時は、これまでAuto Modeを切っていた。v2.1.183以降は、最低限のフラグ(-target=...)を指示文に含めた上でAuto Modeを試す、というラインに更新した。完全な信頼ではないが、現実的な妥協点だと思っている。
アップデート方法
# バージョン確認
claude --version
# 最新版に更新
claude update
2.1.183 以上になっていれば反映済み。それ以降のパッチ(2.1.185では待機メッセージの文面と表示秒数を変更)も自動で取り込まれる。
今回のセーフティはAuto Mode(--permission-mode auto相当)でのみ動作する。--dangerously-skip-permissions(バイパスモード)では全く効かない。チーム内でドキュメントを書く時は、両者を必ず区別すること。
Claude Codeをさらに深く知るなら
Auto Modeの基礎、6月の他のアップデート、セキュリティ全般の解説記事もあわせてどうぞ。
本記事は2026年6月21日時点の公開情報に基づく。Claude Codeのバージョン番号と挙動は変更される可能性がある。本記事は一般的な技術情報の提供を目的としており、特定の環境での動作を保証するものではない。インフラ削除コマンドの実行や強制的なgit操作は、AIエージェント使用の有無にかかわらず、必ずバックアップとロールバック手順を確認した上で実行してほしい。