2026-06-06 Claude Code

Claude Code v2.1.167リリース（6月6日）: カスタムAPIゲートウェイOAuth資格情報漏洩リグレッション再修正・MCP reconnect-looping修正

Summary

Claude Code v2.1.167が6月6日01:33 UTCにリリース。セキュリティ重要修正として、カスタムAPIゲートウェイがユーザーのAnthropic OAuthクレデンシャルを誤受信するリグレッションを再修正（v2.1.153で修正済みだった問題がv2.1.166で再発）。ステートフルMCPサーバーでオプショナルGET SSEストリーム未実装時にtools/listでreconnect-loopingが発生するバグを修正（v2.1.147からのリグレッション、約2.5週間未修正）。サブエージェント（Agent Tool）のfrontmatter MCPサーバーが`--strict-mcp-config`等の設定オプションを無視する問題を修正。Windows PowerShellインストーラーがインストール失敗時に「Installation complete!」と誤報告する問題を修正。`claude update`がnpmインストール時に設定されたリリースチャネルではなく最新バージョンをインストールする問題を修正。

Key Takeaways

カスタムAPIゲートウェイOAuth資格情報漏洩がv2.1.153修正後にv2.1.166で再発 — v2.1.166のfallbackModel関連変更が影響した可能性、カスタムAPIゲートウェイ利用者は即時アップデート必須
ステートフルMCPサーバーのreconnect-looping修正（v2.1.147リグレッション） — 約2.5週間の長期間影響、本番MCPサーバー利用者にとって重要な安定性修正
サブエージェントのMCPサーバー設定無視はv2.1.153でも修正されたが再発 — セキュリティポリシー（strict-mcp-config等）の適用漏れはエンタープライズ環境で重大

Best Practice Updates

カスタムAPIゲートウェイ利用者はv2.1.167への即時アップデートが必須 — OAuth資格情報漏洩リスク
ステートフルMCPサーバー利用者はv2.1.147以降のreconnect-loopingから解放されるため即時アップデートを推奨
セキュリティ修正の再発パターン（v2.1.153→v2.1.166→v2.1.167）を踏まえ、カスタムAPIゲートウェイ環境では各リリースのOAuth動作検証を継続すべき

元記事の著作権は各著作者に帰属します。