AIコーディングエージェント週次アップデート:2026年7月第3週(7/13〜7/17)

AIコーディングエージェント週次アップデート:2026年7月第3週(7/13〜7/17)

#ai#開発組織

Claude Code・Codex・Gemini・Cursorの主要4製品について、2026年7月13日から7月17日までの1週間に公式に発表・リリースされたアップデートを整理します(前号の締め後にあたる7/10〜7/12の直近リリースも補足します)。本記事はリサーチ記事として中立の立場を取り、各社の公式チェンジログ・リリースノート・公式ブログを一次情報として確認したうえで、二次情報(メディア報道・アグリゲータ)は一次情報との突き合わせを行っています。記載する事実にはすべて出典リンクを付し、裏取りしきれなかった情報や時間感度の高い事項は本文中でその旨を注記しています。

今週の全体像

先週が「業界の構造そのものが動いた週」(Codex独立アプリのChatGPT統合、SpaceXAI×CursorのGrok 4.5)だったのに対し、今週は4製品とも新モデルや買収級のニュースはありません。その代わり、「エージェントに渡した権限と実行量をどう制御するか」に各社が一斉に手を入れた、地固めの週になりました。

Claude Codeは週内5本+補足窓1本の計6リリース(v2.1.207〜v2.1.212)で、セッションあたりのWeb検索・サブエージェント生成に数値上限を設け、/forkをバックグラウンドセッションの仕組みへ作り替えました。CodexはGuardian自動レビューのロールバックに始まり危険コマンド検知の強化で終わるパッチ週。GeminiはCLI安定版v0.51.0に、前号で「安定版ユーザーに未達」と指摘したシンボリックリンク脆弱性修正がようやく収録されました。Cursorは7/10の3.11(Side Chats)以降、対象週内の新規リリースがない静かな週でした。

以下、製品別に日付を追って見ていきます。

Claude Code(Anthropic):6リリースで「暴走防止の上限」と「セッションの分岐」を実装

前週末の補足:v2.1.207(7/11)

前号の締め後、7月11日にv2.1.207が出ています(公式changelogGitHub Releases)。目立つのは提供基盤まわりの2点です。Auto modeがBedrock・Vertex AI・FoundryでCLAUDE_CODE_ENABLE_AUTO_MODEのオプトインなしに利用可能になり(無効化は設定disableAutoMode)、Bedrock・Vertex・AWS上のClaude Platformの既定モデルがClaude Opus 4.8に変更されました。クラウド経由の企業利用でも、直販と同じ「Auto mode+Opus 4.8」が既定になったことを意味します。

セキュリティ系の修正も細かく入っています。プラグインのシェル形式コマンドでの${user_config.*}展開を拒否するシェルインジェクション対策、auto mode設定をリポジトリ内の.claude/settings.local.jsonから読まない変更(リポジトリ由来のファイルでエージェントの権限モードが引き上げられる経路を塞ぐ)、非対話実行時にmanaged settingsが同意ダイアログなしで「同意済み」と記録されていた問題の修正です。単発では地味ですが、いずれも「リポジトリや設定ファイルを経由した権限昇格」への防御です。

7/14の3連リリース:v2.1.208〜v2.1.210

7月14日には1日で3本のリリースが出ました。v2.1.208の目玉はオプトイン式のスクリーンリーダーモードで、claude --ax-screen-reader、環境変数CLAUDE_AX_SCREEN_READER=1、設定"axScreenReader": trueのいずれかで有効化できます。CLIエージェントのアクセシビリティ対応が正式機能になった例として記録しておきたいところです(このリリース自体は100件超の変更を含む大型版で、本文では主要項目のみ扱います)。v2.1.209はバックグラウンドセッションでダイアログが開けなくなる過剰なガードを戻した小修正1件のみです。

v2.1.210には安全系の修正がまとまっています。isolation: 'worktree'指定のサブエージェントが分離worktreeではなく本体リポジトリへgit操作できてしまう問題の修正、ultracodeキーワード(マルチエージェント実行のオプトイン)がwebhookペイロードや中継されたPRコメントなど人間由来でない入力で発火してしまう問題の修正、そしてサブエージェントが読んだコンテンツ経由の間接プロンプトインジェクションに対するAgentツールの耐性強化です。ほかに、長時間ツール実行に経過時間カウンタが付き「固まっているのか動いているのか」が見えるようになりました。

v2.1.211(7/15):承認メッセージの視覚的改ざん対策と「見えない課金」の修正

v2.1.211(docs表記7/15。GitHub上は7/15 23:02 UTCで、JSTでは7/16にあたります)では、--forward-subagent-textフラグと環境変数CLAUDE_CODE_FORWARD_SUBAGENT_TEXTが追加され、サブエージェントのテキストと思考をstream-json出力に含められるようになりました。マルチエージェント構成をSDKで組む開発者向けの観測性改善です。

見逃せないのは2つの修正です。1つ目は、チャットチャネルへ中継される権限プレビューで双方向テキスト上書き文字・ゼロ幅文字・見た目が紛らわしい引用符を無害化する修正。ツールの入力文字列が承認メッセージの見た目を改ざんし、人間に別のコマンドを承認させる攻撃経路への対策で、前週の「偽装承認文言への耐性」と地続きの変更です。2つ目は、Bedrock・Vertex・Mantle・Foundryでprompt cachingのリグレッションにより末尾のシステムコンテキストブロックが毎リクエスト新規入力トークンとして課金されていた問題の修正。キャッシュが効いているつもりで課金だけ増える障害で、クラウド経由利用者は請求への影響を確認する価値があります。

このほか同バージョンでは、バックグラウンドエージェントの結果報告が改善され、実行中のエージェントについては完了を待って実際の結果を報告し、結果を捏造しないよう修正されました。また「常に許可」の権限ルールがgit worktreeごとではなくリポジトリルートに保存されるようになり、worktreeをまたいで承認が引き継がれます。マルチセッション運用の細部が着実に埋められている週でもあります。

v2.1.212(7/17):/forkがバックグラウンドセッションになり、実行量に「数値の上限」が付いた

調査週最終日の7月17日に出たv2.1.212は、今週のClaude Codeの目玉です(公式changelog)。

  • /forkの再設計:会話を新しいバックグラウンドセッション(claude agentsに独立した行として表示)へコピーし、元のセッションはそのまま作業を続けられます。従来/forkが起動していたインセッションのサブエージェントは**/subtaskに改称**されました
  • セッション上限の導入:WebSearchツール呼び出しに上限(既定200、CLAUDE_CODE_MAX_WEB_SEARCHES_PER_SESSIONで調整)、サブエージェント生成に上限(既定200、CLAUDE_CODE_MAX_SUBAGENTS_PER_SESSIONで上書き、/clearでリセット)。いずれも公式の説明は「暴走ループを止めるため」です
  • 長時間MCPツール呼び出しの自動バックグラウンド化:2分を超えたMCPツール呼び出しは自動でバックグラウンドへ移り、セッションが操作可能なまま保たれます(しきい値はCLAUDE_CODE_MCP_AUTO_BACKGROUND_MS
  • 権限まわりの修正:plan mode(計画モード)がtouchrmなどファイルを変更するBashコマンドを許可プロンプトなしに自動実行していたバグ、リポジトリにコミットされた.claude/worktreesのシンボリックリンクを辿ってworktree作成がリポジトリ外にファイルを作れた問題を修正
  • Taskツールのmodeパラメータを廃止(指定は無視)し、サブエージェントは親セッションの権限モードを既定で継承するよう変更

周辺の変更も方向が揃っています。エージェントビューで/resumeと打つと過去セッション(一覧から削除したものを含む)のピッカーが開き、選んだセッションをバックグラウンドセッションとして再開できるようになりました。引数なしの/btwが直近のやり取りのサイドクエスチョンパネルを開き直し、過去の回答を遡れるようになる変更や、auto modeの設定を確認プロンプト付きで初期状態に戻すclaude auto-mode resetコマンドの追加も入っています。ガバナンス面では、Enterprise向けのforceLoginMethod(ログイン方法の強制)が従来のターミナルに加えてVS Code拡張・SDK・setup-tokenにも適用されるようになりました。このほか、prompt cachingの会話途中システムブロックがLLMゲートウェイ・カスタムベースURL(Bedrock/Vertex/1P)越しでも機能するようになり、エージェント間メッセージング(SendMessage)の本文重複が削られてトークン使用量が減っています。/forkのバックグラウンド化・/subtask分離・/resumeピッカーを並べると、「本線の会話を止めずに、セッションを分岐・再開・監視する」ための構造整備が今週のテーマだったことがわかります。

プラットフォーム側:メモリ刷新とHIPAAセルフサーブ

Claude本体では、7月10日にメモリ機能の刷新がありました。従来の日次サマリー方式から「会話中にClaudeが読み書きするカテゴリ別の個別エントリ」方式に変わっています(公式リリースノート)。7月14日にはHIPAA構成のセルフサーブ化が入り、対象組織の管理者はBAAの確認から実装ガイドの取得、HIPAA構成の有効化までを一連のフローで完結できるようになりました(Claude EnterpriseとClaude Platform/API対象)。医療系案件でClaudeを検討する企業には実務上の障壁が一段下がる変更です。なお今週、Anthropicから新モデルの発表はありませんでした。

Codex(OpenAI):Guardianロールバックに始まり、危険コマンド検知強化で終わるパッチ週

前週にChatGPTアプリ統合とGPT-5.6ファミリーという大きな動きがあったCodexは、今週は品質と安全のパッチに徹しました(公式changelogGitHub Releases)。

  • 7/13:CLI 0.144.2 ——「プロンプティングのリグレッションをロールバックし、従来のGuardian自動レビューポリシー・リクエスト形式・ツール挙動を復元した」。自動レビュー機構Guardianの挙動を変えるプロンプト変更が回帰を起こし、即座に戻したことを公式チェンジログが明記した形です。同日の0.144.3はマージ変更なしのバージョン繰り上げのみ
  • 7/13:ChatGPT for iOS 1.2026.188 —— Codexタスク内のインライン可視化に対応。会話からのタスク作成・管理、ツール実行表示、承認プリセットなどの改善も同時に入り、モバイルからのエージェント操作の作り込みが続きます
  • 7/14:CLI 0.144.4 —— ユーザー向け変更なしのメンテナンスリリース
  • 7/16:CLI 0.144.5 —— 唯一のユーザー向け変更として危険コマンド検知を強化。強制rmの派生形をより広く捕捉し、コマンド拒否時の理由表示を明確化しました
  • 7/15〜17:0.145.0-alpha.12〜alpha.20 —— 次期0.145.0系のプレリリースが3日間で8本。安定版の刻みは小さいものの、開発ケイデンス自体は高速を維持しています

方向性としては、Claude Codeが前週入れた「変数へのrm -rf実行前の確認」と同じく、破壊的コマンドを製品側で検知して止める流れにあります。またGuardianの一件は、エージェントの自動レビュー挙動がプロンプト変更ひとつで回帰しうること、そしてそれをロールバックとして透明に記録する運用が始まっていることの両方を示しています。

Gemini(Google):v0.51.0で「例のセキュリティ修正」がようやく安定版へ

7/16:Gemini CLI v0.51.0——セキュリティ修正中心の安定版

Gemini CLIのGitHub Releasesによると、7月16日に安定版v0.51.0がリリースされました(v0.50.0は7/8、ほぼ週次サイクルです)。中身はセキュリティ修正が中心です(リリースノート)。

  • メモリインポート処理のシンボリックリンク経由ディレクトリエスケープ修正(PR #28233)が安定版に収録されました。前号で「7月10日時点では安定版だけを追うユーザーに届いていない」と指摘した高深刻度の修正(悪意あるリポジトリがGEMINI.mdの@-import機構経由でホスト上のファイルをプロンプトに流出させうる問題)が、リリースサイクル1周・約8日で安定版に到達したことになります
  • 機密パスのブロックリストを大文字小文字を無視して照合するよう強化(#27966)。大文字小文字の表記揺れでブロックを迂回できた穴を塞ぎます
  • スクラブ済み履歴のターンからthought(思考過程)を除去し、thought漏洩を解消(#27971)
  • macOSサンドボックスで~/.gitconfigを読み取り専用化するなどのサンドボックス強化

同日にはv0.52.0-preview.0も公開され(リリースノートにはwrite_file/replaceでのJSON・IPYNBファイルに対するLLM補正のバイパスや、キャンセルされたツール応答のグループ化による400エラー防止が挙がります)、nightlyビルドも7/13〜16に連日出ており、開発ケイデンスは活発です。一方Gemini Code Assistのリリースノートは6月19日を最後に7月のエントリがなく(4週連続の更新なし)、個人向けGemini CLI提供終了とAntigravityへの移行期という前号までの背景は変わっていません。今週のGemini系は「CLIのセキュリティ修正が安定チャネルに行き渡った週」と総括できます。

Cursor(Anysphere):3.11「Side Chats」以降は静かな週

前週末の補足:3.11(7/10)——本線を止めない並行会話と会話検索

対象週(7/13〜17)のCursorには新規のチェンジログ・ブログ投稿がなく、直近のリリースは補足窓にあたる7月10日の3.11です(公式チェンジログ)。内容は4点です。

  • Side Chats/side/btwコマンドまたはチャットパネルのプラスボタンで、メインのエージェント会話と並行する会話を起動できます。使い捨てではなく、後から再訪でき、@メンションで本線に文脈を引き戻せる持続的なフル会話です
  • Conversation Search:Agents WindowのCmd+Kから、エージェントの全会話履歴をローカル検索インデックスで横断検索できます(数千会話規模に対応)。Cmd+Fでの会話内検索(マッチカウンタ付き)も追加されました
  • プロジェクト/リポジトリピッカーの刷新:ピッカーから離れずにプロジェクト作成やGitHub・GitLab・Azure DevOps接続まで行えます
  • Cloud Agent Hooksの拡張beforeSubmitPromptafterAgentResponseafterAgentThoughtstopsubagentStartで、エージェントの会話フローを外部から観測・制御できます。出力の監視や自己修正ループの構築が狙いとされています

なお価格面では、6月に告知されたTeamsプラン改定(Standardシート月払い$40・年払い相当$32、使用量5倍・価格3倍のPremiumシート新設、自社モデルとサードパーティAPIの2プール分割)が、更新顧客にも7月1日から適用されています(公式ブログ)。今週の新規発表ではありませんが、7月の請求から効き始める時限情報として付記しておきます。Grok 4.5(7/8)という大玉の直後であり、今週は消化週と見るのが妥当でしょう。

横断的に見える4つの傾向

1. 「上限」と「確認」が数値付きの製品仕様になった。Claude CodeはWebSearch・サブエージェント生成にセッションあたり200回という具体的な上限を入れ、plan modeの権限バグを塞ぎました。Codexは危険コマンド検知を強化し、Guardianの回帰を即座に戻しました。Gemini CLIはセキュリティ修正をまとめて安定版に載せました。前週号で「自律エージェントを安全に放し飼いにするための柵」と書いた流れが、今週は既定値200という数字や既定有効の検知機構として、誰でも触れる形に降りてきています。

2. 「本線と脇道」の分離が共通UIパターンになりつつある。CursorのSide Chats(/side/btw)と、Claude Codeの/forkバックグラウンドセッション化・/subtask分離は、どちらも「メインの会話を止めずに別の作業や疑問を処理する」ための構造です。偶然ですが、同じ週に同じ/btwというコマンド名が2製品の変更履歴に載りました。エージェントとの協働セッションが長時間化した結果、人間側の思考の分岐をどう製品構造に写すかが共通の設計課題になっています。

3. 承認UIそのものが攻撃面として扱われ始めた。Claude Code 2.1.211の「権限プレビューでの双方向上書き・ゼロ幅・類似引用符の無害化」は、ツール入力が人間の見る承認メッセージを視覚的に改ざんする攻撃への対策で、2.1.210の間接プロンプトインジェクション耐性強化、ultracodeキーワードの非人間入力での発火防止も同じ層にあります。Codexの「拒否理由の明確化」も、人間が判断に使う情報の信頼性を上げる同方向の改善です。2.1.211の「実行中エージェントの結果を捏造せず、完了を待って実際の結果を報告する」修正も、判断材料の忠実性という同じ問題系にあります。エージェントの安全は「実行を止める」段階から「人間に見せる情報自体を偽装や捏造から守る」段階に進んでいます。

4. 公式単価表の外で実効コストが動いている。Claude Code 2.1.211では、Bedrock・Vertex・Mantle・Foundryでprompt cachingのリグレッションにより毎リクエスト余計な入力課金が発生していた問題が修正され、2.1.212ではゲートウェイ・カスタムベースURL越しのキャッシュ対応が広がりました。モデル単価の比較はどの組織もやりますが、キャッシュが自分の利用経路で実際に効いているかは請求を見ないとわかりません。ゲートウェイやクラウドマーケットプレイス経由でエージェントを大量運用する組織ほど、単価表ではなく実測での監視が必要です。

まとめ:数字で見る7月第3週

  • Claude Code:本体6リリース(v2.1.207〜v2.1.212。うち7/14に3本)。新モデル発表0。プラットフォーム側はメモリ刷新1件・HIPAAセルフサーブ化1件
  • Codex:CLI安定版4本(0.144.2〜0.144.5)+0.145.0-alphaプレリリース8本、iOSアップデート1本。新モデル発表0
  • Gemini:CLI安定版1本(v0.51.0)+プレビュー1本+nightly連日。Code Assistのリリースノート更新0(4週連続)
  • Cursor:対象週のチェンジログ・ブログ0本(直近は補足窓7/10の3.11)

先週を「楽団の編成自体が変わった週」と書きましたが、今週は各奏者が楽器のチューニングをやり直した週でした。4製品が同じ週に権限・上限・承認まわりを揃って触ったのは偶然ではありません。エージェントを長時間・並列で走らせる使い方が標準になった結果、「止め方」「見張り方」「課金の見え方」が製品価値そのものになったということです。来週はCodex 0.145.0の正式版、Cursorの次のマイナーリリース、そしてGemini系の移行期の出口が焦点になります。引き続き一次情報ベースで追跡します。

主要出典一覧

(2026年7月17日時点の情報に基づいています。価格・提供条件は変更される可能性があるため、判断の際は必ず一次情報をご確認ください。)

関連して読める記事

ツールの週次動向は、それを経営・開発の判断にどうつなげるかとセットで読むと価値が出ます。前号に加え、今週の傾向(ガードレールの整備と実効コスト)に直結する2本もあわせてどうぞ。

AIコーディングエージェント週次アップデート:2026年7月第2週(7/6〜7/10)

2026年7月第2週(7/6〜7/10)のClaude Code・Codex・Gemini・Cursorの公式アップデートを、各社のチェンジログ・リリースノートなど一次情報にあたって検証したリサーチ記事です。SpaceXAIとCursorの共同モデルGrok 4.5、OpenAIのGPT-5.6発表とCodexのChatGPTデスクトップアプリ統合、Claude Codeの安全ガードレール強化、Gemini CLI安定版のセキュリティ修正未収録問題を出典リンク付きで整理し、横断的に見える4つの傾向をまとめます。

2026年7月10日

「AIで安く作る」ほど、運用費で高くつく理由

AIで安くなったのは「作る費用」だけで、保守・障害対応・問い合わせ対応といった「直し続ける費用」は安くなっていません。初期費用の安さがなぜ運用費に跳ね返るのか、その構造と、総コストで判断するためのチェックリスト・90日での体制の整え方を、現場でAI駆動開発を回している立場から整理します。

2026年7月4日

AIを入れても開発が速くならない現場、3つの共通点

Stripeが5,000万行の移行を1日で終える一方、「AIを入れたのに開発が速くならない」という相談は増え続けています。DORA 2025レポートの「AIは増幅器」という結論を踏まえ、AIがワークしない現場に共通する3つの欠落——食わせる情報がない・動ける足場がない・出力を検証する仕組みがない——と、見落とされがちな「モデル調達(稟議)」の構造問題、そして何から着手すべきかの順序を、現場でAI駆動開発を回している立場から整理します。

2026年7月16日
この記事をシェア