AI Provider 最新动态:Claude Code 4 月 1 日这波更新,开始把权限延期、子代理命名和 PowerShell 安全补成一套

发表于 分类于 阅读次数: Changyan: 本文字数: 4.5k 阅读时长 ≈ 4 分钟
Anthropic 官方 GitHub release 页显示,Claude Code `v2.1.89` 与 `v2.1.90` 在 2026-04-01 连续发布,补上 deferred `PreToolUse` decision、named subagents、nonblocking MCP connection 和多项 PowerShell permission hardening。这不是模型大版本,但对 headless、Windows 和企业治理链路很实。

按北京时间 2026 年 4 月 2 日 回看最近 48 小时,Anthropic 在 provider 赛道里最值得跟的一条,是 Claude Code2026-04-01 连发了 v2.1.89v2.1.90

如果只扫 release notes,你可能会把它看成一串细碎修补。
我不太认同。

把这两版连起来看,Anthropic 其实在补同一件事:

让 Claude Code 在 headless 流程、Windows 环境和团队治理链路里更像一个能长期放进生产边缘的终端 agent。

最值得看的改动主要有四类:

  1. PreToolUse hook 支持 "defer",headless session 可以在工具调用点暂停再恢复
  2. PermissionDenied hook、named subagentsMCP_CONNECTION_NONBLOCKING 继续补 orchestration 和治理手感
  3. v2.1.90 集中修了 deferred tools / hook / resume 的稳定性问题
  4. 同一版里还补了多项 PowerShell tool permission checks 加固

它不会带来“模型能力突然跃迁”的那种观感。
但它确实会影响一批团队怎么接 Claude Code。

1. 这次变更到底发生了什么

先看明确日期。

Anthropic 官方 GitHub release 页显示:

  1. v2.1.89 发布时间是 2026-04-01 01:07
  2. v2.1.90 发布时间是 2026-04-01 23:41

这两版最关键的内容,我会拆成三条主线来看。

1) headless 工具调用终于能“先暂停,再决定”

v2.1.89 加了一个很关键的能力:

PreToolUse hooks 现在支持 "defer" permission decision。

官方 release 的原话很清楚:headless sessions 可以在某个工具调用点暂停,再用 -p --resume 恢复,让 hook 重新评估。

这条变化补的是自动化流程里一个很老的坑:

  1. agent 跑到高风险命令时,之前只能立刻放行或立刻拒绝
  2. 真正复杂的团队治理却常常需要“先停住,等外部系统或人类给结论”

有了 defer 之后,审批链和 headless CLI 之间终于多了一个正式接口。

2) subagents、MCP、permissions 开始更像一条线

还是在 v2.1.89 里,Anthropic 同时做了几件不该被低估的事:

  1. 加了 PermissionDenied hook,自动模式被分类器拦下后还能把控制权再交给模型决定是否重试
  2. @ mention 的 typeahead 开始支持 named subagents
  3. -p 模式下可以通过 MCP_CONNECTION_NONBLOCKING=true 直接跳过 MCP 连接等待,同时把 --mcp-config 的连接上限压到 5 秒

这几条放在一起看,指向很一致:

Anthropic 在把子代理、hook、MCP 和权限决策往一条更可编排的运行时链路上收。

3) Windows 和 PowerShell 安全被摆到了显眼位置

v2.1.90 里最扎眼的一条,是对 PowerShell tool permission checks 的集中加固。

官方 release 直接点名修了几类问题:

  1. trailing & background job bypass
  2. -ErrorAction Break debugger hang
  3. archive-extraction TOCTOU
  4. parse-fail fallback deny-rule degradation

这不是 UI 小修。
更准确地说,Anthropic 已经开始把 PowerShell 当成正式攻击面和正式执行面来对待。

2. 为什么这件事现在值得看

如果你只把 Claude Code 用在交互式的小任务里,这轮更新的体感可能不会特别强。

但只要你在做下面这些事,感受会完全不同:

  1. 把 Claude Code 接进 CI / 自动巡检 / 定时任务
  2. 在 Windows 或 PowerShell 为主的团队里推进 agent 落地
  3. 想把 hook、MCP、subagents、permissions 组合成可治理工作流

因为这几类场景真正卡人的,通常不是模型会不会写代码,而是运行时能不能稳。

Anthropic 这轮更新在补的,刚好就是这些“平时不热闹,但真接入就一定会撞上的坑”:

  1. 高风险动作能不能延期判定
  2. MCP 连接慢时会不会把 headless 流程整体拖死
  3. Windows 命令权限是不是足够硬
  4. 恢复会话时,缓存和 hook 状态会不会失真

从这个角度看,它是运行时硬化,不是“新功能秀肌肉”。

3. 它具体影响了哪些人

对个人开发者

如果你平时就把 Claude Code 当本地终端搭子,这轮最直观的收益有两条:

  1. subagents 的入口更清楚了,@ mention 里能直接看到 named subagents
  2. /powerup 这种交互式 lessons 会降低新同学上手门槛

不过真正大的收益,其实还是后面两类人拿得更多。

对团队负责人

团队负责人更该盯的是 deferPermissionDenied hook

这两条一起出现,意味着你终于可以把“工具调用要不要继续”从二元判断,往“暂停 - 外部评估 - 恢复”推进。

这会让很多以前只能人工盯着跑的流程,开始有条件接进:

  1. 审批系统
  2. 风险策略服务
  3. 值班确认链路

对平台工程团队

平台工程要看的重点更明确:

  1. MCP_CONNECTION_NONBLOCKING=true 能不能降低 headless 卡死概率
  2. allowManagedHooksOnlyallowedHttpHookUrls 这类设置,能不能和新 hook 机制一起用
  3. project-level subagents、plugin、MCP 配置是否能形成统一治理入口

Anthropic 官方 settings 文档已经把这些能力摆得很清楚:

  1. hooks 可以被 managed settings 限制
  2. permissions.deny 可以直接禁止敏感文件读取
  3. subagents 支持 user/project 两级配置
  4. plugin 系统能接 skills、agents、hooks、MCP servers

这意味着 Claude Code 不只是“一个终端聊天工具”了。
它越来越像可以被组织策略包起来的运行时。

对采购和平台负责人

这轮更新本身没有带来新的订阅或价格变化。
所以它不是“立刻追加预算”的那种消息。

但它会影响采购判断:

  1. 如果你在评估 headless agent 能不能进组织链路,这两版会降低一部分接入阻力
  2. 如果你主要是 Windows 环境,PowerShell 加固会让 PoC 更值得做
  3. 如果你要的是成熟稳定、少碰运行时细节的方案,这轮仍然更像“继续变好”,还不是“已经完全收官”

4. 这是重大突破,还是渐进式改良

我的判断很明确:

它是一次重要的渐进式改良,不是大突破。

不是因为这些改动不重要。
恰恰相反,它们很重要。

只是它解决的问题不在“模型会不会”,而在“系统能不能长期可靠地用”。

这种变化通常不会带来发布会级别的热度,
但对真正推进 agent 落地的人,价值往往更大。

5. 更稳的跟进顺序

如果你准备跟进这轮 Claude Code 更新,我建议按下面的顺序走。

1) 先做单仓库、低风险 PoC

先验证三件事:

  1. hook 逻辑能不能稳定处理 defer
  2. -p --resume 在你们的环境里会不会卡
  3. MCP 慢连接是否真的需要 MCP_CONNECTION_NONBLOCKING=true

2) 再做 Windows 和 PowerShell 灰度

不要一上来全量推进。

优先选:

  1. 路径规则简单的仓库
  2. PowerShell 脚本已经比较规范的团队
  3. 安全团队能一起看权限策略的场景

3) 最后再接组织级治理

等前两步稳定后,再把这些能力接进:

  1. managed hooks
  2. permissions.deny
  3. project-level subagents
  4. plugin / MCP allowlist

顺序别反。
否则你会先把治理链搭得很完整,再发现底层恢复和 PowerShell 行为还没摸稳。

6. 回滚思路和不适合立刻跟进的人

回滚思路

  1. defer 先只在单条高风险工具链路上开,不要一次把所有工具接进去
  2. MCP_CONNECTION_NONBLOCKING=true 先按任务类型灰度,不满意就回退到原连接行为
  3. Windows 团队先锁在一组 PoC 仓库,确认权限检查和脚本兼容性后再放大

现在不适合立刻跟进的人

  1. 你现在还主要在单人交互式会话里用 Claude Code
  2. 团队没有 hook / MCP / subagent 治理能力
  3. Windows 脚本历史包袱很重,连危险命令边界都没梳理过

如果是这种状态,我会建议先把基础运行规范补齐,再上这些能力。

7. 有没有更合适的第三方承接方案

有,关键看你的目标。

如果你要的是 GitHub 原生并行编排

那最近更适合对比的是 **GitHub Copilot CLI /fleet**。

它更适合:

  1. 任务天然可拆
  2. 团队已经在 GitHub/Copilot 体系里
  3. 你更看重主代理编排多个 subagents

它不太适合:

  1. 需要强 hook / permissions / local policy 治理
  2. 想把 repo-local 配置和终端策略深度绑在一起

如果你要的是多 agent 监督台

OpenAI Codex app 现在仍然是更像“控制台”的方案。

官方定位就是 multiple agents、parallel work、worktrees 和 background automations。
如果你的核心问题是“怎么同时盯多个长任务”,它的形态会更顺手。

它不太适合:

  1. 团队完全押终端
  2. 你希望把本地 hook、MCP 和 repo 配置做得非常细

所以 Claude Code 这轮更新更像是在巩固自己的强项:

本地优先、终端优先、治理优先。

8. 这条 provider 更新真正值得记住的点

过去很多人看 provider 动态,只盯模型名和 benchmark。

Claude Code 这轮更新刚好提醒了一件更现实的事:

很多时候真正改变团队落地速度的,未必是模型再多会一点,而是运行时少出几次故障。

defer、named subagents、nonblocking MCP、PowerShell hardening,这些名字都不算性感。
但它们确实在把 Claude Code 往更可靠的 headless agent 方向推。

如果你负责的是平台接入而不是 demo 演示,这类更新通常比“又上一个新模型”更该认真看。

一手参考来源

  1. Anthropic official GitHub releases: Claude Code
  2. Claude Code Docs: settings
  3. GitHub Docs: Running tasks in parallel with the /fleet command
  4. OpenAI: Introducing the Codex app

本文永久链接: https://www.mulianju.com/ai-ecosystem-watch/claude-code-april-1-release-hook-deferred-permission-powershell-hardening/