Moonshot / Kimi 2026年5月12日のリリースノート解説: Kimi CLI 1.43.0

Kimi Code CLI の公式 changelog に、2026年5月12日付で Kimi CLI 1.43.0 が掲載されました。今回の更新では、Pillowの脆弱性対応、MCP OAuth周りの永続トークン保存、shell UIの表示改善、background task通知の情報追加がまとめて入っています。CLI agentをローカル開発やMCP連携で使う環境では、セキュリティと認証状態の両方に関わるリリースです。

要点

• Pillowを12.2.0へ引き上げ、PSD画像読み込みに関するCVE対応が行われた
• FastMCP 3.2.4への更新により、OAuth起動時の警告出力を抑制
• MCP OAuth tokenを ~/.kimi/mcp-oauth/ に保存するよう変更
• 既存のOAuth MCP連携は、アップグレード後に再認証が必要になる場合がある
• shell UIの余白、markdown link、heading、table表示が改善された
• background taskの通知に完了時刻と所要時間が含まれる

今回の更新で変わること

セキュリティ面では、Pillowの更新が最も分かりやすい変更です。公式changelogでは、PSD画像読み込み時のout-of-bounds writeに関するCVEへ対応するため、Pillowを12.2.0へ上げたと説明されています。Kimi CLI自体を画像処理ライブラリとして使っていなくても、依存関係スキャンや社内のインストール制限では古い依存がブロック対象になります。CLI agentを社内端末に配布するチームでは、この更新がインストール許可や脆弱性管理の面で効いてきます。

MCP連携では、FastMCP 3系の永続ストレージAPIを使い、OAuth MCP tokenを ~/.kimi/mcp-oauth/ に保存するようになりました。これはMCP serverとの認証状態を安定させる方向の変更ですが、既存のOAuth認可を持つユーザーは、アップグレード後に kimi mcp auth <name> を一度実行する必要がある場合があります。MCPを使って社内ツール、ドキュメント、チケット、コードホストなどへ接続している環境では、アップデート後の初回接続確認を入れるべきです。

UI面では、shell上の表示間隔、markdown linkのハイライト、headingやtableの描画が改善されています。地味に見えますが、coding agentではtool call結果、error panel、notification、user input echoが連続して表示されるため、表示の崩れは作業ミスや読み違いにつながります。background task通知に完了時刻と所要時間が入る変更も、長い作業や並列taskの追跡に役立ちます。

対象になりそうなユーザー・チーム

• Kimi CLIを社内端末に導入している開発基盤チーム
• MCP OAuth連携で社内サービスや開発ツールにつないでいるユーザー
• 依存関係スキャンやSBOMでCLI agentを管理しているセキュリティ担当者
• background taskや長時間実行を多用する開発者

まず確認したいこと

アップデート後は、MCP OAuth連携が維持されているかを確認してください。既存認可が動かない場合は、該当MCP serverに対して再認証を行います。セキュリティ管理上は、Pillow 12.2.0が含まれた版へ上がっているか、依存関係スキャンで古いCVEが残っていないかも見ておくとよいです。

どう読むべきか

Kimi CLI 1.43.0は、見た目の改善だけでなく、MCP認証と依存関係セキュリティを固めるリリースです。MCP連携を使っていない個人利用なら影響は限定的ですが、企業利用では「アップデートしたらOAuth連携が一部再認証を求めるかもしれない」という運用影響があります。導入済みチームは、更新後にMCP接続、shell表示、background task通知を短い検証runで確認しておくのが安全です。