Claude Code 安全审计插件 – 实时发现代码漏洞

1
导语:Anthropic 推出 Claude Code 安全审计插件,可在编码时实时识别漏洞,无需离开编辑器即可完成安全修复。

工具背景

Anthropic 于 2026 年 5 月 26 日发布了 Claude Code 的安全审计插件(Security Guidance Plugin),面向所有 Claude Code 用户免费开放。该插件在编码过程中自动审查代码变更,实时标记潜在安全风险,将安全检查左移到代码进入 Pull Request 之前。

核心能力

  • 零成本快速扫描:每次文件写入时触发确定性模式匹配,无需调用模型,即可标记 eval()、os.system()、pickle 反序列化等危险构造
  • 模型级深度审查:每次 Claude 回复结束后,使用独立的 Claude Opus 4.7 实例对本次所有变更进行差分审查,捕获授权绕过、SSRF、注入等逻辑漏洞
  • Git 提交审查:执行 git commit 或 git push 时,插件读取周围调用方和 sanitizer 上下文,验证漏洞是否真实危险,降低误报噪音
  • 独立审查模型:写作模型与审查模型使用独立上下文窗口,避免模型对自己的输出产生偏护
  • 速率限制保护:提交审查每滚动小时上限 20 次,turn 末尾审查最多连续 3 次后交还控制权
  • 自定义规则扩展:支持通过 .claude/security-patterns.yaml 添加自定义正则规则,每个项目最多 50 条,支持 glob 路径匹配
  • 威胁模型上下文:通过 .claude/claude-security-guidance.md 加载纯文本威胁描述,供模型审查时参考

    • 系统要求

  • Claude Code CLI ≥ 2.1.144
  • Python 3.8+
  • Claude Code 插件市场(/plugins install security-guidance@claude-plugins-official

    • 安全审计插件工作示意

    下载 Claude Code 安全审计插件
    下载
    © 版权声明
    文章版权归作者所有,未经允许请勿转载。
    THE END
    喜欢就支持一下吧
    点赞0 分享
    guaigou的头像-华盟网
    HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!-华盟网
    HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
    HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
    2年前 29.1W+
    重磅|华盟HW工程师招募-华盟网
    重磅|华盟HW工程师招募
    重磅|华盟HW工程师招募
    4年前 27.4W+
    最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”-华盟网
    最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
    最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
    4年前 25.8W+
    挖矿病毒“盯上”了 Docker 服务器-华盟网
    挖矿病毒“盯上”了 Docker 服务器
    挖矿病毒“盯上”了 Docker 服务器
    4年前 24.1W+
    让所有反病毒引擎都无法检测到的恶意软件出现了!-华盟网
    让所有反病毒引擎都无法检测到的恶意软件出现了!
    让所有反病毒引擎都无法检测到的恶意软件出现了!
    4年前 23.8W+
    功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗-华盟网
    功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
    功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
    4年前 23.1W+
    相关推荐
  • 暂无相关文章
    • 暂无下载链接

    分类