Anthropic于本周为其终端编程智能体Claude Code推出专属安全插件security-guidance,可在代码编写会话中实时拦截并自动修复安全漏洞。
三段式安全防线
该插件在三个阶段触发安全检验:
- 文件编辑阶段:本地规则实时匹配动态代码执行(如
eval或child_process.exec)、不安全反序列化(如pickle)及DOM注入等高危模式。由于采用规则匹配而非大模型调用,不产生额外API费用。 - 会话结束阶段:后台模型异步比对工作区Git差异,拦截授权绕过、不安全直接对象引用(IDOR)及弱加密等逻辑漏洞。
- 代码提交阶段:执行
git commit或git push时,触发深度智能体评审,自动读取调用链与消毒器等上下文以排除误报。
降本增效显著
Anthropic内部基准测试与灰度数据显示,启用安全审查后,拉取请求(PR)的安全修复意见减少30%至40%。Snyk分析认为,Claude Code Security代表了应用安全行业的演进方向——在代码交付人工评审前构建第一道弹性防线,但这并不意味着传统安全工具将被取代,AI模型在发现漏洞的同时也在生成代码,两者将长期共存。
企业定制化支持
企业可通过.claude/claude-security-guidance.md写入纯文本安全规则,或使用.claude/security-patterns.yaml自定义正则匹配,规则将与内置清单共同加载。
环境要求
运行该插件需Claude Code CLI 2.1.144及以上版本,本地PATH包含Python 3.8+。首次激活时,系统将在~/.claude/security/路径下自动部署虚拟环境并安装Agent SDK。