美国Anthropic公司于5月27日(日本时间)发布了面向其代码编辑工具“Claude Code”的新插件“security-guidance”。该插件能够在代码编辑过程中实时扫描安全漏洞,并在发现问题时发出警告,适用于所有用户计划。
该插件通过“钩子”(Hook)机制自动在特定时机执行指定操作,分三个层面对代码进行审查,用户无需手动调用安全指导命令:
- 文件编辑时:检测易被误用的危险库等高风险模式。此阶段采用模式匹配,无需调用模型,速度快且不消耗令牌。
- 回合结束时:检查整个变更历史,防止遗漏问题。如发现漏洞,会反馈给Claude模型并即时修正。
- 提交时:读取相关代码,进行全面的安全审查,验证是否存在漏洞。
该插件可检测的漏洞包括代码注入、危险的反序列化、DOM操作以及认证绕过等常见安全问题。根据公司内部测试,插件上线后,针对拉取请求的安全相关评论减少了30%至40%。此外,三个审查层面均支持扩展,用户可根据需要自定义规则以满足更严格的安全需求。
值得注意的是,漏洞检测在与代码编写实例不同的上下文窗口中执行,确保了审查的独立性和客观性。
插件安装命令如下:
/plugin install security-guidance@claude-plugins-official
使用该插件需要“Claude Code CLI”版本2.1.144及以上,以及Python 3.8或更高版本支持。
