维度网讯，Anthropic为Claude Code推出了一款安全指导插件，该插件可在代码进入拉取请求前自动审查常见漏洞，并帮助Claude在同一开发会话中识别和修复问题。

该插件旨在捕获注入漏洞、不安全反序列化及不安全的DOM API等问题，以减少开发后期的人工安全审查工作量。安装后，插件在开发会话期间自动运行，无需开发者启动单独工具或记忆额外命令。

插件的安全审查功能通过集成到编码工作流程中的三个阶段实现。每个阶段针对不同类别的安全问题，涵盖不安全的函数使用及深层逻辑缺陷。第一层在文件编辑期间执行轻量级模式检查，无需调用模型，系统会查找风险构造和常用库，包括eval()、new Function()、os.system()和child_process.exec()等函数，并针对不安全反序列化方法以及与dangerouslySetInnerHTML和.innerHTML=使用相关的浏览器注入模式进行检查。第二个审查阶段在每个模型轮次后激活，Claude分析会话期间生成的完整git差异，以识别模式匹配可能遗漏的漏洞，涉及授权绕过、不安全直接对象引用、注入漏洞、服务端请求伪造和弱加密等问题。最深入的审查在Claude通过其Bash工具执行提交或推送时运行，系统会审查周边文件、清理器及相关代码路径，以验证发现并减少误报。开发者可通过自定义规则和特定于仓库的安全检查来扩展所有三个审查层。

Anthropic表示，其内部已在自行使用该插件。公司称，在内部部署和基准测试中，使用该插件的拉取请求上的安全相关评论减少了30%至40%，该插件充当了轻量级初步检查，在完整代码审查前捕获问题。

该插件对所有用户免费，并在所有计划中提供。即时安全检查无需模型调用，不增加使用成本，深入审查则与标准请求使用相同的Claude使用预算。插件需要Claude Code 2.1.144或更高版本以及Python 3.8或更新版本，深入审查阶段仅在git仓库内工作，轻量级模式检查可在任何目录中运行。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com