夜雨聆风Claude Code 上新安全插件:AI 写代码时,先替你拦一遍漏洞
Claude Code 又补了一块偏实务的能力:Anthropic 官方发布了 security-guidance 插件,让 Claude 在写代码、改文件和准备提交时,顺手做一层安全检查。
把安全提醒前移到代码生成现场,而不是等 PR 阶段才发现。
更新内容
这次更新来自 @ClaudeDevs 的具体发布帖:security-guidance 已面向所有 Claude Code 用户开放,可以从 Claude Code 的插件市场通过 /plugins 安装。
它的定位不是替代正式安全审计,而是在 Claude 写代码的过程中先做一遍轻量拦截。官方插件页说明,它会在 Claude 执行 Write、Edit、MultiEdit 这类文件操作前后介入,检查常见危险模式,并给出具体修复建议。
第一层是即时模式提醒:例如 GitHub Actions 里的命令注入风险、Node.js 的 child_process.exec()、eval() 和 new Function()、React/DOM 里的 dangerouslySetInnerHTML 与 innerHTML、Python 的 pickle 反序列化和 os.system() 等。
第二层是差分检查:公开的插件目录描述里提到,它可以在一次 Claude 回合结束后,对刚改出的 diff 做安全 review,补上单纯正则不容易看出来的问题。
第三层是提交前检查:在 commit 相关阶段,插件会结合周边代码验证风险,重点看注入、XSS、SSRF、硬编码密钥等更靠近真实应用安全的问题。
怎么使用
对普通开发者来说,最直接的用法是在 Claude Code 里打开插件市场,安装 security-guidance。安装后不需要记一套新命令,它会跟着 Claude 的编辑动作自动运行。
如果团队已经有自己的安全规则,也可以把组织级规则写进仓库里的安全说明文件,让插件在内置检查之外额外参考团队约束。这样更适合已经把 Claude Code 接进日常开发流程的团队。
这类插件的价值在于把“AI 写完代码以后再找人看”的流程,往前挪到“AI 正在写的时候就提醒”。它不会保证代码安全,但能减少一部分低级危险模式进入 PR。
注意点
security-guidance 主要覆盖 Claude Code 编辑代码时容易引入的应用安全问题。复杂业务权限、架构级信任边界、第三方依赖供应链风险,仍然需要正常的测试、人工 review 和安全流程。
对中文开发团队来说,这次更新值得关注的地方不是“Claude 又多了一个插件”,而是 AI 编程工具开始把安全策略做成默认工作流的一部分:代码生成、diff review、commit 检查逐渐被串到同一条链路里。
来源链接
https://x.com/ClaudeDevs/status/2059385239781384341
https://claude.com/plugins/security-guidance
https://github.com/anthropics/claude-plugins-official/blob/main/.claude-plugin/marketplace.json
