В Claude Code появился плагин для поиска уязвимостей — он проверяет код по ходу работы агента

Anthropic выпустила официальный плагин security-guidance для Claude Code. Он проверяет изменения, которые Claude вносит в код, ищет типовые уязвимости и возвращает замечания в ту же рабочую сессию, чтобы агент мог исправить их до pull request.

Плагин доступен бесплатно в маркетплейсе Claude Code. Для работы нужны Claude Code CLI версии 2.1.144 или новее, Python 3.8+ и git-репозиторий. Подробнее в материале Postium.

Читайте также: 20 лучших ИИ-агентов для работы

Что умеет security-guidance и как он работает

security-guidance работает в три этапа.

Сразу после редактирования файла плагин проверяет новый код по шаблонам. Это не отдельный вызов модели, а быстрый поиск рискованных конструкций: например, eval, new Function, os.system, child_process.exec, pickle, dangerouslySetInnerHTML, .innerHTML =, document.write, а также изменений в .github/workflows/.

В конце каждого хода Claude плагин считает git diff по изменениям за этот ход и отправляет его на отдельную проверку Claude с фокусом на безопасность. Здесь ищутся уже не только строки из списка, но и проблемы по смыслу: обход авторизации, IDOR, инъекции, SSRF и слабая криптография.

Отдельный слой включается, когда Claude сам запускает git commit или git push через Bash tool. Тогда плагин делает более глубокий агентный обзор: читает соседний код, вызовы, санитайзеры и связанные файлы, чтобы реже помечать безопасные конструкции как подозрительные без контекста.

Проверки не блокируют запись файлов, коммиты и push. Если плагин находит проблему, он добавляет замечание в сессию, а Claude получает задачу исправить код. Anthropic отдельно отмечает, что это не замена полноценному security review, а ранний слой проверки.

Как пользоваться

Плагин можно установить из официального маркетплейса Anthropic командой: /plugin install security-guidance@claude-plugins-official.

Если установка не срабатывает, сначала нужно добавить маркетплейс: /plugin marketplace add anthropics/claude-plugins-official.

После установки плагин нужно включить через /reload-plugins в текущей сессии. Для локальной работы Anthropic рекомендует использовать user scope, чтобы плагин автоматически загружался в новых сессиях на этой машине.

Для Claude Code в веб-версии или общих репозиториев плагин можно включить через .claude/settings.json. Тогда настройка попадёт в репозиторий и будет работать у всех, кто его клонирует.

Команды для запуска проверки запоминать не нужно. После включения плагин срабатывает автоматически: при правке файла, в конце хода и при commit или push, если их запускает Claude.

Почему это важно? security-guidance позволяет находить проблемы прямо во время написания кода. Раньше часть таких ошибок могла всплывать только на pull request, в CI или во время ручного ревью. Плагин снижает количество очевидных проблем и отсекает часть базовых уязвимостей ещё до отправки кода на ревью.

Ранее Anthropic добавила в Claude Code режим agent view — экран для управления несколькими агентными сессиями прямо из CLI. В нём видно все запущенные задачи, их статус и последние ответы агентов, чтобы разработчик мог переключаться между параллельными сессиями без отдельных окон и вкладок.

Итог: Claude Code теперь может автоматически проверять собственные изменения на уязвимости во время работы и исправлять часть проблем ещё до pull request.

Запись В Claude Code появился плагин для поиска уязвимостей — он проверяет код по ходу работы агента впервые появилась Postium.