Claude Code推出自动安全审查功能,顺便干掉了10家安全创业公司
Claude Code 推出了自动化安全审查功能,可在终端运行并集成到 GitHub Actions 中。该工具能检测 SQL 注入、XSS 等多种漏洞,并提供修复建议。与传统 SAST 工具相比,它通过理解代码意图减少误报。Anthropic 内部已使用该工具发现并修复了远程代码执行漏洞。 2025-8-7 04:22:12 Author: www.freebuf.com(查看原文) 阅读量:20 收藏

Vibe coder 们肉眼可见的越来越多了。


虽说这是个大好事,但是说实话,用嘴写说个landing page 倒还好,酷炫就行。

但要做个正经的应用,几乎都得涉及到服务端API和数据库存储,而我对一众零编程经验转行而来的vibe coder 们最为操心的,就是安全和性能

你很可能得到一套表面光鲜如PPT,但内里却全是坑的一堆屎山代码。

懂的都懂。

但现在,Claude Code要来解决安全问题了。

就刚刚,Claude Code推出了自动化安全审查功能,带来了两个核心能力:

  1. 可以直接在终端运行的/security-review命令

  2. 以及自动审查每个PR的GitHub Actions集成

/security-review的斜杠命令可以让安全分析变得异常简单。

直接在终端里输入这个命令,Claude就会开始检查代码中的各种安全隐患——

SQL注入风险、XSS漏洞、不安全的数据处理。

而一旦发现了漏洞,

直接让Claude修复它就好。

Claude Code 还进一步,可以对每个PR 进行GitHub Actions集成:

要启用这个功能,只需要在仓库的.github/workflows/security.yml里添加这段配置:

name: SecurityReview
permissions:
pull-requests:write
contents:read
on:
pull_request:
jobs:
security:
runs-on:ubuntu-latest
steps:
-uses:actions/checkout@v4
with:
ref:${{github.event.pull_request.head.sha||github.sha}}
fetch-depth:2
-uses:anthropics/claude-code-security-review@main
with:
comment-pr:true
claude-api-key:${{secrets.CLAUDE_API_KEY}}

按上面这样配置好之后,每当你或者那个猪队友新提了个有安全问题的PR,它就会自动检测出漏洞。

然后,直接在代码行上添加内联注释,解释问题所在并给出修复建议。

而Anthropic内部,自然早就在使用这套系统了。

他们还分享了一个真实案例:

这个工具在一个内部工具中发现了潜在的远程代码执行漏洞,借助GitHub Action,他们在代码进入生产环境之前就修复了这个问题。

远程代码执行漏洞,这属于一旦被利用,你的服务器就等于被对方扒了底裤了……

可以为所欲为。

而与传统的SAST(静态应用安全测试)工具相比,Claude的安全审查有着明显的优势:

它能理解代码的实际意图和上下文,而不只是简单地匹配模式,再通过理解代码是否真的存在漏洞,AI驱动的分析大幅减少了噪音。

当然,Claude 不会只是告诉你「这里有问题」,还会解释为什么这是个漏洞,以及如何修复。

Claude能检测的漏洞类型也是应有尽有:

包括注入攻击(SQL、命令、LDAP、XPath、NoSQL、XXE)、认证授权问题、数据泄露、加密问题、输入验证、业务逻辑缺陷、配置安全、供应链安全、代码执行漏洞、XSS等等。

同时,它还会自动过滤掉一些低影响或容易产生误报的问题,比如DoS漏洞、速率限制问题、内存/CPU耗尽问题等。

目前系统还支持自定义扫描配置和false positive过滤指令,项目的架构如下:

  • github_action_audit.py- GitHub Actions的主审计脚本

  • prompts.py- 安全审计提示模板

  • findings_filter.py- False positive过滤逻辑

  • claude_api_client.py- 用于false positive过滤的Claude API客户端

Eden Marco(@EdenEmarco177)调侃:

这太TM棒了。不过你刚刚干掉了10家安全创业公司

sky(@skydotcs)则说:

网络安全现在已经无关紧要了

Zerion(@heyalok_)大胆预测:

裁员很快就会发生了。

这次,Claude Code是真要来帮你保住底裤了。

相信我,一定要用。

不要以为岁月静好,就真的好。

但美中不足的是,我现在还是会亲自定义几乎所有数据库表的核心字段,这也是我对AI 最不放心的另一个问题:性能。

所以,什么时候来帮我解决这问题呢?

[1]

Claude Code Security Review GitHub仓库: https://github.com/anthropics/claude-code-security-review

[2]

Claude Code Hooks高级玩法: https://github.com/disler/claude-code-hooks-mastery

[3]

官方文档:自动化安全审查配置指南: https://github.com/anthropics/claude-code-security-review#quick-start


文章来源: https://www.freebuf.com/news/443362.html
如有侵权请联系:admin#unsafe.sh