Claude Code 推出資安審查外掛，可於開發過程中即時偵測漏洞

2026 / 05 / 29

編輯部

Anthropic 為旗下開發工具 Claude Code 推出資安引導外掛程式（security-guidance plugin），可在開發者撰寫程式碼時自動審查變更內容，協助 Claude 在同一個開發工作階段中識別並修復資安問題。

Anthropic 表示，此外掛程式目的在於程式碼進入拉取請求之前，提前攔截注入缺陷、不安全的反序列化以及不安全的 DOM API 等問題，以減輕後期人工審查的負擔。安裝後，外掛會在開發工作階段中自動執行，不需要開發者另外啟動工具或記憶額外指令。

三階段資安審查機制

此外掛將資安審查整合進編碼工作流程，分為三個階段，分別檢查不同類型的資安問題。

第一層審查在檔案編輯時觸發，採用輕量模式比對，無需呼叫語言模型。系統會掃描高風險的程式構造與常見遭濫用的函式庫，包括 eval()、new Function()、os.system() 及 child_process.exec() 等，同時也會檢查不安全的反序列化方法，以及與 dangerouslySetInnerHTML 和 .innerHTML= 相關的瀏覽器注入（browser injection）模式。

第二層審查在每次模型回應後啟動，由 Claude 分析當次工作階段產生的完整 git diff，以找出單純模式比對可能遺漏的漏洞。根據官方文件，這一階段可偵測的問題包括授權繞過（authorization bypass）、不安全的直接物件參照（insecure direct object reference）、注入缺陷、伺服器端請求偽造（SSRF）及弱加密。

第三層為最深度的審查，於 Claude 透過 Bash 工具執行提交或推送時觸發。此階段會檢視周邊檔案、資料清理機制及相關程式碼路徑，以驗證發現結果並降低誤報率。開發者可針對三個審查層級新增自訂規則，以及儲存庫（repository）專屬的資安檢查項目。

支援版本與使用條件

Anthropic 表示，此外掛已在公司內部使用。根據內部推廣與基準測試結果，使用外掛開啟的拉取請求中，與資安相關的審查意見減少了 30 至 40%。Anthropic 將它定位為正式程式碼審查前的輕量前置過濾機制。

此外掛免費提供給所有方案的使用者。輕量即時檢查不需呼叫語言模型，因此不會產生額外使用費用；較深度的審查則會使用與一般請求相同的 Claude 使用配額。

外掛需要 Claude Code 2.1.144 或更新版本，以及 Python 3.8 或更新版本。深度審查階段僅能在 git 儲存庫內運作；輕量模式比對則可在任意目錄下執行。

本文轉載自 HelpNetSecurity。