Anthropic представила официальный плагин security-guidance для Claude Code. Он анализирует изменения, вносимые Claude в код, выявляет распространённые уязвимости и возвращает комментарии в ту же рабочую сессию, чтобы агент мог их исправить до создания pull request.
Плагин доступен без оплаты в маркетплейсе Claude Code. Для его функционирования необходимы Claude Code CLI версии 2.1.144 или новее, Python 3.8+ и git-репозиторий. Дополнительная информация представлена в материале Postium.
Читайте также: 20 лучших ИИ-агентов для работы
Что умеет security-guidance и как он работает
security-guidance функционирует в три этапа.
Сразу после редактирования файла плагин проверяет новый код по шаблонам. Это не отдельный вызов модели, а быстрый поиск рискованных конструкций, таких как eval, new Function, os.system, child_process.exec, pickle, dangerouslySetInnerHTML, .innerHTML =, document.write, а также изменений в .github/workflows/.
В конце каждого этапа Claude плагин вычисляет git diff по изменениям за этот шаг и отправляет его на отдельную проверку Claude с акцентом на безопасность. Здесь ищутся не только строки из списка, но и проблемные участки по смыслу: обход авторизации, IDOR, инъекции, SSRF и слабая криптография.
Отдельный слой активируется, когда Claude самостоятельно выполняет git commit или git push через Bash tool. В этом случае плагин проводит более глубокую агентную проверку: анализирует соседний код, вызовы, санитайзеры и связанные файлы, чтобы реже помечать безопасные конструкции как подозрительные без контекста.
Проверки не блокируют запись файлов, коммиты и push. Если плагин обнаруживает проблему, он добавляет комментарий в сессию, и Claude получает задачу на исправление кода. Anthropic отдельно подчеркивает, что это не замена полноценному security review, а предварительный уровень проверки.
Как пользоваться
Плагин можно установить из официального маркетплейса Anthropic с помощью команды: /plugin install security-guidance@claude-plugins-official.
Если установка не удаётся, сначала следует добавить маркетплейс: /plugin marketplace add anthropics/claude-plugins-official.
После установки необходимо активировать плагин через /reload-plugins в текущей сессии. Для локальной работы Anthropic рекомендует использовать user scope, чтобы плагин автоматически загружался в новых сессиях на данной машине.
Для Claude Code в веб-версии или общих репозиториях плагин можно активировать через .claude/settings.json. Таким образом, эта настройка попадёт в репозиторий и будет работать у всех, кто его клонирует.
Запоминать команды для запуска проверки не требуется. После активации плагин срабатывает автоматически: при редактировании файла, в конце хода и при commit или push, если их инициирует Claude.
Почему это важно? security-guidance позволяет выявлять проблемы непосредственно во время написания кода. Ранее часть таких ошибок могла проявляться только на стадии pull request, в CI или во время ручного ревью. Плагин уменьшает количество очевидных проблем и устраняет часть базовых уязвимостей ещё до отправки кода на ревью.
Ранее Anthropic добавила в Claude Code режим agent view — интерфейс для управления несколькими агентными сессиями прямо из CLI. В нём отображаются все активные задачи, их статус и последние ответы агентов, что позволяет разработчику переключаться между параллельными сессиями без необходимости открывать отдельные окна и вкладки.
Итог: Claude Code теперь способен автоматически проверять собственные изменения на наличие уязвимостей во время работы и исправлять часть проблем ещё до создания pull request.
