链载Ai

标题: 刚刚，Claude Code推出自动安全审查功能，顺便干掉了10家安全创业 [打印本页]

---

作者: 链载Ai    时间: 昨天 21:56
标题: 刚刚，Claude Code推出自动安全审查功能，顺便干掉了10家安全创业

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">Vibe coder 们肉眼可见的越来越多了。

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">虽说这是个大好事，但是说实话，用嘴写说个landing page 倒还好，酷炫就行。

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">但要做个正经的应用，几乎都得涉及到服务端API和数据库存储，而我对一众零经验却还夸夸其谈的vibe coder 们最为操心的，就是安全和性能。

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">你很可能得到一套表面光鲜如PPT，但内里却全是坑的一堆屎山代码。

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">懂的都懂。

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">但现在，Claude Code要来解决安全问题了。

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">就刚刚，Claude Code推出了自动化安全审查功能，带来了两个核心能力：

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-size: 16px;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;letter-spacing: normal;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;word-spacing: 0px;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;" class="list-paddingleft-1">

1. 可以直接在终端运行的/security-review命令

2. 以及自动审查每个PR的GitHub Actions集成

ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">/security-review的斜杠命令可以让安全分析变得异常简单。

直接在终端里输入这个命令，Claude就会开始检查代码中的各种安全隐患——

SQL注入风险、XSS漏洞、不安全的数据处理。

而一旦发现了漏洞，

直接让Claude修复它就好。

Claude Code 还进一步，可以对每个PR 进行GitHub Actions集成：

要启用这个功能，只需要在仓库的.github/workflows/security.yml里添加这段配置：

name:SecurityReview

permissions:
pull-requests:write
contents:read

on:
pull_request:

jobs:
security:
 runs-on:ubuntu-latest
 steps:
  -uses:actions/checkout@v4
   with:
    ref{{github.event.pull_request.head.sha||github.sha}}
    fetch-depth:2
  
  -uses:anthropics/claude-code-security-review@main
   with:
    comment-pr:true
    claude-api-key{{secrets.CLAUDE_API_KEY}}

按上面这样配置好之后，每当你或者那个猪队友新提了个有安全问题的PR，它就会自动检测出漏洞。

然后，直接在代码行上添加内联注释，解释问题所在并给出修复建议。

而Anthropic内部，自然早就在使用这套系统了。

他们还分享了一个真实案例：

这个工具在一个内部工具中发现了潜在的远程代码执行漏洞，借助GitHub Action，他们在代码进入生产环境之前就修复了这个问题。

远程代码执行漏洞，这属于一旦被利用，你的服务器就等于被对方扒了底裤了……

可以为所欲为。

而与传统的SAST（静态应用安全测试）工具相比，Claude的安全审查有着明显的优势：

它能理解代码的实际意图和上下文，而不只是简单地匹配模式，再通过理解代码是否真的存在漏洞，AI驱动的分析大幅减少了噪音。

当然，Claude 不会只是告诉你「这里有问题」，还会解释为什么这是个漏洞，以及如何修复。

Claude能检测的漏洞类型也是应有尽有：

包括注入攻击（SQL、命令、LDAP、XPath、NoSQL、XXE）、认证授权问题、数据泄露、加密问题、输入验证、业务逻辑缺陷、配置安全、供应链安全、代码执行漏洞、XSS等等。

同时，它还会自动过滤掉一些低影响或容易产生误报的问题，比如DoS漏洞、速率限制问题、内存/CPU耗尽问题等。

目前系统还支持自定义扫描配置和false positive过滤指令，项目的架构如下：

• github_action_audit.py- GitHub Actions的主审计脚本

• prompts.py- 安全审计提示模板

• findings_filter.py- False positive过滤逻辑

• claude_api_client.py- 用于false positive过滤的Claude API客户端

Eden Marco（@EdenEmarco177）调侃：

这太他妈棒了。不过你刚刚干掉了10家安全创业公司😂

sky（@skydotcs）则说：

网络安全现在已经无关紧要了

Zerion（@heyalok_）大胆预测：

裁员很快就会发生了。

这次，Claude Code是真要来帮你保住底裤了。

相信我，一定要用。

不要以为岁月静好，就真的好。

但美中不足的是，我现在还是会亲自定义几乎所有数据库表的核心字段，这也是我对AI 最不放心的另一个问题：性能。

所以，什么时候来帮我解决这问题呢？

---

[1]

Claude Code Security Review GitHub仓库:https://github.com/anthropics/claude-code-security-review

[2]

Claude Code Hooks高级玩法:https://github.com/disler/claude-code-hooks-mastery

[3]

官方文档：自动化安全审查配置指南:https://github.com/anthropics/claude-code-security-review#quick-start

👇

👇

👇

另外，我还用AI 进行了全网的AI 资讯采集，并用AI 进行挑选、审核、翻译、总结后发布到《AGI Hunt》的实时AI 快讯群中。

这是个只有信息、没有感情的 AI 资讯信息流（不是推荐流、不卖课、不讲道理、不教你做人、只提供信息、希望能为你节省一些时间）

---

欢迎光临 链载Ai (https://www.lianzai.com/)

Powered by Discuz! X3.5