ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">Vibe coder 们肉眼可见的越来越多了。ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;"> ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">虽说这是个大好事,但是说实话,用嘴写说个landing page 倒还好,酷炫就行。ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">但要做个正经的应用,几乎都得涉及到服务端API和数据库存储,而我对一众零经验却还夸夸其谈的vibe coder 们最为操心的,就是安全和性能。ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">你很可能得到一套表面光鲜如PPT,但内里却全是坑的一堆屎山代码。ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">懂的都懂。ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">但现在,Claude Code要来解决安全问题了。ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">就刚刚,Claude Code推出了自动化安全审查功能,带来了两个核心能力:
ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-size: 16px;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;letter-spacing: normal;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;word-spacing: 0px;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;" class="list-paddingleft-1">可以直接在终端运行的/security-review命令 以及自动审查每个PR的GitHub Actions集成 ingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;orphans: 2;text-align: justify;text-indent: 0px;text-transform: none;widows: 2;-webkit-text-stroke-width: 0px;white-space: normal;background-color: rgb(255, 255, 255);text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;">/security-review的斜杠命令可以让安全分析变得异常简单。直接在终端里输入这个命令,Claude就会开始检查代码中的各种安全隐患—— SQL注入风险、XSS漏洞、不安全的数据处理。 而一旦发现了漏洞, 直接让Claude修复它就好。 Claude Code 还进一步,可以对每个PR 进行GitHub Actions集成: 要启用这个功能,只需要在仓库的.github/workflows/security.yml里添加这段配置: name:SecurityReview
permissions:
pull-requests:write
contents:read
on:
pull_request:
jobs:
security:
runs-on:ubuntu-latest
steps:
-uses:actions/checkout@v4
with:
ref {{github.event.pull_request.head.sha||github.sha}}
fetch-depth:2
-uses:anthropics/claude-code-security-review@main
with:
comment-pr:true
claude-api-key{{secrets.CLAUDE_API_KEY}}
按上面这样配置好之后,每当你或者那个猪队友新提了个有安全问题的PR,它就会自动检测出漏洞。 然后,直接在代码行上添加内联注释,解释问题所在并给出修复建议。 
而Anthropic内部,自然早就在使用这套系统了。 他们还分享了一个真实案例: 
这个工具在一个内部工具中发现了潜在的远程代码执行漏洞,借助GitHub Action,他们在代码进入生产环境之前就修复了这个问题。 远程代码执行漏洞,这属于一旦被利用,你的服务器就等于被对方扒了底裤了…… 可以为所欲为。 而与传统的SAST(静态应用安全测试)工具相比,Claude的安全审查有着明显的优势: 它能理解代码的实际意图和上下文,而不只是简单地匹配模式,再通过理解代码是否真的存在漏洞,AI驱动的分析大幅减少了噪音。 当然,Claude 不会只是告诉你「这里有问题」,还会解释为什么这是个漏洞,以及如何修复。 Claude能检测的漏洞类型也是应有尽有: 包括注入攻击(SQL、命令、LDAP、XPath、NoSQL、XXE)、认证授权问题、数据泄露、加密问题、输入验证、业务逻辑缺陷、配置安全、供应链安全、代码执行漏洞、XSS等等。 同时,它还会自动过滤掉一些低影响或容易产生误报的问题,比如DoS漏洞、速率限制问题、内存/CPU耗尽问题等。 目前系统还支持自定义扫描配置和false positive过滤指令,项目的架构如下: github_action_audit.py- GitHub Actions的主审计脚本
findings_filter.py- False positive过滤逻辑
claude_api_client.py- 用于false positive过滤的Claude API客户端
Eden Marco(@EdenEmarco177)调侃: 这太他妈棒了。不过你刚刚干掉了10家安全创业公司😂
sky(@skydotcs)则说: 网络安全现在已经无关紧要了
Zerion(@heyalok_)大胆预测: 裁员很快就会发生了。
这次,Claude Code是真要来帮你保住底裤了。 相信我,一定要用。 不要以为岁月静好,就真的好。 但美中不足的是,我现在还是会亲自定义几乎所有数据库表的核心字段,这也是我对AI 最不放心的另一个问题:性能。 所以,什么时候来帮我解决这问题呢?
[1]Claude Code Security Review GitHub仓库:https://github.com/anthropics/claude-code-security-review [2]Claude Code Hooks高级玩法:https://github.com/disler/claude-code-hooks-mastery [3]官方文档:自动化安全审查配置指南:https://github.com/anthropics/claude-code-security-review#quick-start
👇 👇 👇 另外,我还用AI 进行了全网的AI 资讯采集,并用AI 进行挑选、审核、翻译、总结后发布到《AGI Hunt》的实时AI 快讯群中。 这是个只有信息、没有感情的 AI 资讯信息流(不是推荐流、不卖课、不讲道理、不教你做人、只提供信息、希望能为你节省一些时间) |
