刚刚，Claude Code推出自动安全审查功能，顺便干掉了10家安全创业

推荐语

Claude Code最新推出的自动安全审查功能，让代码安全检测变得前所未有的简单高效，直接干掉10家安全创业公司。

核心内容：
1. Claude Code两大核心功能：终端安全审查命令和GitHub Actions集成
2. AI驱动的安全审查相比传统SAST工具的优势
3. 实际案例展示如何预防远程代码执行等严重漏洞

杨芳贤

53AI创始人/腾讯云(TVP)最具价值专家

Vibe coder 们肉眼可见的越来越多了。

虽说这是个大好事，但是说实话，用嘴写说个landing page 倒还好，酷炫就行。

但要做个正经的应用，几乎都得涉及到服务端API和数据库存储，而我对一众零经验却还夸夸其谈的vibe coder 们最为操心的，就是安全和性能。

你很可能得到一套表面光鲜如PPT，但内里却全是坑的一堆屎山代码。

懂的都懂。

但现在，Claude Code要来解决安全问题了。

就刚刚，Claude Code推出了自动化安全审查功能，带来了两个核心能力：

1. 可以直接在终端运行的/security-review命令

2. 以及自动审查每个PR的GitHub Actions集成

/security-review 的斜杠命令可以让安全分析变得异常简单。

直接在终端里输入这个命令，Claude就会开始检查代码中的各种安全隐患——

SQL注入风险、XSS漏洞、不安全的数据处理。

而一旦发现了漏洞，

直接让Claude修复它就好。

Claude Code 还进一步，可以对每个PR 进行GitHub Actions集成：

要启用这个功能，只需要在仓库的.github/workflows/security.yml里添加这段配置：

name: SecurityReview

permissions:
pull-requests:write
contents:read

on:
pull_request:

jobs:
security:
    runs-on:ubuntu-latest
    steps:
      -uses:actions/checkout@v4
        with:
          ref:${{github.event.pull_request.head.sha||github.sha}}
          fetch-depth:2
      
      -uses:anthropics/claude-code-security-review@main
        with:
          comment-pr:true
          claude-api-key:${{secrets.CLAUDE_API_KEY}}

按上面这样配置好之后，每当你或者那个猪队友新提了个有安全问题的PR，它就会自动检测出漏洞。

然后，直接在代码行上添加内联注释，解释问题所在并给出修复建议。

而Anthropic内部，自然早就在使用这套系统了。

他们还分享了一个真实案例：

这个工具在一个内部工具中发现了潜在的远程代码执行漏洞，借助GitHub Action，他们在代码进入生产环境之前就修复了这个问题。

远程代码执行漏洞，这属于一旦被利用，你的服务器就等于被对方扒了底裤了……

可以为所欲为。

而与传统的SAST（静态应用安全测试）工具相比，Claude的安全审查有着明显的优势：

它能理解代码的实际意图和上下文，而不只是简单地匹配模式，再通过理解代码是否真的存在漏洞，AI驱动的分析大幅减少了噪音。

当然，Claude 不会只是告诉你「这里有问题」，还会解释为什么这是个漏洞，以及如何修复。

Claude能检测的漏洞类型也是应有尽有：

包括注入攻击（SQL、命令、LDAP、XPath、NoSQL、XXE）、认证授权问题、数据泄露、加密问题、输入验证、业务逻辑缺陷、配置安全、供应链安全、代码执行漏洞、XSS等等。

同时，它还会自动过滤掉一些低影响或容易产生误报的问题，比如DoS漏洞、速率限制问题、内存/CPU耗尽问题等。

目前系统还支持自定义扫描配置和false positive过滤指令，项目的架构如下：

• github_action_audit.py - GitHub Actions的主审计脚本

• prompts.py - 安全审计提示模板

• findings_filter.py - False positive过滤逻辑

• claude_api_client.py - 用于false positive过滤的Claude API客户端

Eden Marco（@EdenEmarco177）调侃：

这太他妈棒了。不过你刚刚干掉了10家安全创业公司😂

sky（@skydotcs）则说：

网络安全现在已经无关紧要了

Zerion（@heyalok_）大胆预测：

裁员很快就会发生了。

这次，Claude Code是真要来帮你保住底裤了。

相信我，一定要用。

不要以为岁月静好，就真的好。

但美中不足的是，我现在还是会亲自定义几乎所有数据库表的核心字段，这也是我对AI 最不放心的另一个问题：性能。

所以，什么时候来帮我解决这问题呢？

👇

👇

👇

另外，我还用AI 进行了全网的AI 资讯采集，并用AI 进行挑选、审核、翻译、总结后发布到《AGI Hunt》的实时AI 快讯群中。

这是个只有信息、没有感情的 AI 资讯信息流（不是推荐流、不卖课、不讲道理、不教你做人、只提供信息、希望能为你节省一些时间）