Claude Code умеет автоматические ревью безопасности
Claude Code получил автоматические ревью безопасности: команда /security-review запускает анализ из терминала, а GitHub Action проверяет каждый новый пул-реквест и оставляет инлайн-комментарии с рекомендациями. Claude находит уязвимости вроде XSS, RCE и SSRF и может сразу предложить исправления.
Чем быстрее команда катит код с помощью ИИ, тем важнее проверять его на уязвимости. Anthropic встроила такую проверку прямо в рабочий цикл Claude Code.
Команда /security-review в терминале
Новая команда /security-review запускает разовый анализ безопасности прямо из терминала, до коммита. Claude проходит по кодовой базе, ищет потенциальные уязвимости и подробно объясняет каждую найденную проблему. Под капотом - специализированный промпт, который проверяет распространённые паттерны уязвимостей, включая межсайтовый скриптинг (XSS). После того как проблема найдена, можно попросить Claude сразу её исправить, не выходя из рабочего цикла.
GitHub Action для пул-реквестов
Второй инструмент - GitHub Action, который автоматически анализирует каждый новый пул-реквест при его открытии. После настройки экшен срабатывает на новых PR, проверяет изменения на уязвимости, применяет настраиваемые правила для отсева ложных срабатываний и оставляет инлайн-комментарии прямо в PR с рекомендациями по исправлению. Так у всей команды появляется единый процесс ревью, и ни один код не уходит в прод без базовой проверки.
Реальные находки в самой Anthropic
Anthropic пользуется этими функциями сама, в том числе для кода самого Claude Code. На прошлой неделе команда собрала фичу для внутреннего инструмента, который поднимал локальный HTTP-сервер. GitHub Action нашёл в нём уязвимость удалённого выполнения кода (RCE) через DNS rebinding, и её починили до мёрджа. В другом случае инженер собрал прокси для управления внутренними учётными данными, а экшен пометил его как уязвимый к SSRF-атакам, после чего проблему быстро закрыли.
Где доступно
Обе функции уже доступны всем пользователям Claude Code. Для команды /security-review достаточно обновить Claude Code до последней версии и запустить её в каталоге проекта. Для GitHub Action есть документация с пошаговой установкой и настройкой под политики безопасности команды.
Что это значит
Если ты пишешь код с Claude Code, теперь можешь ловить уязвимости там же, где их проще всего чинить - на этапе написания, а не после релиза. Прогоняй /security-review перед коммитом, а на командном репозитории подключи GitHub Action, чтобы каждый PR проверялся автоматически.