Anthropic stellt kostenlosen Sicherheits-Plugin für Claude Code Terminal vor: Echtzeit-Erkennung von Schwachstellen

Bei jeder Dateinderung fhrt das Plugin einen schnellen, deterministischen Musterabgleich ohne Modellaufruf durch, der gefhrliche Konstrukte wie eval(), new Function(), os.system(), child_process.exec(), Pickle-Deserialisierung sowie DOM-Injektionsvektoren wie dangerouslySetInnerHTML und.innerHTML= erkennt.

Da diese Ebene keine KI-Inferenz erfordert, verursacht sie keine zustzlichen Nutzungskosten. Am Ende jedes Gesprchsabschnitts berprft ein Hintergrund-Claude-Modell, das vom Modell getrennt ist, das den Code schreibt, den vollstndigen Git-Diff aller whrend der Sitzung vorgenommenen nderungen.

Dieser Prfer beginnt mit einem frischen Kontext, ohne in den ursprnglichen Ansatz investiert zu sein, und erkennt logische Schwachstellen, die durch String-Matching nicht erfasst werden knnen, einschlielich Autorisierungs-Umgehungen, unsichere direkte Objektverweise, Server-Side Request Forgery (SSRF) und schwache Kryptografie.

Sicherheitslage und Risiko

Wir haben ein Sicherheitsleitfaden-Plugin fr Claude Code verffentlicht, das dabei hilft, Schwachstellen zu identifizieren und zu beheben, whrend Sie Code schreiben. Es steht allen Claude-Code-Nutzern zur Verfgung. Installieren Sie es ber den Plugin-Marktplatz (/plugins).

Wenn Claude ber sein Bash-Tool Commits oder Pushes durchfhrt, fhrt eine tiefgreifende agentenbasierte Prfung die umgebenden Aufrufe, Sanitizer und verwandte Dateien durch, um falsch-positive Ergebnisse zu minimieren.

Interne Tests zeigten, dass das Plugin sicherheitsrelevante Kommentare in Pull Requests um 30–40 % reduziert und dabei als Begleitwerkzeug während der Sitzung für Clauses Code's bestehende Pull-Request-Code-Review-Funktion dient.

Technik und Auswirkungen

Das Plugin nutzt standardmäßig Claude Opus 4.7 für sowohl die End-of-Turn- als auch die Commit-Reviews; Entwickler können jedoch alternative Modelle über die Umgebungsvariablen SECURITY_REVIEW_MODEL und SG_AGENTIC_MODEL konfigurieren. Branchenführer haben den Ansatz gelobt.

Führungskräfte, darunter Shalini Goyal, betonten den Wert, Sicherheitsanleitungen direkt in die Codiersitzung zu integrieren, anstatt auf nachgelagerte Review-Zyklen zu vertrauen.

Installation und Anpassung Die Installation des Plugins erfolgt mit einem einzigen Befehl innerhalb einer Claude Code-Sitzung: text /plugin install security-guidance@claude-plugins-official /reload-plugins Entwickler können das Verhalten des Plugins über zwei auf Repository-Ebene definierte Dateien erweitern: eine Datei.claude/claude-security-guidance.md für bedingungslose Bedrohungsmodell-Regeln in einfacher Sprache, die an die Modell-Reviewer übermittelt werden, sowie eine Datei.claude/security-patterns.yaml für benutzerdefinierte reguläre Ausdrücke oder Teilstring-Muster, die bei der Prüfung pro Bearbeitung angewendet werden.

Einordnung fuer Autofahrer

Organisationen können das Plugin für alle Teammitglieder erzwingen, indem sie es in.claude/settings.json deklarieren, und Administratoren können es über verwaltete Einstellungen organisationweit bereitstellen. Das Plugin erfordert die Claude Code CLI Version 2.1.144 oder höher sowie Python 3.8 oder höher im System-Pfad.

Beim ersten Start erstellt es eine virtuelle Umgebung unter ~/.claude/security/ und installiert das Claude Agent SDK für agentenbasierte Commit-Reviews. Ein auf GitHub unter anthropics/claude-code-security-review öffentlich verfügbares Referenz-Repository zeigt Agenten, die autonom Sicherheitslücken identifizieren und beheben.

Dabei werden Schwachstellen wie SQL-Injection, XSS, Remote-Code-Execution (RCE) über Deserialisierung, unsichere direkte Objektverweise sowie die Erkennung Plugin wird explizit als eine Schicht in einer vertieften Sicherheitsarchitektur positioniert und stellt keine vollständige Sicherheitslösung dar; es blockiert keine Schreibvorgänge oder Commits.

Stattdessen werden die gefundenen Schwachstellen als Anweisungen für Claude innerhalb derselben Sitzung zur Behebung aufbereitet. Der Beitrag „Anthropic Releases Free Security Plugin for Claude Code Terminal to Catch Vulnerabilities in Real Time" erschien erstmals auf