# 策展 · X (Twitter) 🔥🔥

> 📖 本站完整內容索引（documentation index）：[llms.txt](/llms.txt)

> 作者：ClaudeDevs (@ClaudeDevs) · 平台：X (Twitter) · 日期：2026-05-27

> 原始來源：https://x.com/ClaudeDevs/status/2059385239781384341

## 中文摘要

Claude Code 推出security-guidance Plugin強化程式漏洞修復。

Anthropic 近期為「Claude Code」發布了一款名為「security-guidance」的官方 plugin，旨在將安全審查流程前移至開發階段。該工具能自動監控 Claude 的程式碼變更，並在同一個對話週期內提出修正建議，顯著降低了進入 Pull Request（PR）階段後的安全審查負擔。根據 Anthropic 內部測試與基準評估，使用此 plugin 後，PR 中的安全相關評論數量減少了 30% 至 40%。

**運作機制與審查層級**
該 plugin 透過「hooks」機制運作，並在三個不同深度進行審查：

- **檔案編輯層級（On file edits）**：進行快速的確定性字串比對，無需呼叫模型，因此不產生額外 token 費用。主要偵測危險函式庫誤用（如 `eval()`、`pickle`）或不安全的 DOM API 操作。
- **對話週期結束層級（At the end of each turn）**：在 Claude 完成一次回應後，自動計算工作目錄的 git diff，並呼叫另一個獨立的 Claude 模型進行背景審查，針對注入攻擊、授權繞過或不安全加密等問題進行分析。
- **提交與推送層級（On each commit or push）**：當 Claude 執行 `git commit` 或 `git push` 時，觸發更深度的 Agent 審查。此層級會讀取周邊程式碼（如呼叫者與相關檔案）以驗證漏洞真實性，有效降低誤報率。

**安裝與啟用流程**
使用者可透過 Claude Code CLI 進行安裝與啟用：

1. 在 Claude Code 會話中執行安裝指令：
   ```bash
   /plugin install security-guidance@claude-plugins-official
   ```
2. 若系統提示找不到 marketplace，請先執行：
   ```bash
   /plugin marketplace add anthropics/claude-plugins-official
   ```
3. 啟用 plugin 以套用變更：
   ```bash
   /reload-plugins
   ```
4. 若需在雲端會話或共享專案中啟用，請在專案的 `.claude/settings.json` 中宣告：
   ```json
   {
     "enabledPlugins": {
       "security-guidance@claude-plugins-official": true
     }
   }
   ```

**自訂規則與擴充性**
開發者可透過專案內的設定檔擴充審查邏輯，這些規則會與內建檢查疊加：

- **模型審查指引**：在專案根目錄建立 `.claude/claude-security-guidance.md`，以自然語言描述威脅模型或檢查清單（例如：禁止記錄敏感資訊、強制執行權限檢查）。
- **自訂模式比對**：建立 `security-patterns.yaml` 或 `security-patterns.json`，透過正規表示式（regex）或字串比對定義自訂的風險模式，例如偵測硬編碼的 API 金鑰或特定租戶的過濾規則。

**技術限制與定位**
Anthropic 強調，此 plugin 並非完整的安全解決方案，而是「深度防禦」策略中的一環。它不會阻止程式碼寫入或提交，而是將發現的問題作為指令反饋給 Claude。此外，該工具依賴 git 狀態，若未在 git 儲存庫中運作，部分審查功能將會跳過。建議開發者將此 plugin 作為第一道防線，並持續配合 PR 階段的「Code Review」工具及 CI/CD 流程中的靜態分析與相依性掃描工具，以確保整體安全性。

## 標籤

Claude Code, 功能更新, 資安, Anthropic, Claude