Плагин security-guidance для Claude Code проверяет собственные диффы до коммита

В конце мая 2026 года Anthropic выпустила бесплатный плагин security-guidance для Claude Code, который делает то, что большинство связок ИИ для программирования пропускает: заставляет агента проверять собственные диффы на уязвимости прямо во время работы, а затем исправлять найденное в той же сессии. Идея проста. Самая дешёвая для исправления ошибка безопасности это та, которая никогда не попадает в pull request, а отдельный проверяющий, не связанный с исходным подходом, находит больше, чем модель, написавшая код.

Три слоя, и только один из них тратит токены

Плагин запускается в трёх точках, каждая на своей глубине.

Первый срабатывает при каждом Edit, Write или NotebookEdit. Это детерминированное сопоставление с образцом без вызова модели, поэтому оно не добавляет затрат на использование. Он отмечает рискованные конструкции в тот момент, когда они появляются:

• Динамическое выполнение: eval(, new Function, os.system, child_process.exec
• Небезопасная десериализация: pickle
• Инъекция в DOM: dangerouslySetInnerHTML, .innerHTML =, document.write
• Правки в .github/workflows/, которые могут незаметно выдать права на уровне репозитория

Каждое предупреждение срабатывает один раз на образец, на файл и на сессию, поэтому оно не заваливает беседу.

Второй слой запускается в конце каждого хода. Плагин делает дифф всего, что изменилось в рабочем дереве, включая правки из Bash и субагентов, и передаёт его отдельной проверке Claude, сфокусированной на безопасности. Здесь сопоставление строк уже не достаёт: обход авторизации, небезопасные прямые ссылки на объекты, SSRF, слабая криптография. Она работает в фоне, охватывает до 30 изменённых файлов и срабатывает не более трёх раз подряд.

Третий слой включается, когда Claude выполняет git commit или git push через свой инструмент Bash. Этот слой агентный: он читает вызывающий код, санитайзеры и связанные файлы, чтобы решить, реальна ли находка, прежде чем сообщать о ней, что удерживает низким число ложных срабатываний на коде, который выглядит опасным в отрыве, но безопасен в контексте. Он ограничен 20 проверками в скользящий час. Коммиты, которые вы выполняете из собственной оболочки, не проверяются.

Оба слоя на основе модели по умолчанию используют Claude Opus 4.7 в качестве проверяющего.

Установка и расширение

Вам нужны Claude Code 2.1.144 или новее и Python 3.8 в вашем PATH. Установите из официального маркетплейса:

/plugin install security-guidance@claude-plugins-official
/reload-plugins

Слой на каждую правку расширяется без участия модели. Положите .claude/security-patterns.yaml в репозиторий и добавьте собственные правила:

patterns:
  - rule_name: tenant_unfiltered_query
    regex: "\\.objects\\.all\\(\\)"
    paths: ["**/src/tenants/**"]
    reminder: "Multi-tenant code must filter by org_id."

Ни один из трёх слоёв не блокирует запись или коммиты. Находки приходят к пишущему Claude как инструкции, и проверяющий всё ещё может что-то упустить. Относитесь к нему как к одному слою эшелонированной защиты: он находится внутри сессии, перед /security-review по запросу и полным Code Review в pull request. Точные события hook и переключатели через переменные окружения подробно описаны в документации плагина.