Anthropic выпустила для Claude Code плагин security-guidance — он заставляет агента проверять собственный код на уязвимости и исправлять их в той же сессии, до того как изменения уйдут на общую проверку в pull request (PR). Плагин доступен на всех тарифах, устанавливается одной командой из официального маркетплейса и после установки работает в фоне без отдельных вызовов

Архитектура безопасности с изолированной проверкой

Ключевая особенность плагина — Anthropic явно не доверила ревью тому же экземпляру Claude, который только что написал код. Проверку запускает отдельный экземпляр модели с чистым контекстом и инструкцией искать только проблемы — без привязки к исходному решению. Такая архитектура вшита в плагин, а не оставлена на усмотрение пользователя.

Три уровня ревью с разной глубиной анализа

Плагин использует три уровня проверки, работающих на разной глубине. Самый быстрый — поиск по списку известных опасных конструкций сразу после записи файла: он ловит eval, pickle, innerHTML, document.write и правки в .github/workflows/. Модель здесь не задействована, токены не тратятся.

Второй уровень включается в конце каждого ответа Claude: плагин собирает все изменения, которые агент сделал за этот шаг, и отправляет на проверку отдельному экземпляру модели в фоне. Третий — самый глубокий — запускается при каждом git commit и git push, которые Claude выполняет через терминал. В этом режиме проводится углубленная проверка, анализирующая соседние файлы, чтобы определить, является ли находка опасной в контексте проекта или это ложное срабатывание. По умолчанию для второго и третьего уровней используется модель Claude Opus 4.7.

Ограничения и роль в экосистеме разработки

Важная оговорка: плагин не блокирует ни запись, ни коммит — он только отправляет пишущему агенту Claude текстовые предупреждения, которые тот учитывает в следующем шаге. Anthropic прямо называет это одним слоем многослойной защиты и предлагает рассматривать плагин как дополнение к Code Review при пул-реквесте и к существующим сканерам безопасности при сборке проекта, а не как их замену. Ценность решения не в полноте, а в том, что часть уязвимостей теперь выявляется до того, как код покинет редактор.

Контекст с данными рынка

• Биткоин: $75629 (24ч: -1,4%)
• Ethereum: $2068,7 (24ч: -1,1%)