刚刚ClaudeCode推出自动安全审查功能顺便干掉了10家安全创业公司

Vibe coder 们肉眼可见的越来越多了。

虽说这是个大好事，但是说实话，用嘴 写 说 个landing page 倒还好，酷炫就行。

但要做个正经的应用，几乎都得涉及到服务端API和数据库存储，而我对一众零编程经验转行而来的vibe coder 们最为操心的，就是 安全和性能 。

你很可能得到一套表面光鲜如PPT，但内里却全是坑的一堆屎山代码。

懂的都懂。

但现在，Claude Code要来解决安全问题了。

就刚刚，Claude Code推出了自动化安全审查功能，带来了两个核心能力：

可以直接在终端运行的 /security-review 命令

以及自动审查每个PR的GitHub Actions集成

/security-review 的斜杠命令可以让安全分析变得异常简单。

直接在终端里输入这个命令，Claude就会开始检查代码中的各种安全隐患——

SQL注入风险、XSS漏洞、不安全的数据处理。

而一旦发现了漏洞，

直接让Claude修复它就好。

Claude Code 还进一步，可以对每个PR 进行GitHub Actions集成：

要启用这个功能，只需要在仓库的 .github/workflows/security.yml 里添加这段配置：

name: SecurityReviewpermissions:pull-requests:writecontents:readon:pull_request:jobs:security:    runs-on:ubuntu-latest    steps:      -uses:actions/checkout@v4        with:          ref:${{github.event.pull_request.head.sha||github.sha}}          fetch-depth:2            -uses:anthropics/claude-code-security-review@main        with:          comment-pr:true          claude-api-key:${{secrets.CLAUDE_API_KEY}}

按上面这样配置好之后，每当 你或者 那个猪队友新提了个有安全问题的PR，它就会自动检测出漏洞。

然后，直接在代码行上添加内联注释，解释问题所在并给出修复建议。

而Anthropic内部，自然早就在使用这套系统了。

他们还分享了一个真实案例：

这个工具在一个内部工具中发现了潜在的远程代码执行漏洞，借助GitHub Action，他们在代码进入生产环境之前就修复了这个问题。

远程代码执行漏洞，这属于一旦被利用，你的服务器就等于被对方扒了底裤了……

可以为所欲为。

而与传统的SAST（静态应用安全测试）工具相比，Claude的安全审查有着明显的优势：

它能理解代码的实际意图和上下文，而不只是简单地匹配模式，再通过理解代码是否真的存在漏洞，AI驱动的分析大幅减少了噪音。

当然，Claude 不会只是告诉你「 这里有问题 」，还会解释为什么这是个漏洞，以及如何修复。

Claude能检测的 漏洞类型也是应有尽有 ：

包括注入攻击（SQL、命令、LDAP、XPath、NoSQL、XXE）、认证授权问题、数据泄露、加密问题、输入验证、业务逻辑缺陷、配置安全、供应链安全、代码执行漏洞、XSS等等。

同时，它还会 自动过滤掉一些低影响或容易产生误报的问题 ，比如DoS漏洞、速率限制问题、内存/CPU耗尽问题等。

目前系统还支持自定义扫描配置和false positive过滤指令，项目的架构如下：

github_action_audit.py - GitHub Actions的主审计脚本

prompts.py - 安全审计提示模板

findings_filter.py - False positive过滤逻辑

claude_api_client.py - 用于false positive过滤的Claude API客户端

Eden Marco（@EdenEmarco177）调侃：

这太他妈棒了。不过你刚刚干掉了10家安全创业公司😂

sky（@skydotcs）则说：

网络安全现在已经无关紧要了

Zerion（@heyalok_）大胆预测：

裁员很快就会发生了。

这次， Claude Code是真要来帮你保住 底裤了 。

相信我，一定要用。

不要以为岁月静好，就真的好。

但美中不足的是，我现在还是会亲自定义几乎所有数据库表的核心字段，这也是我对AI 最不放心的另一个问题： 性能 。

所以， 什么时候来帮我解决这问题呢？