Anthropic、「Claude Code」向けにセキュリティ監査プラグインを無償提供

セキュリティガイダンスプラグインの公開

　米Anthropicは5月27日（日本時間）、新しい「Claude Code」向けのプラグイン「security-guidance」を発表した。コードを編集するとリアルタイムで脆弱性をスキャンし、検出すると警告するプラグインで、すべてのプランに提供される。

　このプラグインは、指定したアクションを特定のタイミングで自動実行する仕組み「フック」（Hook）を介して動作し、以下の3つのレイヤーでコードをレビューする。ユーザーがわざわざコマンドでセキュリティガイダンスを呼び出す必要はない。

• ファイル編集時：誤用されやすい危険なライブラリなど、リスクの高いパターンを検出。このレイヤーはパターンマッチングで行われ、モデル呼び出しがない。つまり、高速かつトークンを消費しない
• ターン終了時：見落としやすい問題がないか、変更履歴全体を確認。問題があれば「Claude」にフィードバックされ、その場で修正される
• コミット時：周辺のコードを読み取り、脆弱性の有無を検証。本格的なセキュリティレビュー

　検出できる脆弱性はコードインジェクションや危険なデシリアライズ・DOM操作、認証バイパスといった代表的なものだ。同社の内部テストでは、プラグイン導入後にプルリクエストへのセキュリティ関連コメントが30～40％も減少したという。それぞれのレイヤーは拡張できるようになっているので、これで不足ならばユーザー側で独自にルールを追加すればよいだろう。

3つのレイヤーでコードベースからリアルタイムで脆弱性を検出・修正

　なお、脆弱性の検出はコードを書いたインスタンスとは別のコンテキストウィンドウで実行されるため、独立した視点でのレビューが保証される。

　インストールは以下のコマンドで可能。

/plugin install security-guidance@claude-plugins-official

　動作には「Claude Code CLI」v2.1.144以降と「Python 3.8」以降が必要となる点には注意したい。