clauding.de
EN
2 Min. Lesezeit KI-generiert

Claude Code bekommt ein Security-Plugin — und es ist kostenlos

Artikel als Markdown kopieren

Anthropic hat ein kostenloses Security-Plugin für Claude Code veröffentlicht, das Schwachstellen in Echtzeit erkennt. Die internen Tests zeigen 30-40 Prozent weniger Security-Kommentare in Pull Requests.

Claude Code Security Plugin Developer Anthropic
Featured image for "Claude Code bekommt ein Security-Plugin — und es ist kostenlos"

Wenn du mit Claude Code arbeitest, kennst du das Problem: Du schreibst Code, er funktioniert, du pushst — und im Code Review fällt auf, dass du irgendwo eval() benutzt hast oder ein innerHTML offen ist. Nicht tragisch, aber nervig. Und potenziell gefährlich.

Anthropic hat gestern ein neues Plugin veröffentlicht, das genau da ansetzt. Das Security-Guidance-Plugin läuft direkt in Claude Code und überwacht deinen Code auf drei Ebenen: bei jeder Dateiänderung, nach jedem Model-Turn und vor jedem Commit.

Was das Plugin konkret macht

Die erste Ebene ist ein schneller Pattern-Match ohne Modell-Aufruf. Das Plugin erkennt gefährliche Konstrukte wie eval(), new Function(), os.system(), child_process.exec(), Pickle-Deserialisierung und DOM-Injection-Vektoren wie dangerouslySetInnerHTML. Das geht in Millisekunden und kostet keine Tokens.

Die zweite Ebene schaltet sich nach Model-Turns ein und nutzt Claude, um den Kontext zu verstehen. Ist das eval() in einer Sandbox? Wird der Input vorher sanitized? Hier geht es nicht um stumpfes Pattern-Matching, sondern um semantisches Verständnis.

Die dritte Ebene läuft vor dem Commit und macht einen finalen Security-Check über alle Änderungen.

Die Zahlen sind überzeugend

In Anthropics internem Rollout hat das Plugin die Anzahl sicherheitsrelevanter Kommentare in Pull Requests um 30 bis 40 Prozent reduziert. Das klingt nach einem moderaten Wert, aber wer schon mal ein Security-Review gemacht hat, weiß: Jeder dieser Kommentare kostet Zeit — beim Reviewer und beim Entwickler.

Das Plugin ergänzt dabei die bestehende Code-Review-Funktion von Claude Code, die seit Version 2.1.147 verfügbar ist. Während /code-review Pull Requests nach dem Öffnen analysiert, fängt das Security-Plugin Probleme ab, bevor sie überhaupt in den PR kommen.

Installation und Anpassung

Das Plugin ist für alle Claude Code-Nutzer verfügbar und lässt sich über /plugins installieren. Voraussetzung ist Claude Code ab Version 2.1.144 und Python 3.8 auf dem System.

Besonders praktisch für Teams: Über eine claude-security-guidance.md-Datei im Repository lassen sich organisationsspezifische Regeln definieren. Wenn dein Team bestimmte Patterns erlaubt oder zusätzliche Checks braucht, kannst du das konfigurieren.

Einordnung

Das Security-Plugin ist ein kluger Schachzug von Anthropic. Es löst ein echtes Problem — Sicherheitslücken, die erst im Review auffallen — und macht Claude Code als Entwicklerwerkzeug vollständiger. Gleichzeitig zeigt es, wie sich das Plugin-Ökosystem entwickelt: Anthropic baut nicht alles selbst, sondern liefert die Infrastruktur und füllt sie mit nützlichen Erweiterungen.

Für Solo-Entwickler ist das Plugin ein No-Brainer. Für Teams könnte es den Security-Review-Prozess spürbar entlasten. Und für Anthropic ist es ein weiterer Baustein im Wettbewerb um die beste Coding-Plattform.

Quellen: