Claude Code 上线安全提醒插件,已有 16 万安装,看来很刚需啊! 插件通过 pre-tool hook 运行,自动拦截 Write、Edit、MultiEdit 三类操作。 覆盖多种类型: ① GitHub Actions 工作流里的命令注入 ② Node.js 的 child_process.exec() 不安全调用 ③ eval() 和 new Function() 的使用 ④ 前端的 XSS 向量,包括 dangerouslySetInnerHTML 和 innerHTML ⑤ Python 的 pickle 反序列化风险 ⑥ Python 的 os.system() 命令注入 例如,当用 innerHTML 或 dangerouslySetInnerHTML 时提示 XSS 风险。 当编辑 workflow 文件时提示 GitHub Actions 注入风险。 警告是 session 级别,相同问题只提醒一次。 安装方法,Claude Code中输入 /plugins,Discover中输入security-guidance搜索安装。
Claude Code 上线安全提醒插件,已有 16 万安装,看来很刚需啊!
插件通过 pre-tool hook 运行,自动拦截 Write、Edit、MultiEdit 三类操作。
覆盖多种类型:
1 GitHub Actions 工作流里的命令注入 2 Node.js 的 child_process.exec() 不安全调用 3 eval() 和 new Function() 的使用 4 前端的 XSS 向量,包括 dangerouslySetInnerHTML 和 innerHTML 5 Python 的 pickle 反序列化风险 6 Python 的 os.system() 命令注入