# Claude Code安全插件拦截高危代码操作

- 来源：向阳乔木 (@vista8)
- 发布时间：2026-05-28 23:30
- AIHOT 分数：70
- AIHOT 链接：https://aihot.virxact.com/items/cmppnppve01quslvy9hscfw6m
- 原文链接：https://x.com/vista8/status/2060020850624176411

## AI 摘要

Claude Code 上线安全提醒插件，已有 16 万安装，看来很刚需啊！

插件通过 pre-tool hook 运行，自动拦截 Write、Edit、MultiEdit 三类操作。

覆盖多种类型：

① GitHub Actions 工作流里的命令注入
② Node.js 的 child_process.exec() 不安全调用
③ eval() 和 new Function() 的使用
④ 前端的 XSS 向量，包括 dangerouslySetInnerHTML 和 innerHTML
⑤ Python 的 pickle 反序列化风险
⑥ Python 的 os.system() 命令注入

例如，当用 innerHTML 或 dangerouslySetInnerHTML 时提示 XSS 风险。

当编辑 workflow 文件时提示 GitHub Actions 注入风险。

警告是 session 级别，相同问题只提醒一次。

安装方法，Claude Code中输入 /plugins，Discover中输入security-guidance搜索安装。

## 正文

Claude Code 上线安全提醒插件，已有 16 万安装，看来很刚需啊！

插件通过 pre-tool hook 运行，自动拦截 Write、Edit、MultiEdit 三类操作。

覆盖多种类型：

1 GitHub Actions 工作流里的命令注入
2 Node.js 的 child_process.exec（） 不安全调用
3 eval（） 和 new Function（） 的使用
4 前端的 XSS 向量，包括 dangerouslySetInnerHTML 和 innerHTML
5 Python 的 pickle 反序列化风险
6 Python 的 os.system（） 命令注入

例如，当用 innerHTML 或 dangerouslySetInnerHTML 时提示 XSS 风险。

当编辑 workflow 文件时提示 GitHub Actions 注入风险。

警告是 session 级别，相同问题只提醒一次。

安装方法，Claude Code中输入 /plugins，Discover中输入security-guidance搜索安装。
