Everything Claude Code Security Reviewer Agent 是一款专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)设计的生产级安全审查代理。它能自动检测代码中的 OWASP Top 10 漏洞、密钥泄漏、注入风险和依赖安全问题,适用于所有涉及用户输入、认证、API 端点或敏感数据的开发场景。相比直接让 Claude 回答安全问题,Security Reviewer Agent 提供了更系统、更专业、更可自动化的安全保障能力,是保障 AI 辅助开发流程安全不可或缺的核心组件。

Everything Claude Code Security Reviewer Agent:OWASP Top 10、密钥泄漏与注入漏洞自动检测

在现代 AI 辅助开发流程中,安全问题往往被低估,但一旦出现漏洞,后果极其严重。Everything Claude Code Security Reviewer Agent(简称 security-reviewer)正是为此而生:它是 Everything Claude Code 插件体系中专职的安全漏洞检测与修复代理,能够自动识别 OWASP Top 10 漏洞、密钥泄漏、注入攻击、依赖安全风险等高危问题,帮助开发者在代码进入生产前完成最后一道安全防线。

如果你正在使用 Claude Code、Codex、Cursor 等 AI 编程助手,想要系统性提升安全保障,避免因疏忽导致的安全事故,security-reviewer Agent 是你的必备工具。它不仅能自动分析代码,还能与其他 Agent(如 code-reviewer、tdd-guide、build-error-resolver 等)协作,形成覆盖全流程的安全闭环。

推荐阅读:Everything Claude Code 完全指南:38 Agent + 156 Skill 的生产级 AI 编程插件AI 编程助手安全指南:提示注入、CVE 案例与 AgentShield 防御

1. Security Reviewer Agent 能解决什么问题?

典型场景

  • 新建或修改 API 端点、认证、用户输入处理、数据库查询、文件上传、支付逻辑、外部 API 集成等敏感代码后
  • 依赖包升级、引入新依赖、处理 CVE 或安全事件时
  • 发布前安全审查,确保没有密钥泄漏、注入风险、依赖漏洞
  • 团队协作中自动化安全把关,避免因个人经验不足导致疏漏

能力边界

能做的:

  • 自动检测 OWASP Top 10 漏洞(如注入、认证失效、敏感数据泄漏、XSS、CSRF、依赖漏洞等)
  • 搜索并定位硬编码密钥、密码、Token
  • 检查用户输入校验、API 认证、权限控制、日志敏感信息泄漏
  • 审查依赖安全(如 npm audit)、识别高危依赖
  • 输出详细的安全报告和修复建议
  • 支持自动触发与手动调用,适配多种开发流程

不能做的:

  • 不能替代专业渗透测试或代码审计团队
  • 不能检测非代码层面的业务逻辑漏洞(如支付绕过、灰产攻击路径)
  • 不能自动修复所有类型的安全问题(但能给出修复建议)

2. 为什么要用专门的 Security Reviewer Agent,而不是直接问 Claude?

虽然 Claude 等大模型具备一定的安全知识,但直接提问有如下局限:

  • 覆盖面有限:普通对话很难系统性覆盖 OWASP Top 10、密钥泄漏、依赖漏洞等所有高危点,容易遗漏。
  • 不具备自动化触发和全局扫描能力:只能针对单个片段或问题回答,无法自动审查整个代码变更或 PR。
  • 缺乏安全优先级和修复流程:Security Reviewer Agent 会区分 CRITICAL/HIGH/MEDIUM 级别,给出具体修复建议和应急响应流程。
  • 无法与其他 Agent 协同:security-reviewer 可与 code-reviewer、tdd-guide 等串联,形成自动化安全工作流。
  • 专业性和可追溯性:Agent 提供结构化报告,便于团队合规和审计。

综上,Security Reviewer Agent 是生产级安全保障的必选项,而非可选项。

3. Security Reviewer Agent 的工作机制与触发方式

触发时机

  • 自动激活(推荐):在新建/修改涉及用户输入、认证、API、数据库、支付等敏感代码时,或依赖更新后,系统会自动触发 security-reviewer 进行全量扫描。
  • 手动调用:开发者可随时通过命令或 UI 入口主动发起安全审查,适用于临时检查、疑难问题定位或发布前全局复查。

审查流程

  1. 初步扫描
    • 执行 npm audit --audit-level=high 检查依赖漏洞
    • 运行 npx eslint . --plugin security 静态分析安全隐患
    • 全局搜索硬编码密钥、Token、密码等敏感信息
  2. OWASP Top 10 检查
    • 注入攻击(SQL/NoSQL/命令注入)
    • 认证/授权失效
    • 敏感数据泄漏
    • XXE、XSS、CSRF 等漏洞
    • 依赖漏洞、配置不当、日志泄漏等
  3. 高危模式识别
    • 发现如 innerHTML = userInput、字符串拼接 SQL、shell 命令拼接等高危代码,立即标记为 CRITICAL
    • 检查权限校验、速率限制、敏感信息日志等关键点
  4. 输出结构化报告与修复建议
    • 按严重级别(CRITICAL/HIGH/MEDIUM)输出问题列表
    • 针对每个问题给出修复建议和安全代码示例
    • 如发现密钥泄漏,建议立即轮换并追溯影响范围

典型自动化 Hook 示例

结合 Everything Claude Code Hooks 实战,可配置 Pre-commit、PR 创建、依赖升级等事件自动触发 security-reviewer,确保关键节点安全无死角。

4. 与其他 Agent 的协作模式

  • 与 code-reviewer 串联:先运行 code-reviewer 做代码质量检查,再由 security-reviewer 聚焦安全问题,形成质量+安全双保险(详见 Everything Claude Code Code Reviewer Agent)。
  • 与 tdd-guide 配合:在测试驱动开发流程中,security-reviewer 可嵌入测试前后,确保新增功能无安全回归。
  • 与 build-error-resolver 协同:依赖升级或修复安全漏洞后,自动触发构建错误修复,保障修复链路畅通。

5. 实际使用示例:完整对话流程

假设你刚完成了一个新的用户注册 API,涉及数据库写入和邮件发送。你希望确保没有安全隐患。

Step 1:自动触发或手动调用 security-reviewer

# 手动触发(或通过 UI 入口)
ecc agent run security-reviewer --path=src/api/register.ts

Step 2:Agent 自动扫描并输出结构化报告

[Security Reviewer Report]

1. [CRITICAL] Hardcoded secret detected in src/api/register.ts:23
   - "const SMTP_PASSWORD = 'abc123...';"
   - Fix: Move to process.env and use a secret manager.

2. [HIGH] SQL query uses string concatenation with user input at line 45.
   - Fix: Use parameterized queries with your ORM.

3. [HIGH] No rate limiting on /api/register endpoint.
   - Fix: Add express-rate-limit middleware.

4. [MEDIUM] Email field not validated for format.
   - Fix: Use a schema validator (e.g., Joi, Zod).

Step 3:根据建议修复代码,再次运行 security-reviewer 验证问题已解决。

Step 4:通过自动化 Hook,合并 PR 前再次全局扫描,确保无回归。

6. 常见问题与注意事项

  • Q: Security Reviewer Agent 会误报吗? A: 部分场景(如 .env.example、测试密钥等)可能误报,Agent 会自动判别常见误报类型,但建议开发者复核上下文。

  • Q: 它能自动修复所有安全问题吗? A: 目前主要给出修复建议和安全代码示例,部分简单问题可自动修复,复杂场景仍需人工介入。

  • Q: 支持哪些语言和框架? A: 以 Node.js/TypeScript/JavaScript 为主,常见 Web 框架(Express、Next.js、NestJS 等)均支持,其他语言建议结合专属 Reviewer Agent 使用。


通过集成 Everything Claude Code Security Reviewer Agent,你可以让 AI 编程助手具备生产级安全审查能力,极大降低因安全疏漏带来的风险,真正实现安全开发与高效协作的统一。