Appearance
Everything Claude Code Security Reviewer Agent 是一款专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)设计的生产级安全审查代理。它能自动检测代码中的 OWASP Top 10 漏洞、密钥泄漏、注入风险和依赖安全问题,适用于所有涉及用户输入、认证、API 端点或敏感数据的开发场景。相比直接让 Claude 回答安全问题,Security Reviewer Agent 提供了更系统、更专业、更可自动化的安全保障能力,是保障 AI 辅助开发流程安全不可或缺的核心组件。
Everything Claude Code Security Reviewer Agent:OWASP Top 10、密钥泄漏与注入漏洞自动检测
在现代 AI 辅助开发流程中,安全问题往往被低估,但一旦出现漏洞,后果极其严重。Everything Claude Code Security Reviewer Agent(简称 security-reviewer)正是为此而生:它是 Everything Claude Code 插件体系中专职的安全漏洞检测与修复代理,能够自动识别 OWASP Top 10 漏洞、密钥泄漏、注入攻击、依赖安全风险等高危问题,帮助开发者在代码进入生产前完成最后一道安全防线。
如果你正在使用 Claude Code、Codex、Cursor 等 AI 编程助手,想要系统性提升安全保障,避免因疏忽导致的安全事故,security-reviewer Agent 是你的必备工具。它不仅能自动分析代码,还能与其他 Agent(如 code-reviewer、tdd-guide、build-error-resolver 等)协作,形成覆盖全流程的安全闭环。
推荐阅读:Everything Claude Code 完全指南:38 Agent + 156 Skill 的生产级 AI 编程插件、AI 编程助手安全指南:提示注入、CVE 案例与 AgentShield 防御
1. Security Reviewer Agent 能解决什么问题?
典型场景
- 新建或修改 API 端点、认证、用户输入处理、数据库查询、文件上传、支付逻辑、外部 API 集成等敏感代码后
- 依赖包升级、引入新依赖、处理 CVE 或安全事件时
- 发布前安全审查,确保没有密钥泄漏、注入风险、依赖漏洞
- 团队协作中自动化安全把关,避免因个人经验不足导致疏漏
能力边界
能做的:
- 自动检测 OWASP Top 10 漏洞(如注入、认证失效、敏感数据泄漏、XSS、CSRF、依赖漏洞等)
- 搜索并定位硬编码密钥、密码、Token
- 检查用户输入校验、API 认证、权限控制、日志敏感信息泄漏
- 审查依赖安全(如 npm audit)、识别高危依赖
- 输出详细的安全报告和修复建议
- 支持自动触发与手动调用,适配多种开发流程
不能做的:
- 不能替代专业渗透测试或代码审计团队
- 不能检测非代码层面的业务逻辑漏洞(如支付绕过、灰产攻击路径)
- 不能自动修复所有类型的安全问题(但能给出修复建议)
2. 为什么要用专门的 Security Reviewer Agent,而不是直接问 Claude?
虽然 Claude 等大模型具备一定的安全知识,但直接提问有如下局限:
- 覆盖面有限:普通对话很难系统性覆盖 OWASP Top 10、密钥泄漏、依赖漏洞等所有高危点,容易遗漏。
- 不具备自动化触发和全局扫描能力:只能针对单个片段或问题回答,无法自动审查整个代码变更或 PR。
- 缺乏安全优先级和修复流程:Security Reviewer Agent 会区分 CRITICAL/HIGH/MEDIUM 级别,给出具体修复建议和应急响应流程。
- 无法与其他 Agent 协同:security-reviewer 可与 code-reviewer、tdd-guide 等串联,形成自动化安全工作流。
- 专业性和可追溯性:Agent 提供结构化报告,便于团队合规和审计。
综上,Security Reviewer Agent 是生产级安全保障的必选项,而非可选项。
3. Security Reviewer Agent 的工作机制与触发方式
触发时机
- 自动激活(推荐):在新建/修改涉及用户输入、认证、API、数据库、支付等敏感代码时,或依赖更新后,系统会自动触发 security-reviewer 进行全量扫描。
- 手动调用:开发者可随时通过命令或 UI 入口主动发起安全审查,适用于临时检查、疑难问题定位或发布前全局复查。
审查流程
- 初步扫描
- 执行
npm audit --audit-level=high检查依赖漏洞 - 运行
npx eslint . --plugin security静态分析安全隐患 - 全局搜索硬编码密钥、Token、密码等敏感信息
- 执行
- OWASP Top 10 检查
- 注入攻击(SQL/NoSQL/命令注入)
- 认证/授权失效
- 敏感数据泄漏
- XXE、XSS、CSRF 等漏洞
- 依赖漏洞、配置不当、日志泄漏等
- 高危模式识别
- 发现如
innerHTML = userInput、字符串拼接 SQL、shell 命令拼接等高危代码,立即标记为 CRITICAL - 检查权限校验、速率限制、敏感信息日志等关键点
- 发现如
- 输出结构化报告与修复建议
- 按严重级别(CRITICAL/HIGH/MEDIUM)输出问题列表
- 针对每个问题给出修复建议和安全代码示例
- 如发现密钥泄漏,建议立即轮换并追溯影响范围
典型自动化 Hook 示例
结合 Everything Claude Code Hooks 实战,可配置 Pre-commit、PR 创建、依赖升级等事件自动触发 security-reviewer,确保关键节点安全无死角。
4. 与其他 Agent 的协作模式
- 与 code-reviewer 串联:先运行 code-reviewer 做代码质量检查,再由 security-reviewer 聚焦安全问题,形成质量+安全双保险(详见 Everything Claude Code Code Reviewer Agent)。
- 与 tdd-guide 配合:在测试驱动开发流程中,security-reviewer 可嵌入测试前后,确保新增功能无安全回归。
- 与 build-error-resolver 协同:依赖升级或修复安全漏洞后,自动触发构建错误修复,保障修复链路畅通。
5. 实际使用示例:完整对话流程
假设你刚完成了一个新的用户注册 API,涉及数据库写入和邮件发送。你希望确保没有安全隐患。
Step 1:自动触发或手动调用 security-reviewer
bash
# 手动触发(或通过 UI 入口)
ecc agent run security-reviewer --path=src/api/register.tsStep 2:Agent 自动扫描并输出结构化报告
plaintext
[Security Reviewer Report]
1. [CRITICAL] Hardcoded secret detected in src/api/register.ts:23
- "const SMTP_PASSWORD = 'abc123...';"
- Fix: Move to process.env and use a secret manager.
2. [HIGH] SQL query uses string concatenation with user input at line 45.
- Fix: Use parameterized queries with your ORM.
3. [HIGH] No rate limiting on /api/register endpoint.
- Fix: Add express-rate-limit middleware.
4. [MEDIUM] Email field not validated for format.
- Fix: Use a schema validator (e.g., Joi, Zod).Step 3:根据建议修复代码,再次运行 security-reviewer 验证问题已解决。
Step 4:通过自动化 Hook,合并 PR 前再次全局扫描,确保无回归。
6. 常见问题与注意事项
Q: Security Reviewer Agent 会误报吗? A: 部分场景(如 .env.example、测试密钥等)可能误报,Agent 会自动判别常见误报类型,但建议开发者复核上下文。
Q: 它能自动修复所有安全问题吗? A: 目前主要给出修复建议和安全代码示例,部分简单问题可自动修复,复杂场景仍需人工介入。
Q: 支持哪些语言和框架? A: 以 Node.js/TypeScript/JavaScript 为主,常见 Web 框架(Express、Next.js、NestJS 等)均支持,其他语言建议结合专属 Reviewer Agent 使用。
通过集成 Everything Claude Code Security Reviewer Agent,你可以让 AI 编程助手具备生产级安全审查能力,极大降低因安全疏漏带来的风险,真正实现安全开发与高效协作的统一。