La IA intentará dejar de generar código vulnerable: Anthropic lanza un plugin de seguridad para Claude Code
¿Puede un algoritmo sustituir la mirada crítica de un líder de equipo exigente?
Anthropic añadió en Claude Code una nueva herramienta que ayuda a encontrar errores peligrosos ya durante la escritura del código. La idea es simple: mientras el desarrollador trabaja con el asistente de IA, un mecanismo separado comprueba los cambios y sugiere dónde podrían haber aparecido vulnerabilidades. Este enfoque reduce el riesgo de que el código problemático llegue a la revisión del pull request o entre en el repositorio.
Se trata del complemento security-guidance para Claude Code. Tras la instalación desde el mercado oficial de Anthropic se inicia automáticamente y no requiere un comando adicional. La herramienta revisa los cambios en varias etapas. Al editar cada archivo se ejecuta una búsqueda rápida de patrones peligrosos, por ejemplo ejecución dinámica de código, deserialización insegura, inyección en el DOM y modificaciones en archivos de flujos de trabajo de GitHub.
Después de cada acción de Claude Code el complemento crea un git diff de los archivos modificados y envía la diferencia a una comprobación de seguridad separada. Ese análisis puede detectar vulnerabilidades más complejas, incluyendo eludir la autorización, inyecciones, falsificación de solicitudes del lado del servidor y criptografía débil. Si la comprobación detecta riesgo, Claude Code recibe observaciones y puede corregir el código en la misma sesión.
Un análisis más profundo se inicia cuando Claude Code ejecuta git commit o git push a través de la herramienta Bash integrada. En ese caso el mecanismo de verificación lee el código vecino, las llamadas, los mecanismos de saneamiento de entradas y los archivos relacionados para reducir el número de falsos positivos. El complemento no comprueba los commits realizados por el usuario desde una consola normal.
Para funcionar se necesita Claude Code versión 2.1.144 o posterior, Python 3.8 y un repositorio git. En la primera ejecución el complemento crea un entorno virtual en ~/.claude/security/ e instala Claude Agent SDK. En Windows la comprobación de commits por parte del agente se activa solo si claude-agent-sdk ya está disponible.
Los equipos pueden añadir sus propias reglas. Para las comprobaciones que usan un modelo se emplea el archivo .claude/claude-security-guidance.md, donde se pueden describir los requisitos del proyecto, por ejemplo prohibir el registro de identificadores sensibles o exigir la verificación de rol para rutas administrativas. Para comprobaciones rápidas por patrones se admiten archivos YAML y JSON con expresiones regulares o cadenas que hay que vigilar.
Anthropic subraya que el complemento no sustituye una auditoría completa, Code Review, las comprobaciones en CI ni los analizadores estáticos. Las comprobaciones no bloquean la grabación de archivos ni los commits, solo pasan observaciones a la sesión de trabajo de Claude Code. Por eso security-guidance no funciona como una protección universal, sino como un filtro temprano que ayuda a eliminar parte de las vulnerabilidades antes de que el código entre en el proceso de desarrollo común.