TL;DR — was Anthropic JETZT schaltet
- Security-Guidance-Plugin ist für alle Claude Code User live — kostet nichts extra.
- Plugin scannt Edits, Diffs und Commits in Echtzeit und meldet gefährliche Muster, bevor sie im Repo landen.
- Fokus: Hardcoded Secrets, unsichere Krypto, fehlende Auth-Checks, SQL-Injection-Hotspots, gefährliche Shell-Calls.
- Aktivierung mit einem CLI-Befehl, läuft komplett lokal — kein Code-Upload zu Anthropic-Servern.
Du baust mit Claude Code — und dachtest bisher, deine KI achtet schon selbst auf Sicherheit? Falsch gedacht. Bis jetzt war das Security-Review im Workflow optional. Ab dieser Woche kommt das Schutzschild direkt mit ins Standard-Setup.
Was das Plugin GENAU macht
Anthropic hat ein Security-Guidance-Plugin ausgerollt, das in deine Claude-Code-Session reingreift. Sobald du eine Datei änderst, einen Diff erzeugst oder einen Commit fährst, läuft im Hintergrund eine Pattern-Prüfung mit. Findet das Plugin etwas Heißes, meckert Claude noch im Editor — nicht erst im CI/CD.
Konkret schaut das Plugin auf:
- Hardcoded Secrets — API-Keys, Tokens, Passwörter in Klartext im Code.
- Unsichere Krypto — MD5/SHA1 für Passwort-Hashing, ECB-Modi, fehlende IVs.
- Auth-Bypässe — Endpoints ohne Berechtigungscheck, leere
if-Branches. - SQL-Injection-Risiko — Strings statt Prepared Statements.
- Gefährliche Shell-Calls — unsanitisierte User-Inputs in
os.system()& Co.
Warum DAS für dich zählt
Studien zeigen: Über 40 Prozent aller KI-generierten Code-Snippets enthalten mindestens eine bekannte Schwachstelle. Wer Claude Code als Pair-Programmer nutzt, schiebt diese Bugs aus Versehen direkt ins Repo — wenn niemand vorher reinschaut. Mit dem neuen Plugin hat Anthropic die Pflicht zur Live-Sicht in den Workflow eingebaut.
Und: Das Plugin läuft lokal auf deinem Rechner. Dein Code wandert NICHT zu Anthropic-Servern. Heißt: Du kannst es auch in geschlossenen Enterprise-Setups einschalten, ohne Compliance-Schmerzen.
So aktivierst du es
Wer Claude Code schon installiert hat, holt sich das Plugin per CLI:
claude plugin install security-guidanceDanach steht das Plugin in deiner Session — keine zusätzlichen Settings nötig. Bei jedem Edit poppt im Chat eine Sicherheits-Note hoch, sobald das Plugin etwas zu meckern hat. Du kannst die Warnungen akzeptieren oder verwerfen — und die Begründung bleibt im Diff-Kommentar stehen.
Wo das Plugin AN seine Grenzen kommt
Realismus-Check: Das Plugin ersetzt keinen echten Security-Review. Es findet Pattern-basierte Probleme, aber keine logischen Lücken oder Race Conditions. Wer hochsensible Codebase fährt, braucht weiterhin manuelle Reviews und externe SAST-Tools (Semgrep, Snyk, Trivy). Aber: Als erste Hürde spart das Plugin in der Praxis ordentlich Bug-Tickets.
Häufige Fragen
Kostet das Plugin extra?
Nein. Es ist Teil der normalen Claude-Code-Lizenz und wird für alle User automatisch verfügbar gemacht.
Geht mein Code an Anthropic?
Nein. Die Pattern-Prüfung läuft komplett lokal in deinem Claude-Code-Client. Es werden keine Code-Snippets zur Anthropic-Cloud geschickt.
Welche Sprachen werden unterstützt?
Aktuell Python, JavaScript/TypeScript, Go, Rust, Java, Ruby und Shell. Andere Sprachen laufen mit Best-Effort, aber ohne sprachspezifische Regeln.
Kann ich Regeln deaktivieren?
Ja. Über die .claude/security.yaml im Projekt kannst du einzelne Checks gezielt abschalten oder Ausnahmen für bestimmte Pfade setzen.
Wo finde ich die offizielle Doku?
Auf docs.anthropic.com/claude-code/plugins/security — direkt im Anthropic-Developer-Bereich verlinkt.
Quellen
- cybersecuritynews.com/anthropic-updates-claude-code/
- anthropic.com/news
- releasebot.io/updates/anthropic/claude-code