Claude Code dobio plugin koji sam provjerava sigurnost koda

Anthropic je za sve korisnike svog alata za agenčno programiranje uveo besplatan sigurnosni sloj koji radi automatski, u pozadini, bez ikakve konfiguracije.

Anthropic je lansirao sigurnosni plugin za Claude Code koji autonomno pregledava svaki isječak koda što ga AI napiše i odmah u istoj sesiji popravlja pronađene propuste. Plugin je besplatan, dostupan svima koji koriste Claude Code, i instalira se iz Marketplace-a jednim klikom. Interno testiranje u Anthropicu pokazalo je da timovi koji ga koriste imaju 30 do 40% manje sigurnosnih komentara na pull request-ovima. Za razvojne timove koji sve više oslanjaju na AI pri pisanju koda, to je razlika koja se mjeri u satima sedmično.

• Anthropic je lansirao besplatan sigurnosni plugin za Claude Code, dostupan iz Marketplace-a
• Plugin radi u tri sloja: brzi pregled izmjena fajlova, analiza cijelog diff-a na kraju sesije, dublja provjera pri svakom commit-u
• Model koji piše kod nije isti koji ga ocjenjuje, što eliminiše pristranost prema vlastitim greškama
• Timovi mogu dodati vlastita pravila provjere kroz claude-security-guidance.md ili security-patterns.yaml
• Rezultat internog testiranja: 30 do 40% manje sigurnosnih komentara na pull request-ovima

Šta se tačno desilo

Anthropic je u Marketplace za Claude Code dodao plugin koji, jednom instaliran, funkcioniše kao nezavisni sigurnosni revizor svega što Claude napiše. Nema ručnog pokretanja niti posebne konfiguracije za početak rada.

Plugin funkcioniše kroz tri odvojena sloja, a svaki nosi drugačiju dubinu analize. Najbrži se aktivira odmah pri svakoj izmjeni fajla i traži poznate sigurnosne obrasce koje treba izbjegavati, poput hardkodovanih tajnih ključeva ili neprovjerenih korisničkih inputa. Drugi sloj čita cijeli diff na kraju svake sesije i traži propuste koji se možda ne vide ako gledaš samo jedan izmijenjeni fajl. Treći, najdublji sloj, pokreće se pri svakom commit-u ili push-u što Claude napravi i analizira širi kontekst koda, ne samo izmjene.

Ključni arhitekturalni detalj: model koji piše kod nije isti koji ga ocjenjuje. Radi se o posebnom Claude pozivu s drugačijim promptom, što znači da nema sklonosti prema vlastitim greškama koja bi se prirodno pojavila kada bi isti model analizirao vlastiti output. To je smislena tehnička odluka, ne marketinška.

Za timove koji žele prilagoditi plugin vlastitim standardima, Anthropic je uveo dva mehanizma. Programeri mogu dodati claude-security-guidance.md datoteku ili security-patterns.yaml direktno u repozitorijum. Administratori u firmama mogu gurnuti org-široka pravila kroz upravljanje uređajima, bez da svaki programer posebno konfigurira vlastitu instalaciju.

Cijeli sistem je izgrađen na hook-ovima (tačkama zakačivanja u Claudovom radnom toku), što znači da svaki tim može pregledati kako plugin radi i zakačiti vlastite provjere na istim mjestima u Claudovoj petlji izvršavanja.

Kontekst i konkurencija

Claude Code je Anthropicov alat za agentsko programiranje direktno iz terminala. Nije klasični editor s AI prijedlozima nego CLI koji se integriše u razvojni tok i može autonomno pisati, editovati, testirati i pokretati kod unutar sesije.

GitHub Copilot ima Copilot Autofix koji automatski sugeriše popravke za sigurnosne propuste koje GitHub Advanced Security detektuje. Ali ta logika je zaključana unutar GitHub infrastrukture, timovi ne mogu vidjeti niti mijenjati kako radi. Cursor nema ugrađen ekvivalentni sigurnosni sloj na nivou diff-a ni commit-a.

Ono što Anthropic ovdje radi drugačije je otvorenost mehanizma. Jer je plugin izgrađen na hook-ovima, svaki tim vidi točno šta se provjerava i može dodati vlastite provjere. To nije sitna tehnička razlika. Za kompanije u regulisanim industrijama ili s posebnim sigurnosnim zahtjevima, to je razlika između alata koji možeš koristiti i alata koji ti ostaje crna kutija.

Naša perspektiva: šta ovo znači za region

Ovo nije vijest za svakoga. Releventna je za konkretne grupe.

Za razvojne agencije i IT firme u regionu koje već koriste Claude Code, plugin direktno smanjuje trošak internog code review-a. Umjesto da stariji programer svaki put prolazi kroz AI-generisani kod i lovi SQL injekcije, nezaštićene korisničke inpute ili hardkodovane tajne ključeve, plugin to odradi kao prvi automatski filtar. Senior dev i dalje mora pregledavati kod, ali ne troši sat-dva sedmično na trivijalne, predvidljive propuste.

Za startupove koji se brzo skaliraju, gdje jedan ili dva programera pišu veliku količinu koda uz pomoć AI-ja, ovo je razlika između sigurnosti na osnovu nade i minimalne sistemske provjere. Nije zamjena za sigurnosni audit, ali smanjuje vjerovatnoću da nešto trivijalno, a ranjivo završi u produkciji.

Konkretno firma s pet programera koji svaki dan koriste Claude Code za pisanje backend koda u prosjeku napravi desetine commit-ova dnevno. Bez ovog plugin-a, sigurnosni pregled je ad hoc. S plugin-om, svaki commit ima automatsku provjeru koja hvata najčešće klase propusta prije nego stigne do pull request-a.

Zaključak

Ako se broj od 30 do 40% manje sigurnosnih komentara na pull request-ovima potvrdi i izvan Anthropicovog internog testiranja, to je cifra koja će inženjering timove primorati da ozbiljno razmotre Claude Code kao standardni alat, ne samo eksperiment. Pull request prestaje biti primarno mjesto gdje lovimo propuste i postaje uglavnom formalna provjera.

Pratiti: hoće li slični mehanizmi doći i u web-bazirane AI editore, i hoće li Anthropic objaviti vanjsku reviziju tih benchmark brojeva.

Ako pratiš kako AI alati ulaze u stvarne razvojne tokove, ne samo u naslove, prijavi se na AI Balkan newsletter. Analiziramo alate koji mijenjaju svakodnevni rad, ne samo najave.