Claude配置安全扫描

低风险

作者 @affaan-m已验证来源

4.1452 次安装v1.0.0更新于 2026年5月25日

使用方式

在 Claude Code 中运行以下命令

第一步：添加 Marketplace

/plugin marketplace add affaan-m/ECC

第二步：安装插件

/plugin install ecc@ecc

关于

使用 AgentShield 扫描 Claude Code 配置（.claude/ 目录）中的安全漏洞、错误配置和注入风险。检查 CLAUDE.md、settings.json、MCP 服务器、钩子和代理定义。

name: security-scan description: 使用AgentShield扫描你的Claude Code配置（.claude/目录）中的安全漏洞、配置错误和注入风险。检查CLAUDE.md、settings.json、MCP服务器、hooks和代理定义。 origin: ECC

安全扫描技能

使用 AgentShield 审计你的Claude Code配置中的安全问题。

何时激活

设置新的Claude Code项目时
修改 .claude/settings.json、CLAUDE.md 或MCP配置后
提交配置更改之前
加入具有现有Claude Code配置的新仓库时
定期安全卫生检查

扫描内容

| 文件 | 检查项 | |------|--------| | CLAUDE.md | 硬编码密钥、自动运行指令、提示注入模式 | | settings.json | 过于宽松的允许列表、缺失的拒绝列表、危险的绕过标志 | | mcp.json | 高风险MCP服务器、硬编码环境密钥、npx供应链风险 | | hooks/ | 通过插值的命令注入、数据泄露、静默错误抑制 | | agents/*.md | 不受限制的工具访问、提示注入攻击面、缺失的模型规范 |

前置条件

必须安装AgentShield。检查并按需安装：

# Check if installed
npx ecc-agentshield --version

# Install globally (recommended)
npm install -g ecc-agentshield

# Or run directly via npx (no install needed)
npx ecc-agentshield scan .

使用方法

基本扫描

对当前项目的 .claude/ 目录运行：

# Scan current project
npx ecc-agentshield scan

# Scan a specific path
npx ecc-agentshield scan --path /path/to/.claude

# Scan with minimum severity filter
npx ecc-agentshield scan --min-severity medium

输出格式

# Terminal output (default) — colored report with grade
npx ecc-agentshield scan

# JSON — for CI/CD integration
npx ecc-agentshield scan --format json

# Markdown — for documentation
npx ecc-agentshield scan --format markdown

# HTML — self-contained dark-theme report
npx ecc-agentshield scan --format html > security-report.html

自动修复

自动应用安全修复（仅修复标记为可自动修复的项目）：

npx ecc-agentshield scan --fix

这将：

将硬编码密钥替换为环境变量引用
将通配符权限收紧为限定范围的替代方案
永远不修改仅限手动的建议

Opus 4.6 深度分析

运行对抗性三代理管道进行更深入的分析：

# Requires ANTHROPIC_API_KEY
export ANTHROPIC_API_KEY=your-key
npx ecc-agentshield scan --opus --stream

这将运行：

攻击者（红队） — 发现攻击向量
防御者（蓝队） — 推荐加固措施
审计员（最终裁决） — 综合双方观点

初始化安全配置

从零开始搭建新的安全 .claude/ 配置：

npx ecc-agentshield init

创建：

带有限定权限和拒绝列表的 settings.json
带有安全最佳实践的 CLAUDE.md
mcp.json 占位符

GitHub Action

添加到你的CI管道：

- uses: affaan-m/agentshield@v1
  with:
    path: '.'
    min-severity: 'medium'
    fail-on-findings: true

严重级别

| 等级 | 分数 | 含义 | |------|------|------| | A | 90-100 | 安全配置 | | B | 75-89 | 轻微问题 | | C | 60-74 | 需要关注 | | D | 40-59 | 重大风险 | | F | 0-39 | 严重漏洞 |

解读结果

严重发现（立即修复）

配置文件中硬编码的API密钥或令牌
允许列表中的 Bash(*)（不受限制的shell访问）
hooks中通过 ${file} 插值的命令注入
运行shell的MCP服务器

高危发现（生产前修复）

CLAUDE.md中的自动运行指令（提示注入向量）
权限中缺失的拒绝列表
具有不必要Bash访问权限的代理

中等发现（建议修复）

hooks中的静默错误抑制（2>/dev/null、|| true）
缺失的PreToolUse安全hooks
MCP服务器配置中的 npx -y 自动安装

信息发现（了解即可）

MCP服务器缺失描述
正确标记为良好实践的禁止性指令

链接

GitHub: github.com/affaan-m/agentshield
npm: npmjs.com/package/ecc-agentshield

兼容工具

Claude CodeCursor