Claude Code Security Review — PR Audit Action

简介

Claude Code Security Reviewer 是一个 GitHub Action：只分析 PR 的变更文件，输出安全问题与修复建议并自动回评到 PR（需要 CLAUDE_API_KEY）。

• 适合谁： 希望在合并前对每个 PR 做一次“只看 diff”的安全体检的仓库（尤其是后端/服务）
• 可搭配： GitHub Actions、PR 评论权限、Claude API key secrets、可信 PR 流程
• 准备时间： 8 分钟

实战建议

• 按 README：PR 场景只分析变更文件（diff-aware），避免全仓扫描带来的成本与噪音
• README 给出默认超时 20 分钟，并提供模型名参数（可按需求调整）

不翻车的使用方式

AI 安全审计最怕两件事：范围太大导致噪音爆炸，以及信任边界不清导致被 prompt injection 牵着走。

更稳的落地路径：

• 先在内部 PR 或“外部贡献需审批”模式下启用，降低被攻击面。
• 先把它当作 review 辅助，不要一开始就自动阻断合并；先校准误报率。
• 权限尽量最小化：写 PR 评论即可，不需要写仓库。

README 还支持用自定义指令文件来调优扫描与误报过滤；当团队确定“安全评论风格”后再逐步接入。

FAQ

会全仓扫描吗？ 答：按 README：PR 场景主要针对变更文件/差异，而不是全仓。

能抵抗 prompt injection 吗？ 答：README 明确提示未做加固；建议只在可信 PR 策略下使用。

怎么减少误报？ 答：使用 Action 提供的自定义扫描/过滤指令文件输入来调优。