Shieldbot : Plugin de Scan de Sécurité Open Source pour Claude Code
Ce que fait Shieldbot
Shieldbot est un scanner de sécurité open-source qui s'exécute directement dans Claude Code en tant que plugin. Il élimine le besoin de basculer entre votre éditeur et des outils de sécurité séparés en intégrant la fonctionnalité de scan dans l'environnement de développement.
Installation et utilisation
Installez avec ces commandes :
/plugin marketplace add BalaSriharsha/shieldbot
/plugin install shieldbot
/shieldbot .Vous pouvez également interagir naturellement avec lui en utilisant des commandes comme "scan ce dépôt pour des problèmes de sécurité" ou "vérifie mes dépendances pour des CVE" et l'agent traitera la demande.
Intégration des scanners
L'outil exécute six scanners en parallèle :
- Semgrep (plus de 5 000 règles communautaires couvrant OWASP Top 10, CWE Top 25, injection, XSS, SSRF)
- Bandit (sécurité Python)
- Ruff (qualité/sécurité Python)
- detect-secrets (détecte les clés API, tokens, mots de passe dans le code source)
- pip-audit (CVE des dépendances Python)
- npm audit (CVE Node.js)
Traitement des résultats
Les résultats sont dédupliqués entre les scanners, donc le même bug signalé par plusieurs outils (comme Semgrep et Bandit) n'apparaît qu'une seule fois. Claude synthétise ensuite le tout dans un rapport prioritaire qui inclut :
- Score de risque
- Résumé exécutif
- Corrections de code spécifiques
- Identification des faux positifs probables
Tests en conditions réelles
Le développeur a d'abord exécuté Shieldbot sur lui-même, où il a détecté une vulnérabilité XSS Jinja2 dans le rapporteur HTML qui avait été manquée. Le scan a donné un résultat réel et zéro faux positif sur la détection de secrets.
Intégration CI/CD
Shieldbot fonctionne également en tant qu'action GitHub pour les pipelines CI :
- uses: BalaSriharsha/shieldbot@mainLes résultats apparaissent dans l'onglet Sécurité de GitHub via la sortie SARIF.
Confidentialité et architecture
Tout s'exécute localement sans que le code ne quitte votre machine. Le serveur MCP transmet les résultats des scanners à Claude Code via stdio.
Détails du projet
Le projet est sous licence MIT et disponible sur GitHub à https://github.com/BalaSriharsha/shieldbot. Le développeur sollicite des retours, notamment sur les scanners supplémentaires ou les fonctionnalités de rapport que les utilisateurs souhaiteraient voir ajoutés.
📖 Read the full source: r/ClaudeAI
👀 See Also
Les utilisateurs d'OpenClaw signalent des goulots d'étranglement dans la planification et la revue avec les agents IA.
Les utilisateurs d'OpenClaw décrivent les flux de travail de planification et de révision comme 'ressemblant à MS-DOS' malgré une génération de code efficace, citant l'intervention manuelle, la fragmentation des documents et la perte de raisonnement lors de la collaboration entre agents. Certains expérimentent avec des éditeurs de documents natifs pour agents comme comment.io et Proof by Every.
Manifest Router ajoute la prise en charge des abonnements ZAI pour la gestion des modèles OpenClaw
Le routeur Manifest prend désormais en charge les abonnements ZAI, permettant à tous les modèles ZAI d'apparaître dans les niveaux de routage avec une sélection automatique de modèle par requête. L'outil est en version bêta, gratuit, open source, et inclut un tableau de bord pour suivre les coûts par agent, message et modèle.
Graphe de Compétences Traversable pour la Mémoire Persistante des Agents IA dans les Bases de Code
Un développeur a construit un système de graphe de compétences à trois couches qui vit à l'intérieur d'une base de code, permettant aux assistants de codage IA de maintenir une mémoire persistante entre les sessions. Le système utilise une divulgation progressive avec des instructions auto-dirigées au lieu de fichiers de contexte monolithiques.
ClamBot : Agent IA Exécute du Code Généré par LLM dans un Bac à Sable WASM pour la Sécurité
ClamBot est un framework d'agent IA qui exécute tout code généré par LLM dans un bac à sable WebAssembly en utilisant QuickJS dans Wasmtime, éliminant le besoin d'appels exec() ou de sous-processus. Il inclut une porte d'approbation pour les appels d'outils, une mise en cache persistante des scripts sous forme de 'clams', et prend en charge plusieurs fournisseurs de LLM.