CipherClaw: Claude를 활용한 보안 페르소나로 코드 감사하기
CipherClaw는 Claude Code에 보안 중심 페르소나를 적용하여 코드 작성자에서 보안 감사자로 변환하는 도구입니다. TALON이라는 이 페르소나는 CLAUDE.md 파일을 통해 로드되며 보안 지식 베이스를 포함합니다.
작동 방식
아키텍처는 세 가지 주요 구성 요소로 이루어져 있습니다:
- SOUL.md: 페르소나 정체성을 정의합니다
- MEMORY.md: OWASP Top 10, CWE Top 25, 20개 이상의 비밀 패턴을 포함한 보안 지식을 담고 있습니다
- 7개의 스킬 파일: CLAUDE.md의
@import를 통해 로드됩니다
명령어와 사용법
TALON은 여러 보안 감사 명령어에 응답합니다:
TALON: full security auditscan for secretsthreat model thiscompliance check SOC2IaC security review
발견 사례
버그 위치에 대한 힌트 없이 Next.js 앱에서 실행했을 때, TALON은 다음과 같은 17개의 보안 문제를 식별했습니다:
- [치명적] 토큰 없이도 호출자에게 passwordHash + role:ADMIN을 반환하는 인증되지 않은 엔드포인트
- [치명적] 소유권 확인 없이 모든 사용자가 다른 사람의 데이터를 삭제할 수 있는 DELETE 엔드포인트 (BOLA/IDOR 취약점)
- [치명적] 소스 코드에 하드코딩된 인증 토큰
- [높음] 사용자 제어 파일명을 허용하는 파일 업로드 — 잠재적 경로 탐색 취약점
- [중간] 암호화 없이 저장된 전화번호 (GDPR 제32조 위반)
각 발견 사항에는 다음이 포함되었습니다:
- 정확한 라인 번호
- 취약점을 재현하기 위한 curl 익스플로잇 명령어
- 구체적인 수정 방법
- SOC2, HIPAA, GDPR에 대한 규정 준수 제어 매핑
이 도구는 컨텍스트나 도구를 전환하지 않고 개발 워크플로우에 보안 감사를 통합하려는 Claude Code 사용 개발자를 위해 설계되었습니다.
📖 Read the full source: r/ClaudeAI
👀 See Also
Claude Code 사용자가 문제 해결 컨텍스트를 캡처하는 nvm 플러그인을 구축합니다
한 개발자가 nvm(비휘발성 메모리)이라는 Claude 플러그인을 만들어 Claude 세션 기록을 마크다운 카드로 변환하여 문제 해결 결정과 재사용 가능한 통찰을 문서화합니다. 이 도구는 AI 코딩 어시스턴트 사용 시 문제가 어떻게 해결되었는지 추적을 잃는 문제를 해결합니다.
솔리테어: AI 에이전트를 위한 오픈소스 신원 인프라
솔리테어는 AI 에이전트를 위한 오픈소스 신원 인프라로, 단순한 기억 회상이 아닌 시간이 지남에 따라 에이전트가 사용자와의 작업 관계를 어떻게 개선하는지에 초점을 맞춥니다. 로컬 우선, 모델 독립적이며 pip install solitaire-ai를 통해 설치할 수 있습니다.
로컬 AI VS Code 확장 기능은 저장 시 보안에 취약한 코드 생성을 차단합니다.
한 개발자가 VS Code 확장 프로그램을 만들어 로컬에서 llama3.1:8b-instruct-q4를 실행해 보안에 취약한 AI 생성 코드가 포함된 저장을 물리적으로 차단합니다. 이 도구는 Claude가 교과서적인 CWE-117(로그 주입) 취약점이 있는 Flask 경로를 생성한 후에 만들어졌습니다.
ClawControl iOS 클라이언트가 OpenClaw 자체 호스팅 서버용으로 출시되었습니다.
ClawControl v1.50이 iOS에서 사용 가능해졌습니다. 이는 자체 호스팅 OpenClaw/Claw 서버를 위한 개인정보 보호 중심 모바일 클라이언트입니다. 이 오픈소스 앱은 모바일 기기에서 실시간 채팅과 스트리밍 응답, 에이전트 관리, 세션 제어를 가능하게 합니다.