CipherClaw: Использование защитной персоны для аудита кода с помощью Claude

CipherClaw — это инструмент, который применяет ориентированную на безопасность личность к Claude Code, превращая его из писателя кода в аудитора безопасности. Персонаж по имени TALON загружается через файл CLAUDE.md и включает базы знаний по безопасности.

Как это работает

Архитектура состоит из трёх основных компонентов:

• SOUL.md: Определяет личность персонажа
• MEMORY.md: Содержит знания по безопасности, включая OWASP Top 10, CWE Top 25 и более 20 шаблонов секретов
• 7 файлов навыков: Загружаются через @import в CLAUDE.md

Команды и использование

TALON реагирует на несколько команд аудита безопасности:

• TALON: full security audit
• scan for secrets
• threat model this
• compliance check SOC2
• IaC security review

Примеры обнаруженных проблем

При запуске на приложении Next.js без каких-либо подсказок о расположении ошибок, TALON выявил 17 проблем безопасности, включая:

• [КРИТИЧЕСКАЯ] Неаутентифицированная конечная точка, возвращающая passwordHash + role:ADMIN любому вызывающему без необходимости токена
• [КРИТИЧЕСКАЯ] Конечная точка DELETE без проверки владения — позволяет любому пользователю удалить данные любого другого пользователя (уязвимость BOLA/IDOR)
• [КРИТИЧЕСКАЯ] Хардкодированный токен аутентификации в исходном коде
• [ВЫСОКАЯ] Загрузка файлов, принимающая управляемое пользователем имя файла — потенциальная уязвимость обхода пути
• [СРЕДНЯЯ] Номера телефонов хранятся без шифрования (нарушение статьи 32 GDPR)

Каждая обнаруженная проблема включала:

• Точные номера строк
• Команды curl для воспроизведения уязвимости
• Конкретные исправления
• Сопоставление с элементами контроля соответствия для SOC2, HIPAA и GDPR

Инструмент предназначен для разработчиков, использующих Claude Code, которые хотят интегрировать аудит безопасности в свой рабочий процесс разработки без переключения контекста или инструментов.