Claude Codeに無料のセキュリティプラグインが登場——コードを書きながらAIが脆弱性を自動検知してくれる

「このコードって、セキュリティ的に大丈夫かな？」と手を止めてしまう瞬間、開発者なら誰でも経験があるのではないでしょうか。
そんな不安を抱えながらコーディングしていたら、Anthropicが面白いプラグインをリリースしたという情報が目に飛び込んできました。
気になって調べてみたら、思った以上に実用的な仕組みになっていたのでまとめてみます。

Anthropicは2026年5月26日、Claude Code向けに「security-guidance」プラグインを公式リリースしました。
しかも全ユーザーに無料で提供されています。

コーディング中にリアルタイムで脆弱性を検知——Xで盛り上がった理由

このリリースがXで話題になったのには、理由があります。

日本のユーザーからは「必須」という声が上がるほどの反響がありました。
なぜそこまで注目されているのでしょうか。

セキュリティの専門知識を持つエンジニアは「Claude Codeに”セキュリティプラグイン”が正式追加された」と詳しく紹介しています。

【速報】
Claude Codeに“セキュリティプラグイン”が正式追加👀
これマジでやばくて👇pic.twitter.com/u9v1tXxwVv
コードを書いている最中に、
・脆弱性を検知
・危険な実装を警告
・修正案まで提示
してくれる。
しかも全Claude Codeユーザー向けに公開済み。
導入方法も簡単で、
Claude… https://t.co/xXIpesDXAY

— Claude Code Studio (@ClaudeCode_love) 2026年5月26日

Anthropic公式の開発者向けアカウント（@ClaudeDevsByAnthropic）も告知を行い、

We’ve shipped a security-guidance plugin for Claude Code that helps identify and fix vulnerabilities as you’re writing code.

Available for all Claude Code users. Install from the plugin marketplace (/plugins). pic.twitter.com/LprgC4m6Kf

— ClaudeDevs (@ClaudeDevs) 2026年5月26日

技術的な解説ツイートも続々と投稿されています。

Claude Code 向けにsecurity-guidanceプラグインをリリース。

コードを書いている際の脆弱性を特定し、修正する。リポジトリ内のclaude-security-guidance/.mdで組織独自のルールも設定可能。https://t.co/FiJuKABvp9 https://t.co/OstegXciyB

— Oikon (@oikon48) 2026年5月26日

これだけ反響がある背景には、「セキュリティチェックを後回しにしがちだった」という開発現場のリアルな課題があります。
本番リリース直前や、PRレビューのタイミングで「あっ、これ脆弱性あるかも」と気づいても、修正のコストは膨れ上がります。
コーディングと同時進行でチェックしてくれるツールへの需要が高かったことが、この反響につながっていると感じます。

3段階で守る仕組み——実際どうやって動いているのか

調べてみると、プラグインの設計思想がなかなか面白いことがわかりました。
単純に「コードを解析して問題を報告する」だけではなく、3つのタイミングに分けてチェックを実施する構造になっています。

第1段階：編集時（Edit-time）

コードを書いた瞬間に、ローカルで正規表現パターンマッチングを実行します。
このフェーズではClaudeのモデルを呼び出さないため、コストがゼロ。
サクサク動くのが特徴です。

第2段階：ターン終了時（Turn-end）

一連の編集が終わったタイミングで、変更差分（diff）を確認します。
ここでより詳細な解析が入ります。

第3段階：コミット時（Commit-time）

コードをgitコミットする際、エージェントがコール チェーン（関数の呼び出しの連鎖）を辿りながら深いレベルでレビューを実施します。

この3段階構造の賢いところは、「軽い処理で早期発見し、重い処理はコミット時にまとめて行う」という設計思想です。
開発フローを邪魔せずに、コミット前という最後の砦でしっかりチェックしてくれるわけです。

検知できる脆弱性は8カテゴリ・約25パターンにわたります。
具体的には以下のようなものです。

• SQLインジェクション（SQLとは、データベースを操作するプログラミング言語。
  インジェクションは「注入」を意味し、悪意あるSQL命令を外部から注入する攻撃手法）
• コマンドインジェクション（OSのコマンドを不正に実行させる攻撃）
• XSS（クロスサイトスクリプティング。
  悪意あるスクリプトをウェブページに埋め込む攻撃。
  dangerouslySetInnerHTMLやinnerHTMLの誤用が対象）
• eval()やnew Function()の使用（外部入力を評価するリスクのある処理）
• os.system()、child_process.exec()（システムコマンドを直接実行する危険な呼び出し）
• pickleデシリアライゼーション（Pythonのデータ変換処理にある既知の脆弱性）
• ハードコードされたシークレット（APIキーやパスワードをコード内に直書きしてしまうパターン）
• GitHub Actionsコマンドインジェクション（CI/CDパイプラインへの攻撃）

重要なのは、プラグインはコードの書き込みやコミットをブロックしないという点です。
脆弱性を発見したら「Claudeに修正指示を出す形式」で通知します。
強制的に止めるのではなく、気づきを与えて開発者が判断する設計になっています。

導入はコマンド1行・カスタムルールにも対応

インストール自体はシンプルです。

/plugin install security-guidance@claude-plugins-official

必要なのはClaude Code CLI v2.1.144以上とPython 3.8以上。
これだけです。

さらに、組織独自のセキュリティルールをclaude-security-guidance/.mdというファイルに記述することで、カスタムルールを追加することもできます。
たとえば「うちのサービスでは〇〇の処理は必ず△△の方法で書く」といったローカルルールを覚えさせることが可能です。

実績も出ています。
2026年5月27日時点でインストール数は157,592件。
内部テストでは本番OSSリポジトリ500件以上で実際の脆弱性を発見しており、PRのセキュリティコメントが30〜40%減少したという結果も出ています。

これはレビュアーの負担が大幅に減るということ。
セキュリティのバックグラウンドがないチームでも、AIがリアルタイムでカバーしてくれる体制が整うわけです。

さらに深掘りしたい方へ

✓ あわせて読みたい

AnthropicがClaudeベースのセキュリティツールを公開ベータ公開——コードの脆弱性をAIが検知してパッチまで提案AIがセキュリティエンジニアの仕事を肩代わりし始めた——2026年4月30日にAnthropicが公開したClaude Security Toolsの詳細

✓ あわせて読みたい

Claude Codeのセットアッププラグインが開発者の生産性を激変させるAnthropicのClaude Code向け公式プラグインが、導入直後のつまずきを一気に解決して多くの開発者の間で話題

• security-guidance 公式ドキュメント（英語）
• Anthropic releases free security plugin for Claude Code – CyberSecurityNews

まとめ

コーディングと並行してリアルタイムで脆弱性を検知し、コミット前に確認できるsecurity-guidanceプラグイン。
無料で使えて導入もコマンド1行というハードルの低さも含めて、セキュリティの知識に自信がないチームほど恩恵が大きいツールといえます。
まだ試していない方は、ぜひ一度インストールしてみてください。