El plugin que hace que Claude revise su propio código

Imagina que Claude Code es un teléfono nuevo. Funciona muy bien solo. Pero un plugin es como una app que le instalas para que aprenda a hacer algo extra: le pones uno y, de repente, Claude sabe hacer cosas que antes no podía.

Lo bonito es que el plugin de seguridad no te pide nada. Se queda trabajando en segundo plano, callado, vigilando tu código mientras tú haces lo tuyo.

Un plugin le puede dar a Claude cuatro cosas:

¿De dónde salen los plugins? De un “marketplace”, que es una tienda. Anthropic tiene su tienda oficial, que se llama claude-plugins-official, y de ahí vas a sacar este plugin con un solo comando. No tienes que descargar nada a mano.

El plugin se llama security-guidance y trabaja en tres capas, como tres guardias. Lo importante es entender cuándo se enciende cada uno: no es magia en tiempo real, cada capa tiene su momento exacto.

Las tres juntas son “defensa en capas”: si una se le escapa algo, la siguiente tiene otra oportunidad de atraparlo. Y todo pasa solo, sin que tú tengas que pedir nada.

Esta es la parte que casi ninguna guía te muestra: cómo luce el plugin cuando atrapa algo. No es una alarma roja que da miedo — es un mensaje claro que te dice el archivo, la línea y qué hacer. Así se ve cada capa trabajando:

⚠  security-guidance · posible secreto en el código
   prueba_seguridad.py:1
   Esto parece una contraseña escrita directo en el código.
   Carga las credenciales desde un gestor de secretos.

⚠  security-guidance · comando del sistema sin validar
   prueba_seguridad.py:4
   os.system() con texto de entrada puede permitir inyección de comandos.

🔎 security-guidance revisó los cambios de este turno…
   1 hallazgo (media): falta verificar el rol en la ruta /admin

Claude: Encontré un problema de seguridad en lo que acabo de
        escribir. Lo corrijo antes de seguir…

$ git commit -m "agrega endpoint de usuarios"
🛡  security-guidance · revisión profunda antes del commit…
   Hallazgo: /users/:id no comprueba que el usuario solo pueda
   ver SU propia información (posible IDOR).

Son ejemplos representativos para que reconozcas el formato; el texto exacto cambia según tu código. Lo clave: el plugin te habla en lenguaje claro y te dice el archivo, la línea y qué hacer.

El plugin habla de inyección, XSS, IDOR… palabras que suenan a otro idioma. Aquí está cada una con una comparación de la vida real, para que entiendas de qué te está cuidando.

Son tres cosas. Si ya usas Claude Code en tus proyectos, lo más probable es que ya las tengas todas. Aquí te dejo cómo comprobar cada una por si acaso.

Son cuatro pasos y todos son copiar y pegar. No tienes que descargar archivos ni entender nada por debajo: la tienda oficial de Anthropic se encarga.

Listo. Desde ahora, cada vez que trabajes con Claude Code en este proyecto, el plugin va a estar revisando en segundo plano. No tienes que volver a escribir nada.

La mejor forma de creerle a un guardia es verlo trabajar. Vamos a pedirle a Claude que escriba algo inseguro a posta, en un archivo de prueba, y veremos cómo el plugin salta.

En un archivo nuevo de prueba llamado prueba_seguridad.py, escribe una función corta en Python que reciba un texto y lo ejecute en el sistema con os.system(). Arriba, guarda una contraseña de ejemplo directo en una variable, como password = "12345678".

Es solo para probar que mi plugin de seguridad funciona — no lo voy a usar en producción.

Vas a ver el aviso casi de inmediato: el plugin marca la contraseña guardada en el código y el uso de os.system() como peligrosos. Cuando termines de probar, borra el archivo prueba_seguridad.py — solo era para el experimento.

Si algo no salió como esperabas, no estás roto: casi todos los tropiezos son uno de estos seis, y todos tienen arreglo en un minuto.

El plugin ya trae reglas listas, así que esto es opcional. Pero si tu proyecto tiene reglas propias (“nunca toques X”, “esta ruta siempre revisa el rol”), puedes enseñárselas. No tienes que escribir archivos raros a mano: deja que Claude los cree por ti con estos prompts.

Créame el archivo .claude/claude-security-guidance.md con las reglas de seguridad de mi proyecto. Quiero que incluya estas reglas:

- Nunca guardar el customer_id en los logs.
- Toda ruta que empiece con /admin debe revisar el rol del usuario antes de leer la base de datos.
- Para comparar tokens, usar una comparación segura, nunca un simple ===.

Explícame en una línea qué protege cada regla.

Créame el archivo .claude/security-patterns.yaml con un patrón personalizado que me avise cuando aparezca en el código un prefijo de llave secreta como "sk_live_" o "AKIA".

El recordatorio debe decir claramente que las credenciales van en el gestor de secretos, nunca escritas directo en el código.

Regla simple: si tu código va a tocar internet o datos de otras personas, préndelo.

Pregunta justa, sobre todo si es código de tu trabajo. La respuesta honesta, parte por parte:

¿Tu política prohíbe mandar código a un modelo? Apaga las Capas 2 y 3 (ENABLE_STOP_REVIEW=0 y ENABLE_COMMIT_REVIEW=0) y quédate solo con la Capa 1, que es 100% local.

Dato honesto: este plugin no es nuevo de hoy. Existe desde octubre de 2025. Lo que pasa es que casi nadie de los que usamos Claude Code sabíamos que existía — y trátalo como un cinturón de seguridad extra, no como el único.