Beim schnellen Bauen schleichen sich drei Sicherheitslücken fast immer ein: kein Rate-Limiting, API-Keys offen im Code, fehlende Row-Level-Security. Jede einzelne kann dich echtes Geld oder all deine Nutzerdaten kosten. Das Gute: Ein eingebauter Claude-Code-Befehl, /security-review, scannt deinen Code und legt genau solche Lücken offen, bevor sie jemand ausnutzt.
Und nebenbei: Wir droppen bald etwas richtig Großes. Mehr kann ich noch nicht sagen. Wenn du beim Early Access dabei sein willst, sicher dir deinen Platz auf der Warteliste.
Wenn du schnell baust, schleichen sie sich von selbst ein. Keine davon ist exotisch, alle drei sind teuer, und alle drei kannst du finden, bevor sie jemand ausnutzt.
Ohne Rate-Limiting kann jeder deine App tausendfach hintereinander anfragen. Wenn jede Anfrage einen bezahlten API-Call auslöst, summiert sich das in kürzester Zeit zu hunderten oder tausenden Euro Schaden, ganz ohne echten Hack.
Steht dein API-Key direkt im Frontend, kann ihn jeder Besucher im Browser auslesen. Ab dann nutzt jeder deine Keys, auf deine Kosten und in deinem Namen. Keys gehören in Server-Umgebungsvariablen, nie in den Client.
// So NICHT, der Key landet im Browser: const key = "sk-live-8f3a..."; // So richtig, Key bleibt auf dem Server: const key = process.env.API_KEY;
Ohne Row-Level-Security steht deine Datenbank praktisch offen. Ein Fremder kann sich alle Nutzerdaten ziehen, die du gespeichert hast. Das ist nicht nur ein Bug, sondern ein handfestes DSGVO-Problem mit echtem Bußgeldrisiko.
Wir droppen bald etwas richtig Großes. Ich kann noch nicht viel verraten, aber wenn du von Anfang an dabei sein willst, sicher dir deinen Platz auf der Warteliste.
/security-review ist in Claude Code eingebaut, kein Setup nötig. Er prüft deine Änderungen auf genau diese Klassen von Schwachstellen: offene Secrets, Zugriffs- und Auth-Lücken, Injection, schwache Krypto. Für automatische Checks auf jedem Pull Request gibt es zusätzlich die offizielle GitHub Action (MIT, über 5.000 Stars).
# 1. Direkt in Claude Code, kein Setup nötig:
/security-review # prüft deine Änderungen auf Sicherheitslücken
/code-review # breiter: Korrektheit + Security + Effizienz
/code-review --fix # wendet die Korrekturen direkt an
# 2. Automatisch auf jedem Pull Request (GitHub Action, MIT, gratis):
# .github/workflows/security.yml
name: Security Review
on: [pull_request]
jobs:
security:
runs-on: ubuntu-latest
permissions:
pull-requests: write
contents: read
steps:
- uses: actions/checkout@v4
- uses: anthropics/claude-code-security-review@main
with:
claude-api-key: ${{ secrets.CLAUDE_API_KEY }}
# Repo (offiziell, MIT, über 5.000 Stars):
# https://github.com/anthropics/claude-code-security-review
Der Befehl läuft sofort, ganz ohne Installation. Die GitHub Action richtest du einmal ein, danach prüft sie jeden Pull Request automatisch.
Tippe /security-review direkt in Claude Code. Er nimmt sich deine Änderungen vor und meldet gefundene Schwachstellen mit Erklärung und Schweregrad.
Du bekommst pro Fund eine konkrete Stelle und einen Lösungsweg. Offene Keys, fehlende Zugriffskontrolle, riskante Eingaben: alles benannt statt nur "irgendwo unsicher".
Brauchst du mehr als nur Security, deckt /code-review zusätzlich Korrektheit und Effizienz ab. Mit --fix wendet Claude die Korrekturen direkt an.
Die offizielle Action anthropics/claude-code-security-review hängst du in deine Pipeline. Ab dann kommentiert sie Sicherheitsfunde direkt im Pull Request, bevor etwas gemerged wird.
Mehr kann ich dir heute noch nicht verraten. Aber wenn du Teil davon sein und beim Early Access von Anfang an dabei sein willst, dann komm jetzt auf die Warteliste. Du bist dann als Erster dabei, sobald es so weit ist.
Kein langes Formular: Du kommst direkt rüber und sicherst dir deinen Platz, damit du beim Drop von Anfang an dabei bist.
Auf die Warteliste →