ZeroPathAI/zeropath-agent-plugin

# 用于 Claude Code 的 ZeroPath [](https://github.com/ZeroPathAI/zeropath-agent-plugin/actions/workflows/ci.yml) [](https://opensource.org/licenses/MIT) 为 Claude 提供的安全上下文层。您的 ZeroPath 组织将成为 Claude 可以推理的读写界面——调查发现、跨仓库代码搜索、您的团队分类历史、自定义规则——与您面前的文件并列。 此插件捆绑了两个现有的 ZeroPath 工具，以便在 Claude Code 内部使用： 两者都会自动连接——您只需在安装时填写一个 Token ID 和 Token Secret。 ## 安装插件后 Claude 可以做什么 原生版 Claude 只能读取您已打开的内容。安装此插件后，Claude 还能： - **跨所有仓库搜索和读取代码**，覆盖您 ZeroPath 组织中的每个仓库——不仅仅是您本地克隆的仓库。 - **查看您的团队处理过的每个开放、已分类、已归档和已修补的调查发现**，并附带推理过程。 - **使用您团队的现有规则配置、自定义规则和抑制项，对您的本地编辑运行安全扫描。** - **询问某个调查发现是否在您的代码中实际可被利用**，而不仅仅是理论可达。 - **查询您的依赖项漏洞和 CVE 数据库**，无需离开聊天窗口。 - **列出您的扫描器为任何仓库发现的 API 端点。** - **从英文描述编写组织范围的自定义安全规则**，并可进行试运行预览。 - **通过重新扫描和匹配指纹来验证修复是否已落地。** - **使用验证后的差异打开 PR**，无需退回终端。 您无需记住新命令。当您的意图匹配时，Claude 会自动路由到相应功能。 ## 您实际获得的 ### 在聊天中获取您应用安全团队的上下文 ``` > is this pattern flagged anywhere in our org? > why was this finding marked false-positive last quarter? > what does our team think about this class of bug? ``` ZeroPath 是您的应用安全团队已经将*您的*代码库中什么是有风险的内容进行编码的地方——他们在真实事件后编写的自定义规则、针对您技术栈中不重要且噪音大的模式的抑制项、基于实际可利用性的严重性覆盖、由高级审阅者完成的调查、已修补/误报/已归档的历史记录。 没有此插件时，Claude 的运作不包含任何这些背景。它可能发现一个通用的 `eval(`，但不知道您的团队三个月前已决定 `templates/admin.ts` 中的那个是安全的，因为输入在上游经过签名。 有了此插件，Claude 给出的每个答案都*始于*该机构知识，而不是试图重新发现它。 ### 跨仓库覆盖 ``` > have we used this dangerous regex anywhere else? > show me callers of this function across the org ``` Claude 可以搜索和读取您 ZeroPath 组织中所有已接入仓库的代码——不仅仅是您本地克隆的仓库。它能返回来自您从未打开过的仓库的 `file:line` 引用。当您询问另一个仓库中的调查发现时，它会从那里拉取源代码，以在实际代码中解释说明。 ### 在您编写代码的地方运行的扫描器 ``` > is this safe to ship? ``` `/zeropath:scan` 在几秒钟内使用您团队的现有规则配置和抑制项对您的本地差异运行 ZeroPath 检查——这不是一次性扫描。如果您尝试 `git push` 或打开带有未扫描编辑的 PR，插件会发出软警告（绝不阻塞）。 ### 经过验证的修复，而非猜测 ``` > fix issue_abc123 ``` `/zeropath:fix` 针对您真实的调用图解释调查发现，提出统一的差异，在您同意后应用它，然后重新扫描以验证问题是否确实解决。可选地为您打开 PR。 ### 深入探究可利用性 ``` > investigate the criticals ``` `/zeropath:investigate` 询问 ZeroPath 某个调查发现在您的代码库中是否实际可被利用——而不仅仅是理论可达。 ### 从聊天中创建自定义规则 ``` > flag any direct eval() usage in our checkout service ``` `/zeropath:rule` 起草一条规则，向您展示在您提交前它会标记多少个现有文件，然后在您确认后在组织范围内创建它。 ## 安装 在 Claude Code 内部： ``` /plugin marketplace add ZeroPathAI/zeropath-agent-plugin /plugin install zeropath@ZeroPathAI ``` 在 Claude Code 打开的表单中填写 **Token ID** 和 **Token Secret**。输入会被隐藏，密钥将存储到您的系统钥匙串。从 [设置 → API 密钥](https://zeropath.com/app/settings/api) 获取密钥。 **然后完全退出 Claude Code（在 macOS 上按 Cmd+Q）并重新打开。** 新凭据将在下次启动时生效。 需要您的 `PATH` 中包含 [`uvx`](https://docs.astral.sh/uv/)。 ## 首次会话——全自动 您无需运行单独的 `setup` 或 `install` 步骤。填写令牌并重新打开 Claude Code 后： - 凭据和 CLI 会自动连接。 - 您的仓库会在后台与您的 ZeroPath 组织匹配。如果它已接入，所有的读取/分类/修复操作都将自动限定到该仓库，无需您指定。 - 在全新项目的首次会话中，横幅会询问一次是否要在您的 `CLAUDE.md` 中添加一个简短的 ZeroPath 使用块，以便未来的会话知道何时使用哪个命令： - `/zeropath:claude apply` — 添加它 - `/zeropath:claude decline` — 不再询问 - `/zeropath:claude preview` — 先查看 - `/zeropath:claude remove` — 稍后移除 ## 斜杠命令 您无需手动输入这些命令——当您的意图匹配时，Claude 会自动路由到它们。（“我刚写的代码安全吗？”会指向 `/zeropath:scan`。“这里有什么未解决的问题？”会指向 `/zeropath:findings`。） | 命令 | 功能 | | --- | --- | | `/zeropath:scan` | 扫描本次会话中您编辑的文件。驱动修复和重新扫描循环。 | | `/zeropath:findings` | 列出未解决的问题，默认限定在此仓库。也涵盖“依赖项有 CVE 吗？”、“我们暴露了哪些端点？”、“总体情况如何？”。 | | `/zeropath:explain` | 对某个调查发现的通俗语言解释——它是什么，为什么它在您的代码库中重要。 | | `/zeropath:investigate` | 触发 ZeroPath 的 AI 来评估某个调查发现是否实际可被利用。 | | `/zeropath:fix` | 端到端修复：解释、提出差异、应用、重新扫描验证、可选 PR。 | | `/zeropath:triage` | 批量归档 / 标记为误报 / 更新状态。默认限定在此仓库。始终确认。 | | `/zeropath:rule` | 根据描述编写自定义 ZeroPath 规则。在提交前进行试运行。 | | `/zeropath:claude` | 应用 / 拒绝 / 预览 / 移除您项目 `CLAUDE.md` 中的 ZeroPath 使用块。 | | `/zeropath:statusline` | 安装或移除 Claude Code 底部持久的 ZeroPath 指示器。可以扩展现有的状态栏。 | | `/zeropath:update` | 检查并应用插件更新。 | ## 配置 稍后更改您的令牌：`/plugin` → `zeropath` → `Configure`，然后完全退出并重新打开 Claude Code。 行为开关（哪些钩子触发、扫描限制等）位于 `.zeropath/plugin.json`（按仓库，已提交）或按用户文件中。完整架构请参见 [文档页面](https://zeropath.com/docs/developer-tools/claude-code)。 ## 状态 v1.0.0 — 初始公开发布。 ## 支持 - 文档：[zeropath.com/docs/developer-tools/claude-code](https://zeropath.com/docs/developer-tools/claude-code) - 插件问题：[GitHub](https://github.com/ZeroPathAI/zeropath-agent-plugin/issues) - 社区：[Discord](https://discord.gg/Whukqkw3Qr) - 电子邮件：[support@zeropath.com](mailto:support@zeropath.com) ## 许可证 MIT — 参见 [`LICENSE`](./LICENSE)。

标签：AI 代码代理, AI 辅助安全, Claude Code 插件, DevSecOps, DNS枚举, GPT, PR 自动化, 上游代理, 代码验证, 发现分类, 基础设施即代码安全, 安全上下文, 安全扫描, 开发安全, 时序注入, 漏洞管理, 秘密扫描, 网络安全工具, 自定义安全规则, 自定义脚本, 跨仓库代码搜索, 软件组成分析, 逆向工具, 集成开发环境安全, 静态应用安全测试