El 6 de agosto de 2025 Anthropic lanzó una función para automatizar revisiones de seguridad dentro de Claude Code: ahora puedes pedirle al asistente que busque vulnerabilidades desde tu terminal y también integrarlo en GitHub Actions para revisar cada pull request. ¿Suena a magia? En realidad es una capa práctica para atrapar problemas antes de que lleguen a producción. (anthropic.com)
Qué trae esta actualización
La novedad principal es el comando /security-review, que puedes ejecutar en tu directorio de proyecto para que Claude analice tu código en busca de riesgos comunes (inyeciones SQL, XSS, fallos de autenticación, manejo inseguro de datos y vulnerabilidades en dependencias). Además, el asistente no solo identifica problemas: puede sugerir o incluso implementar correcciones cuando lo autorices. (anthropic.com)
Otra pieza importante es la acción de GitHub para Claude Code. Una vez configurada, la acción se dispara con cada nuevo pull request, analiza los cambios, aplica reglas personalizables para reducir falsos positivos y deja comentarios inline en el PR con hallazgos y recomendaciones claras. Esto transforma una revisión de seguridad puntual en un proceso automatizado y repetible. (anthropic.com)
¿Cómo funciona en el flujo de trabajo?
Piensa en dos momentos del día a día de desarrollo: antes de hacer commit y cuando abres un pull request. En el primer caso ejecutas /security-review desde la terminal para hacer un chequeo rápido. En el segundo, la acción de GitHub entra en la tubería CI/CD y revisa automáticamente cada PR, informando al equipo donde corresponde.
Este enfoque mantiene la seguridad en el inner loop del desarrollador: detectas y arreglas fallas cuando todavía son pequeñas y baratas de corregir. (anthropic.com)
Ejemplos reales (sí, pasó en Anthropic)
Anthropic cuenta que, usando la acción internamente, ya detectaron vulnerabilidades reales antes de fusionar código. Un caso fue una vulnerabilidad de ejecución remota por DNS rebinding en un servidor HTTP local; otro fue un problema de SSRF en un proxy para gestión de credenciales. Son ejemplos concretos de cómo una revisión automatizada evita errores costosos. (anthropic.com)
Automatizar no significa confiar ciegamente: significa integrar comprobaciones constantes que te alertan y te permiten decidir. La herramienta sugiere, tú eliges.
Cómo empezar hoy
- Actualiza Claude Code a la última versión y ejecuta
/security-reviewen tu proyecto para pruebas ad-hoc. (anthropic.com) - Instala la acción de GitHub para que revise automáticamente los pull requests y configúrala según las reglas de tu equipo (filtros para falsos positivos, exclusiones, etc.). (anthropic.com)
- Revisa la documentación y ejemplos en el anuncio oficial para pasos detallados y opciones de personalización: anuncio de Anthropic. (anthropic.com)
¿Y esto qué cambia para ti?
Si eres desarrollador o responsable de infraestructura, reduce el trabajo manual de revisar PRs y pone una barrera proactiva contra vulnerabilidades comunes. Si estás en un equipo pequeño, es una forma de traer buenas prácticas de seguridad sin contratar un equipo dedicado.
No es una vacuna absoluta contra bugs o diseño inseguro, pero sí una herramienta que coloca revisiones de seguridad en el ritmo de desarrollo diario: menos sorpresas, más control.
Cierre reflexivo
La seguridad ya no es solo tarea de un auditor al final del ciclo: con /security-review y la acción de GitHub, pasa a ser una responsabilidad integrada que puedes automatizar. ¿No es eso justo lo que necesita el desarrollo moderno? Si quieres, te ayudo a traducir estos pasos a una checklist práctica para tu repositorio.