引言

Code Audit 是专为 Claude Code 深度定制的专业级安全审计扩展，采用尖端的白盒静态分析（SAST）方法论。它支持 Java、Python、Go、Rust 等 9 种主流语言及 Spring Boot、FastAPI 等 14 种核心开发框架，通过 143 项覆盖 D1-D10 安全维度的强制检测，能够精准识别包括注入、RCE、SSRF 及业务逻辑缺陷在内的 55 逾种漏洞类型。

该技能核心优势在于其双轨审计模型与高性能并行架构。利用 Sink-driven 与 Control-driven 双重逻辑，它不仅能高效扫描大型代码库（如 15 分钟完成 800+ Java 文件审计），还能通过内置的 8.8 万余个 WooYun 真实漏洞案例进行实战化比对。最重要的是，Code Audit 具备攻击链自动构建能力，能将离散风险点串联为可利用的攻击路径，将安全发现转化为直观的漏洞验证。

使用教程

1、首先在Github：3stoneBrother/code-audit中下载项目中的文件。

2、找到Claude Code的目录，将下载的文件解压后丢进skills文件夹里面（若无skills文件夹则新建）

• Windows目录：C:\Users\<你的用户名>\.claude\skills
• Linux目录：~/.claude/skills

3、启动Claude Code，输入 /skills 查看是否成功加载

4、skills加载后默认启用，触发的话只需要说类似于以下语言

"审计这个项目"
"检查代码安全"
"找出安全漏洞"
"/audit" 或 "/code-audit"

5、审计共有三种模式，审计的默认模式为Standard（标准），若想使用不同的审核标准可以说以下指令

# 使用深度模式进行代码审计，最复杂最耗时
/code-audit deep

# 使用标准模式
/code-audit standard

# 使用快速模式
/code-audit quick

模式	适用场景	范围
Quick	CI/CD、小项目	高危漏洞、敏感信息、依赖 CVE
Standard	常规审计	OWASP Top 10、认证授权、加密，1-2 轮
Deep	重要项目、渗透测试准备	全覆盖、攻击链、业务逻辑，2-3 轮

6、代码审计在运行的时候会有Agent在后台静默运行，请耐心等待。