Pokročilý Claude Code
/security-review v Claude Code
Jeden příkaz, který projde vaše poslední změny v kódu a řekne, kde jsou bezpečnostní díry: uniklý klíč, neošetřený vstup, adresa bez přihlášení. Než to pustíte ven.
Autor: Jindřich Fáborský · 17 let v marketingu · 2 000+ hodin vibe codingu · 180+ projektů

Pokročilý Claude Code
Bezpečnostní kontrola kódu na jeden příkaz.
Rychlá odpověď
Co je Security review v Claude Code?
/security-review je zabudovaný příkaz Claude Code, který projde vaše poslední změny v kódu a upozorní na bezpečnostní rizika.
Napíšete /security-review, Claude si přečte vaše změny (git diff) a vrátí seznam nálezů. U každého vám řekne co je špatně, čím to hrozí a jak to opravit.
Co typicky odhalí v aplikaci od AI:
Ukázka, jak to vypadá
Podívejte se, jak security-review hledá chyby ve vaší aplikaci
Klikněte na tlačítko a Claude projede modelovou aplikaci. U každého nálezu je závažnost, o co jde a co hrozí. Opravu si odhalíte na klik: nejdřív problém, pak řešení.
~/mojeaplikace❯ /security-review
Stiskněte tlačítko a Claude projde vaše poslední změny.
Formát nálezů (závažnost, soubor, popis, doporučení) odpovídá reálnému příkazu (Anthropic ho uvedl v roce 2025). Ukázkové díry (uniklý klíč, endpoint bez přihlášení, neošetřený vstup) patří k nejčastějším chybám v kódu od AI.
Jak na to
Jeden příkaz, žádné nastavování
Nemusíte nic instalovat ani konfigurovat. Stačí být v projektu, který je verzovaný přes git.
V Claude Code napíšete
❯ /security-reviewClaude si vezme vaše nové změny (git diff proti hlavní větvi), projde je a nálezy vypíše. Kontroluje jen to, co jste přidali, ne celý existující kód.
Otevřete projekt
Spusťte Claude Code ve složce s vaší aplikací. Musí být pod gitem, jinak nemá co porovnat.
Napište /security-review
Bez argumentů. Claude projde vaše poslední změny a vypíše nálezy se závažností.
Nechte si opravit
Řeknete „oprav první nález“ a Claude opravu zapracuje. Přečtěte si ji, ať víte, co se změnilo.
Děláte to často? Zabalte si to.
Když bezpečnostní kontrolu chcete pouštět pravidelně, dá se to zabalit do vlastního Claude Code Skillu nebo spouštět automaticky na každý pull request přes GitHub Action od Anthropicu.
Na co si dát pozor
Skvělý pomocník, ne bezpečnostní expert
Vibe coding se často prezentuje jako „hotová appka na dva prompty“, IT komunita ho zase odsuzuje jako bezpečnostní katastrofu. Pravda je někde uprostřed. /security-review vám pomůže, ale neznamená to 100% vyřešenou bezpečnost.
Pusťte ho, než něco pustíte ven
U prototypu a nástroje pro sebe to řešit nemusíte. Ale jakmile jde ven web nebo aplikace s přihlášením, platbami nebo daty uživatelů, je to skvělý poslední krok před spuštěním. Kde přesně je hranice, rozebírá průvodce kdy se vibe coding nehodí.
Je to druhá AI, ne záruka
Kontrolu dělá zase model, takže když vám řekne „je to bezpečné“, není to automaticky pravda. Chytí nejčastější díry, ale nenajde všechno a nenahradí ani vlastní klasifikátor auto mode, znalosti ani penetrační test. Sám Anthropic říká, že má doplňovat, ne nahrazovat vaše bezpečnostní postupy a manuální kontrolu.
Odpovědnost zůstává na vás
AI vám pomůže napsat kód, ale za to, jaká data zpracováváte a jak je chráníte, ručíte vy. Sám mám jednu opravdu produkční aplikaci (Mokabu) s kompletním zabezpečením, ostatní jsou spíš interní nástroje. Cizí citlivá data a peníze si zaslouží pozornost navíc, ne jeden příkaz a klid.
Chcete umět vibe codovat bezpečně?
Produkční aplikace s daty jsou to nejtěžší, k čemu se může vibe coder dostat. A přitom právě tímhle chce většina lidí začínat. V kurzu AI First vás vezmu od základů až tam: databáze, přihlašování, RLS, klíče v pořádku a bezpečnostní audit.
21 hodin videí, 1 800+ absolventů, roční licence s aktualizacemi zdarma. Parťák, který vibe codingu dal přes 2 000 hodin a postavil přes 180 projektů.
FAQ
Časté otázky
Co je Security review v Claude Code?+
Je to příkaz /security-review, který spustíte v Claude Code a on projde vaše poslední změny v kódu a najde bezpečnostní rizika: uniklé přístupové klíče, neošetřený vstup (injection), adresy bez kontroly přihlášení nebo únik citlivých dat. U každého nálezu dostanete jeho závažnost, vysvětlení a doporučenou opravu.
Jak spustím /security-review?+
Otevřete projekt v Claude Code a napíšete /security-review, žádné další argumenty netřeba. Musí to být složka pod gitem, protože nástroj porovnává vaše nové změny (git diff), ne celý kód odshora dolů. Po nálezech můžete rovnou říct „oprav první nález“ a Claude opravu zapracuje.
Co všechno /security-review najde?+
Hlídá běžné kategorie zranitelností: SQL injection a další injection, chyby přihlašování a oprávnění, natvrdo napsané klíče a hesla, slabé šifrování a únik citlivých dat. Cíleně vynechává věci mimo záběr (třeba zahlcení služby) a hlásí jen to, čím si je dost jistý. Není to úplný seznam všeho, ale pokryje nejčastější díry.
Nahrazuje /security-review penetrační test?+
Ne. Penetrační test dělá člověk, který se aktivně snaží aplikaci prolomit zvenčí, a projde i logiku, infrastrukturu a provoz. /security-review je rychlá kontrola kódu, kterou spustíte kdykoli zdarma, než něco pustíte ven. Chytí spoustu začátečnických chyb, ale u aplikace s penězi nebo citlivými daty pentest ani bezpečnostního experta nenahradí.
Je kód od AI bezpečný?+
Sám o sobě ne vždy. Modely defaultně píšou „šťastnou cestu“ a snadno vynechají ověření vstupu, oprávnění nebo ošetření chyb. A když vám AI řekne, že je něco bezpečné, není to automaticky pravda. Model je odměňovaný za odpovědi, které se líbí, ne za bezpečný kód. Proto se hodí druhá kontrola zaměřená čistě na bezpečnost.
Opraví nalezené chyby sám?+
Ne automaticky. /security-review vám nejdřív ukáže nálezy a rozhodnutí nechá na vás. Když chcete, řeknete Claudovi, ať konkrétní nález opraví, a on to udělá. Opravu si ale přečtěte a rozumějte jí, neodklikávejte ji naslepo.
Je /security-review totéž co „Claude Security“?+
Ne, to jsou dvě různé věci, které se snadno pletou. /security-review je příkaz zdarma přímo v Claude Code, který projde vaše poslední změny (funguje od srpna 2025). „Claude Security“ (dřív ohlášená jako „Claude Code Security“) je samostatný novější produkt pro firmy, který skenuje celou codebase a umí zranitelnosti i sám opravovat. Pro běžného vibe codera je relevantní ten příkaz.
Potřebuju to jako začátečník?+
Když si hrajete s prototypy a nástroji pro sebe, které nepracují s cizími daty, nemusíte to řešit hned. Ve chvíli, kdy chcete pustit ven web nebo aplikaci s přihlášením, platbami nebo daty uživatelů, je /security-review skvělý první návyk. Jedním příkazem uvidíte, jestli jste někde nenechali otevřená vrátka.