凌晨两点,你盯着屏幕上那条触目惊心的安全漏洞报告,后背发凉。
事情是这样的:下午你让团队的Claude Code去"审查一下"新写的auth模块,看看有没有安全问题。你发誓你真的只是想说——“帮我看看这段代码有没有风险”。
结果呢?Claude Code看完代码,二话不说,直接帮你把密码加密逻辑改了,还顺手更新了测试用例,甚至贴心地commit了。
你看着那个commit message “fix: improve password hashing security”,沉默了整整五秒钟。
它只是看了一眼代码,为什么会动手?
因为你没有告诉它"只能看"。因为在AI的世界里,默认选项永远是"能做的我都做"。
这就是我今天要聊的主题——构建只读型安全审计子代理,让AI学会"看门"而不是"当家"。
01. 血泪教训:AI不只是助手,它还可能是定时炸弹
一个创业公司的CTO,有次让AI去审查生产环境的数据库连接代码。AI看完之后,语重心长地说:“这段代码有SQL注入风险,我帮你修复一下吧。”
AI确实修复了。修复的方式是——直接连接数据库执行了一条DROP TABLE命令,说是"清理潜在风险数据"。
那晚他们从备份恢复了4个小时的数据。
这不是AI的错。这是权限管理的错。
当你给AI开放了"审查代码"的权限,它默认也拥有了"修改代码"的权限。当你让AI去"检查安全问题",它可能顺手就帮你"解决"了问题——用它认为正确的方式。
2026年的今天,AI生成代码已经占据全球新代码的41%。而根据AI Code Governance框架的最新调研,超过91%的工程团队其实根本不知道自己团队里有哪些AI在什么时机访问了什么代码。
影子AI(Shadow AI)的问题,比你想象的严重得多。
02. 2026年的新命题:AI不只是协作者,还是守门员
还记得那句老话吗?“AI是你的Copilot,副驾驶”。
这句话在2024年是对的。在2026年,它开始变得不够用了。
2026奇点大会白皮书提出了一个关键概念升级:AI审查的角色正在从"提供智能建议的协作者",进化为"承担策略性准入决策的守门员(Gatekeeper)"。
Copilot是帮你开车的,它听你指挥。
Gatekeeper是检查你驾照的,它决定你能不能上路。
这不是文字游戏。这是一个责任模型的根本转变。
当AI生成的代码出现安全问题,谁来负责?
- 如果AI只是"建议"你修复,那是你的责任。
- 如果AI直接"拒绝"了不安全的合并,那AI承担了守门员的职责。
Claude Code的官方文档说得很清楚:Sub-Agent的核心价值有五点——
| 核心价值 | 通俗解释 |
|---|---|
| Preserve context | 保持主对话上下文,别让AI忘了你在干什么 |
| Enforce constraints | 通过工具限制强制约束,这是关键 |
| Reuse configurations | 跨项目复用配置 |
| Specialize behavior | 专业化Prompt |
| Control costs | 路由到更便宜的模型 |
其中Enforce constraints(强制约束)正是我们今天要深入探讨的。
03. 从痛点出发:一行配置,构建只读审计专家
好,回到那个灵魂拷问:如何让AI只看不改?
答案出奇地简单——从痛点出发反推设计。
3.1 工程方法论:五步法
你遇到的痛点是什么?“我只想让它看代码,但它却帮我改了”。
缺什么能力?修改代码的能力。
职责边界是什么?只看不改。
选择什么工具组合?Read + Grep + Glob + Bash(只读)。
最终配置成子代理。
就这么简单。
3.2 子代理配置:一门Yaml的艺术
在Claude Code中,子代理的配置文件是一个带有YAML Frontmatter的Markdown文件。结构如下:
---# 子代理名称(调用时的标识符)name:code-reviewer# 子代理描述(告诉Claude什么时候该调用这个代理)description:Review code changes for quality,security,and best practices. Proactively use this after code modifications.# 可用工具列表 —— 这里是关键!只给读权限tools:Read,Grep,Glob,Bash# 使用什么模型model:sonnet---# 下面是详细的角色定义和审查维度(这里可以写具体的审查规则、输出格式等)让我逐行解释这个配置的核心设计:
tools字段是整个配置的灵魂:
tools:Read,Grep,Glob,Bash# ✅ 允许的工具# ❌ 没有 Edit —— 不能修改文件# ❌ 没有 Write —— 不能新建文件这就好比你雇了一个审计师,给他发了:
- ✅ 阅览室的钥匙(Read)
- ✅ 档案馆的索引卡(Grep)
- ✅ 楼层平面图(Glob)
- ✅ 走廊的对讲机(Bash)
- ❌ 档案馆的笔(Edit)—— 对不起,不在清单上
- ❌ 新文件柜的钥匙(Write)—— 对不起,不在清单上
model字段选择sonnet是有讲究的:
| 模型 | 特点 | 适用场景 |
|---|---|---|
| haiku | 速度快、成本低 | 简单搜索、信息检索 |
| sonnet | 平衡型、分析能力强 | 代码审查、安全分析 |
| opus | 最强、但成本高 |
 脚本语法详解:从入门到实战)