Passa al contenuto principale

Revisione del codice di terze parti

Intermedio

L'ecosistema attorno a Claude — skill, plugin, server MCP, hook, statusline della community — è potente proprio perché questi elementi possono eseguire codice sulla tua macchina e accedere ai tuoi dati. Ed è anche il motivo per cui dovresti revisionarli come faresti con qualsiasi dipendenza.

Cosa può effettivamente essere eseguito

  • Gli hook eseguono comandi shell con i tuoi privilegi.
  • I server MCP sono programmi che vengono eseguiti e possono leggere/scrivere dati e contattare la rete.
  • I plugin possono includere tutto quanto sopra.
  • Gli script delle skill possono essere eseguiti come parte di una skill.

Installarne uno è più vicino a "eseguire un software" che a "leggere un documento".

Una rapida checklist di revisione

Prima di installare qualcosa che non hai scritto tu:

  • Leggi il codice sorgente. Quali comandi/chiamate di rete effettua? C'è qualcosa di cui non dovrebbe avere bisogno?
  • Controlla i permessi/strumenti che richiede. Privilegio minimo — diffida degli accessi ampi.
  • Verifica la provenienza. Chi lo mantiene? Stelle, issue, attività recente, un repository reale.
  • Cerca segnali di esfiltrazione di segreti. Legge variabili d'ambiente/credenziali e le invia da qualche parte?
  • Blocca le versioni (pin) e tieni d'occhio gli aggiornamenti (uno strumento innocuo può diventare malevolo in un aggiornamento — rischio di supply-chain).
  • Provalo prima in sandbox se hai dei dubbi.

Usa Claude come aiuto — con cautela

Claude stesso è ottimo nel riassumere ciò che fa uno script e nel segnalare chiamate sospette. Chiedigli di revisionare il codice — ma ricorda che può essere ingannato anche lui (la prompt injection può nascondersi nei commenti del codice), quindi tratta la sua revisione come uno degli input, non come una verità assoluta, per qualsiasi cosa sensibile.

:::warning La fiducia è uno spettro, non una casella da spuntare "È su un marketplace" non equivale a "è sicuro". La comodità dell'installazione con un clic è esattamente il momento in cui una rapida revisione rende di più. :::

Prossimi passi