AWS Security Agent 增加威胁建模、Kiro 能力包、Claude Code 插件及更多功能

在 re: Invent 2025 上，我们已预览 AWS Security Agent（现为 AWS Continuum 的一部分），这是一款前沿代理，可在全环境完整开发生命周期内主动保障应用安全。您可执行适配自身应用程序的按需渗透测试，通过可利用性验证识别并上报安全风险。

自预览版本发布以来，我们已推出按需渗透测试和完整存储库代码审核的预览版，可对整个代码库执行深入、具备上下文感知的安全分析。

如今，我们基于客户反馈推出更多功能：

• 代码审核更新（预览版）— 您现在可使用带修复能力的拉取请求扫描、安全需求包和模拟验证。全新集成支持 GitHub、GitLab、Bitbucket 和 Confluence。
• 威胁建模（预览版）— AWS Security Agent 分析您的设计文档或应用程序源代码，了解应用程序架构的完整上下文，并使用 STRIDE 框架识别威胁并提供建议的缓解措施。
• Kiro 能力包、Claude Code 插件和 MCP 集成 — 您可以通过开放的 MCP 集成，直接从 IDE、CLI 或任何人工智能驱动的 IDE 中运行代码审核、生成威胁模型和修复调查发现，结果可内联呈现，而无需切换上下文。

让我们深入了解一下每次发布！

代码审核更新
除 GitHub 外，您还可以连接 GitLab 和 Bitbucket，同时支持 SaaS 和自托管版本，因此无论代码存放在何处，您都可以触发扫描。您还可以集成 Confluence，将现有文档作为审核上下文的参考。

要开始使用，可在 Security Agent 控制台中选择启用代码审核或更新您的代码审核设置。

AWS Security Agent 针对每一条拉取请求和完整存储库开展基于推理的深入分析，识别超出模式匹配范畴的复杂漏洞。其可根据您的组织安全需求和常见安全风险进行检查，捕获其他工具无法发现的问题。要开始使用，可访问 Security Agent Web 应用程序并运行您的代码审核。

您将直接在 GitHub、GitLab 或 Bitbucket 工作流程中收到修复提交和修复指导，同时您的安全团队可配置要监控的存储库，并在关键问题上进行干预。AWS Security Agent 在模拟环境中验证调查发现，提供可利用性证明。这将安全专业知识嵌入所有存储库，以减少开发管道中与安全相关的延误。

要了解有关全新代码审核功能的更多信息，请访问 AWS Security Agent 用户指南中的创建代码审核。

设计审核更新
您可以使用托管合规包（AWS WAF、NIST CSF、PCI DSS 和 AWS 最佳实践）持续验证每项设计和代码审核中的安全要求，也可以直接从内部文档或 Confluence 导入自己的组织要求。每一项调查发现都与您的合规状况关联，因此团队在构建过程中需要随时做好审计准备。

要了解更多信息，请访问设计审核文档。

威胁建模
AWS Security Agent 根据您的设计文档或代码存储库生成威胁模型，创建和构建有关应用程序的上下文，包含数据流、架构和信任边界。它会关联应用程序的所有组件，识别潜在的威胁行为者和攻击向量，确定可能存在弱点的位置，并对威胁进行优先级排序，以便您明确优先处理哪些问题。

要开始使用，请在 Security Agent 控制台中选择启用威胁模型和连接源代码存储库。

要了解更多信息，请访问威胁建模文档。

Security Agent 的 Kiro 能力包和 Claude Code 插件
AWS Security Agent 引入新的 Kiro 能力包和 Claude Code 插件（即将推出），并可通过开放的 MCP 集成与任何人工智能 IDE 集成，以保护您的应用程序。您可以直接从 IDE 中触发威胁模型和代码审核，结果可内联呈现，而无需切换上下文。

要开始使用，请安装 Kiro 能力包并运行提示。Kiro 能力包使用 AWS Security Agent MCP 服务器。您可以通过要求“设置 AWS Security Agent”以开始使用该能力包。Kiro 将检查您是否拥有代理空间，并询问您是希望使用现有空间还是创建新空间。

借助 Security Agent 的 Kiro 能力包，您可在构建和扫描整个存储库时捕获每一条拉取请求中的漏洞，以便通过要求“对此存储库进行全面的安全扫描”来揭露累积风险。Security Agent 能力包包含代理挂钩，可在 Kiro 代理执行完成后判断是否启动代码审核差异扫描。在部署到生产环境之前，您可以从 CLI 进行渗透测试，以发现大多数扫描器遗漏的问题。Security Agent 通过验证每项调查发现并生成可立即实施的代码修复来形成闭环。

您可以通过要求“帮助我修复调查发现”来将调查发现拉取到您的开发环境中。AWS Security Agent 的 Kiro 能力包会将调查发现下载到您的本地工作环境中，对最关键的问题进行优先级排序，并提供启动缺陷修复规范会话的选项。您可以使用熟悉的 IDE 及现有工具、指令、能力包和 MCP 服务器，迭代修复这些调查发现。

您还可以通过 IDE 中的 Kiro 能力包运行威胁模型，方式为要求“为此应用程序构建威胁模型”。生成的威胁模型将保存至 .security-agent/threat_model.md。

要了解更多信息，请访问 Security Agent 的 Kiro 能力包。

现已推出
AWS Security Agent 可掌握软件开发生命周期完整的安全上下文，依托统一的代理式产品覆盖设计阶段安全（预览版设计审核、威胁建模）、开发阶段安全（预览版代码审核）、部署阶段安全（正式版渗透测试）。要了解更多信息，请访问 AWS Security Agent 产品页面和技术文档。

上述功能现已在部署 AWS Security Agent 的 AWS 商业区域推出。有关区域可用性和未来路线图，请访问按区域列出的 AWS 功能。要了解详细的定价信息并领取 2 个月免费试用权益，请访问 AWS Security Agent 定价页面。

可在 Security Agent 控制台中试用该工具，并将反馈发送至 AWS re:Post for Security Agent 或通过您常用的 AWS Support 联系发送反馈。

— Channy