Claude Code & You: van prototypen tot pentesten
De veranderingen op het gebied van AI zijn bijna niet bij te houden. Daarnaast gaat onze collectieve kennis wekelijks met sprongen vooruit. Daarom was het alweer tijd voor een kleine benchmark meeting om te zien hoe de verschillende collega's de tools inzetten en wat we daarvan kunnen leren.
De ontwikkelingen rondom AI-assistent Claude blijven elkaar in hoog tempo opvolgen. Met 42 zetten we Claude Code inmiddels in op steeds meer plekken in ons werk en langzaam raken we steeds meer ervaren. Reden genoeg voor onze vijfde Claude Code & You-sessie: onze informele bijeenkomst waarin collega's laten zien wat ze hebben uitgeprobeerd, geleerd en soms door schade en schande hebben ontdekt. In deze blog praten we je weer bij.
Prototyping: drie ontwerpen in een paar minuten
Collega Bart liet zien hoe hij de navigatiebalk van ons nieuwe product Normatik onder handen nam met Claude en Codex. De uitdaging: er kwamen steeds meer knoppen bij, waardoor de navigatiebalk uit zijn voegen zou barsten. In plaats van zelf een nieuw ontwerp te schetsen liet Bart de tools meerdere ontwerpvarianten genereren, allemaal als klikbare HTML, in één bestand. Zo kon hij in de browser door drie versies bladeren en de keuzes rustig overleggen met collega's.
Slim detail: Claude levert bij elke variant ook een tabel met voor- en nadelen, plus de technische specs. De prototypes gebruiken nog losse styling, dus ze geven vooral een richting in plaats van de definitieve look van Normatik. Maar in een paar minuten heb je al met drie serieus uitgewerkte opties op tafel.
Security review: snel en krachtig, maar blijf opletten
Collega Bas kreeg de opdracht een security code review uit te voeren op een nieuw segment van een bestaande applicatie. Hij vroeg Claude om de codebase langs te lopen alsof het om een blackbox pentest ging. Het resultaat: een keurige lijst met findings gesorteerd op critical, high, medium en low, inclusief aanbevelingen waar te beginnen.
Daarna begon het echte werk. Bas liep de punten één voor één na en bij twijfel vroeg hij Claude om extra toelichting. Eén bevinding klonk indrukwekkend: Claude meldde met veel overtuiging een SQL-injectie, een lek waarbij iemand via een invoerveld stiekem commando's naar de database kan sturen. Bas deelde vol trots de vondst, totdat collega Joël de voorgestelde fix testte en aangaf dat het verhaal niet klopte. Bas dook zelf de code in en ontdekte dat de invoer op die plek al automatisch werd opgeschoond voordat hij bij de database aankwam: het 'lek' bestond dus helemaal niet. De les? Zo'n review door Claude is razendsnel, maar loop zelf alles goed na.
Werkvoorbereiding en swarms: de orchestratie eromheen
Collega Rob deelde hoe hij zijn werkproces voor het maken van nieuwe features ondersteunt met Claude en Codex: werkvoorbereiding, uitvoering en afronding. Voor fase 1 bouwde hij een keten van skills - dit zijn instructies die Claude vertellen hoe hij een specifieke taak moet aanpakken. Hij bouwde eerst een Brainstorm-skill die Claude vragen aan jou laat stellen om het idee over de feature scherp te slijpen.
Daarna volgen drie skills die samen een change request (CR) opbouwen, een uitgebreid plan dat beschrijft wat er precies gaat veranderen. Eerst zet CR-create de brainstorm om in zo'n plan, inclusief een lijst aandachtspunten (denk aan performance of security). Vervolgens loopt CR-gapFinder het plan kritisch na: zijn er generieke of applicatie-specifieke punten over het hoofd gezien, bijvoorbeeld risico's die tijdens de discussie pas naar boven kwamen? Tot slot hakt CR-plan het geheel op in concrete tickets en zet ze in een logische volgorde, zodat duidelijk is welk werk eerst moet en wat daarop wacht.
In de uitvoering komt zijn swarm in actie, een slim samenspel waarin meerdere AI-agents samen aan een opdracht werken zonder dat Rob er constant tussen hoeft te zitten. Een coördinerende, deterministische swarm engine (ie, geen aap, maar een machine) verdeelt het werk en bewaakt de voortgang, de owner (Claude Opus) overziet de feature branch en merged werk terug, een implementor (Claude Sonnet) schrijft de code voor een ticket en een reviewer (Codex) controleert de kwaliteit ervan. Tot vijf taken draaien tegelijk naast elkaar in eigen worktrees (werkomgevingen). Loopt er één vast, dan kan Rob die met één commando uit de rij halen waarna de swarm hem opnieuw oppakt. Een halve dag voorbereiding voor een kleine wijziging, een hele dag voor een grotere, en je hebt een proces dat zichzelf voor een groot deel uitvoert.
Claude reviewt code: een playbook in een skill
Collega Sander onderzocht of Claude code reviews kan uitvoeren in de code van Tingit. Hij liet Claude eerst een reeks bestaande merge requests bestuderen, dat zijn voorstellen van collega's om nieuwe of gewijzigde code aan het project toe te voegen, en daaruit patronen destilleren. Bijvoorbeeld: welke collega let waarop, welke feedbackstijl gebruikt iedereen en welke fouten komen telkens terug? Het resultaat werd vastgelegd in twee skills, één voor front-end code en één voor back-end code.
In feite legt de skill het code review-playbook van het team vast, dit zijn de gezamenlijke regels en gewoontes die collega's hanteren bij het beoordelen van elkaars werk, en zet die om in instructies die Claude consistent kan toepassen. Sander liet de skill los op echte merge requests, waarin Claude onder zijn naam opmerkingen plaatste. De volgende stap: deze review automatisch in de pipeline laten draaien, het geautomatiseerde proces dat elke wijziging stap voor stap controleert voordat hij in het project belandt, zodat de menselijke reviewer alleen nog naar de hotspots hoeft te kijken: de plekken waar Claude denkt dat extra aandacht nodig is.
Knowledge priming: de straatlantaarns aanzetten
Tot slot stond collega Dennis stil bij een onderschatte stap: hoe bereid je Claude eigenlijk voor op een taak? Een agent die je in een project loslaat ziet in eerste instantie helemaal niets. Pas als jij een opdracht geeft begint hij actief context op te bouwen. Dennis gebruikt hiervoor de metafoor van een donkere kamer vol bestanden: zonder hulp scant Claude met een zaklampje, terwijl jij met knowledge priming de straatlantaarns aan kan zetten.
Hoe doe je dat? Bijvoorbeeld door Claude eerst vragen aan jou te laten stellen voordat je begint, of door in je code expliciet aan te geven welke bestanden bij elkaar horen. Zo wordt een verzameling losse eilandjes ineens een samenhangend project waarin Claude meteen weet welke kant hij op moet.
De mens stuurt en de AI versnelt
De rode draad door deze sessie was duidelijk: hoe meer we Claude en Codex inzetten, hoe belangrijker het wordt om er zelf scherp bij te blijven. Of het nu om een prototype, een security review of een geautomatiseerde swarm gaat, AI levert ongekende snelheid, maar pas als jij de regie houdt levert die snelheid ook écht waarde op.
Benieuwd wat AI voor jouw organisatie kan betekenen? Nog niet iedereen is klaar voor het gebruik van AI, en als je net begint kan het soms lijken of het niet goed werkt en vaak haken mensen daar weer af. Dan kan het helpen om eens te zien hoe anderen het wel efficiënt en goed inzetten. Wil je jouw organisatie ook laten zien wat de mogelijkheden zijn? Wij zijn ook in te huren voor een training of demo.
