Hi 👋 (scroll abajo para Español)

Quick story before the article.

Last month I started a fresh project with Claude. No CLAUDE.md, no hooks, no context — just an empty folder and a prompt. Within 15 minutes Claude had:

• run npm install (I use pnpm)

• written a terraform apply command for me to copy-paste against dev

• hardcoded an API key "just for testing"

• offered to commit with Co-Authored-By: Claude

• created a storage account with allow_blob_public_access = true because it saw it on Stack Overflow in 2019

None of this is Claude's fault. It's mine — for not setting the rules before the first prompt.

So I built a tool to fix it.

scaffold-generator is a public repo. You open it with Claude, say "I want to create a new project", and Claude runs a structured interview. One question at a time. No assumptions. No defaults.

When the interview ends, you walk away with:

• A project-specific CLAUDE.md with all your rules

• 14 hooks in .claude/hooks/ that block dangerous actions before they hit disk

• The seven invariants from Gartner's How to Govern Anthropic's Claude Code at Scale (G00850426, March 2026)

• Real CI/CD pipelines for GitHub / GitLab / Azure DevOps

• Clean Architecture, real tests (not stubs), Terraform with the right tags

• A prompt-lineage ledger so you can audit every generated file six months from now

The whole point: zero design decisions made by the AI without your consent.

You want to verify the hooks actually work? Ask Claude to write a file with a fake AWS key like AKIA1234567890ABCDEF. It will refuse — and the error comes from block-secrets.sh, not from Claude's good intentions. That's the difference between hoping and enforcing.

I wrote up the full thing — the seven invariants, all 14 hooks with their code, the interview phases, and a reproducible example you can verify in five minutes.

👉 Read the article

👉 Star the repo (MIT, PRs welcome)

If this saves your team a security incident, I've done my job.

Cheers,
Victor

Was this forwarded to you?

============================================================

Hola 👋

Una historia rápida antes del artículo.

El mes pasado empecé un proyecto nuevo con Claude. Sin CLAUDE.md, sin hooks, sin contexto — solo una carpeta vacía y un prompt. En 15 minutos Claude había:

• ejecutado npm install (yo uso pnpm)

• escrito un terraform apply para que yo lo copiara contra dev

• hardcodeado una API key "solo para pruebas"

• ofrecido firmar el commit con Co-Authored-By: Claude

• creado una storage account con allow_blob_public_access = true porque lo vio en Stack Overflow en 2019

Nada de esto es culpa de Claude. Es mía — por no haber puesto las reglas antes del primer prompt.

Así que monté una herramienta para arreglarlo.

scaffold-generator es un repo público. Lo abres con Claude, dices "Quiero crear un proyecto nuevo", y Claude conduce una entrevista estructurada. Una pregunta a la vez. Sin asunciones. Sin valores por defecto.

Cuando termina la entrevista, te llevas:

• Un CLAUDE.md específico para tu proyecto, con todas tus reglas

• 14 hooks en .claude/hooks/ que bloquean acciones peligrosas antes de que lleguen al disco

• Los siete invariantes de Gartner (How to Govern Anthropic's Claude Code at Scale, G00850426, marzo 2026)

• Pipelines de CI/CD reales para GitHub / GitLab / Azure DevOps

• Clean Architecture, tests de verdad (no stubs), Terraform con los tags correctos

• Un registro de linaje de prompts para auditar cualquier fichero generado dentro de seis meses

La idea: cero decisiones de diseño tomadas por la IA sin tu consentimiento.

¿Quieres comprobar que los hooks funcionan de verdad? Pídele a Claude que escriba un fichero con una AWS key falsa tipo AKIA1234567890ABCDEF. Va a negarse — y el error viene de block-secrets.sh, no de las buenas intenciones de Claude. Esa es la diferencia entre confiar y hacer cumplir.

Lo escribí todo — los siete invariantes, los 14 hooks con su código, las fases de la entrevista, y un ejemplo reproducible que puedes verificar en cinco minutos.

👉 Lee el artículo

👉 Dale una estrella al repo (MIT, PRs bienvenidas)

Si esto le ahorra a tu equipo un incidente de seguridad, he hecho mi trabajo.

Un saludo,
Victor

¿Te han reenviado este correo?