Anthropic推出了Claude Code Security,这是一款能够扫描代码库漏洞并生成修复补丁的工具。它并非又一个简单的静态分析工具,而是一个能够真正理解代码逻辑的AI安全专家。
消息一出,网络安全板块股票应声下跌。CrowdStrike跌7.66%,Okta跌9.31%,Cloudflare跌7.19%。这已经不是第一次了——每当AI展示出能够自动化完成某个行业核心工作的能力时,相关股票总是先跌为敬。
超越模式匹配的安全检测
传统安全工具依赖规则库工作,只能识别已知的漏洞模式。对于暴露的密码、过时的加密算法等常见问题,它们能够有效发现,但对于复杂的业务逻辑缺陷和权限控制漏洞则无能为力。
Claude Code Security采用了截然不同的方法。它像人类安全研究员一样阅读代码:理解各个组件如何交互,追踪数据在应用程序中的流转路径,从而发现传统工具会错过的复杂漏洞。
以SQL注入为例,传统工具会寻找特定的代码模式,例如直接拼接用户输入的查询语句。但Claude能够理解更复杂的场景:用户输入经过多层处理后最终进入数据库查询,或者通过间接的数据流路径形成注入点。
多重验证降低误报
Claude Code Security对每个发现都要进行多轮验证。它会尝试证明或证伪自己的判断,以此过滤掉误报。所有结果都会按严重程度分级,并附有置信度评分。最终的修复建议会呈现在仪表板中,但所有修改都需要经过人工审核确认。
这一设计非常务实。AI在发现漏洞方面表现出色,但在修复代码时,如果破坏了原有的业务逻辑,无异于用生产事故换取安全风险。因此,Anthropic将最终决定权留给了开发者。
安全行业对此反应不一。有人认为这是防御性AI的重大突破,终于有工具能够规模化地发现和修复复杂漏洞。但也有人担心,AI在修复过程中可能会引入新的缺陷。
500个长期存在的漏洞
Anthropic展示了亮眼的成果。他们使用Claude Opus 4.6在开源代码库中发现了500多个漏洞,这些漏洞已存在数十年,历经多年专家评审都未被发现。公司正在与项目维护者合作,进行负责任的披露。
Anthropic已经在使用Claude审查自己的代码,并声称效果“极其有效”。虽然目前缺乏第三方数据的支持,但这至少表明公司对其技术充满信心。
从研究到产品
Claude Code Security建立在Anthropic一年多的网络安全研究基础之上。其Frontier Red Team一直在系统性测试Claude的网络安全能力:参加CTF竞赛、与太平洋西北国家实验室合作保护关键基础设施、不断优化Claude发现和修补真实漏洞的能力。
同样的AI技术,既能帮助攻击者更快地找到漏洞,也能帮助防御者抢先一步进行修复。关键在于谁先部署,谁的效率更高。
目前,该工具处于有限研究预览阶段,面向企业和团队客户开放。开源项目的维护者可以申请免费的加速通道。申请试用需要企业邮箱,个人邮箱(如Gmail)将被拒绝。
攻防竞赛加速
Anthropic预测,在不久的将来,世界上相当大比例的代码都将接受AI扫描,因为模型在发现长期隐藏的缺陷和安全问题方面已经变得极其有效。
AI会让攻击者更快地找到可利用的弱点,但如果防御方行动迅速,也能抢先发现并修复这些漏洞。传统安全公司需要思考的是,当AI能够理解代码逻辑并生成修复方案时,他们的核心价值主张还剩下什么。
该工具基于Claude Code构建,团队可以在现有工具中直接查看发现的问题并迭代修复方案。
申请试用访问:https://claude.com/contact-sales/security
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/archives/22153
