Anthropic 推出 Claude Code Security，用于 AI 驱动的漏洞扫描

Source: The Hacker News

引言

Anthropic，一家人工智能（AI）公司，已开始为 Claude Code 推出一项新安全功能，能够扫描用户的软件代码库以发现漏洞并提供修补建议。该功能名为 Claude Code Security，目前在面向企业和团队客户的有限研究预览中提供。

“它会扫描代码库中的安全漏洞并提供针对性的人工审查补丁建议，使团队能够发现并修复传统方法常常遗漏的安全问题，”Anthropic 在周五的公告中表示。

功能概述

Claude Code Security 被定位为一款 AI 驱动的工具，帮助开发者发现并修复可能被传统静态分析忽略的安全缺陷。通过自动检测易受攻击的模式并提出具体补丁，该服务旨在为安全团队提供更快速、更全面的代码健康视图。

安全影响

随着 AI 代理在发现隐藏漏洞方面的能力提升，同样的技术也可能被威胁行为者用于自动化漏洞利用。Anthropic 指出，Claude Code Security 旨在通过为防御者提供优势并提升整体安全基线，来抵御此类 AI 驱动的攻击。

技术能力

Anthropic 声称 Claude Code Security 超越了传统的静态分析：

• 基于推理的分析： 系统以类似人类安全研究员的方式评估代码库，理解组件交互和数据流。
• 动态漏洞检测： 由于能够对上下文和逻辑进行推理，它可以标记规则驱动工具可能遗漏的问题。
• 多阶段验证： 每个被识别的漏洞都会经过多次检查，以过滤误报。

验证流程与人工参与

每个漏洞都会被分配一个严重性评级，以帮助团队确定修复优先级。发现结果会在 Claude Code Security 仪表板中呈现，分析人员可以：

1. 审查已识别的问题。
2. 检查 AI 建议的补丁。
3. 批准或拒绝该建议。

Anthropic 强调 人工在环（HITL） 方法：

“因为这些问题往往涉及仅凭源代码难以评估的细微差别，Claude 还会为每个发现提供置信度评级。没有经过人工批准的内容不会直接应用：Claude Code Security 识别问题并提供解决方案建议，但最终决定始终由开发者做出。”