让前沿网络安全能力可供防御者使用
Source: Hacker News
Claude Code Security 是内置于 Claude Code 网页版的新功能,现已在有限的研究预览中提供。它会扫描代码库中的安全漏洞,并为人工审查提供有针对性的补丁建议,使团队能够发现并修复传统方法常常遗漏的安全问题。
安全团队面临的共同挑战是:软件漏洞太多,而能够处理它们的人手不足。现有的分析工具能够提供一定帮助,但通常只寻找已知模式。要发现那些常被攻击者利用的、细微且依赖上下文的漏洞,需要熟练的人类研究员,而他们正面对不断增长的积压工作。
AI 正在改变这种局面。我们最近已经展示了 Claude 能够检测新颖的、高危漏洞(https://red.anthropic.com/2026/zero-days/)。但同样的能力如果落入攻击者手中,也可能被用于利用这些漏洞。
Claude Code Security 的目标是将这项力量直接交给防御者,保护代码免受这一新型 AI 驱动的攻击。我们将其作为面向企业和团队客户的有限研究预览发布,并为开源仓库维护者提供加速访问,以便共同完善其功能并确保负责任地部署。
Claude Code Security 工作原理
静态分析——一种广泛部署的自动化安全测试形式——通常是基于规则的,这意味着它将代码与已知的漏洞模式进行匹配。这可以捕获常见问题,例如暴露的密码或过时的加密,但往往会遗漏更复杂的漏洞,如业务逻辑缺陷或访问控制失效。
Claude Code Security 并不是扫描已知模式,而是像人类安全研究员一样读取并推理你的代码:理解各组件之间的交互,追踪数据在应用程序中的流动,并捕捉规则‑基工具遗漏的复杂漏洞。
每个发现都会经过多阶段验证流程,才会提交给分析员。Claude 会重新审查每个结果,尝试证明或驳斥自己的发现,并过滤掉误报。发现还会被分配严重性等级,以便团队能够优先处理最重要的修复。
经过验证的发现会显示在 Claude Code Security 仪表板上,团队可以在此审阅、检查建议的补丁并批准修复。由于这些问题往往涉及仅凭源代码难以评估的细微差别,Claude 还会为每个发现提供置信度评级。任何操作都必须经过人工批准:Claude Code Security 负责识别问题并提供解决方案,但最终决定始终由开发者做出。
使用 Claude 进行网络安全
Claude Code Security 基于一年多对 Claude 网络安全能力的研究。我们的 Frontier 红队一直在系统性地对这些能力进行压力测试:
- 将 Claude 参加 竞争性的夺旗赛 (Capture‑the‑Flag) 活动。
- 与太平洋西北国家实验室合作, 实验使用 AI 保护关键基础设施。
- 精炼 Claude 在代码中发现并修补真实漏洞的能力。
因此,Claude 的网络防御能力有了显著提升。使用本月早些时候发布的 Claude Opus 4.6,我们的团队在生产环境的开源代码库中 发现了超过 500 个漏洞(这些漏洞已潜伏数十年,却未被多年专家审查发现)https://red.anthropic.com/2026/zero-days/。我们正与维护者进行分流和负责任的披露,并计划在开源社区中进一步扩大我们的安全工作。
我们同样使用 Claude 来审查自己的代码,结果表明它在保障 Anthropic 系统安全方面极为有效。我们构建了 Claude Code Security,以便让这些防御能力更广泛地可用。由于它基于 Claude Code,团队可以在已有的工具中查看发现并迭代修复。
前方的道路
这是网络安全的关键时刻。我们预计,在不久的将来,世界上相当大比例的代码将被 AI 扫描,因为模型在发现长期隐藏的漏洞和安全问题方面已经变得非常有效。
攻击者将利用 AI 更快地发现可利用的弱点。但快速行动的防御者也能发现同样的弱点,进行修补,从而降低攻击风险。Claude Code Security 是我们实现更安全代码库以及提升整个行业安全基准目标的一步。
入门
我们今天向企业和团队客户开放 Claude Code Security 的有限研究预览。参与者将获得提前使用权限,并直接与我们的团队合作,以完善该工具的功能。我们也鼓励开源维护者申请免费、加速的访问权限。
了解更多信息,请访问 claude.com/solutions/claude-code-security。