Anthropic刚推出了Claude Code Security,一个能扫描代码库漏洞并生成修复补丁的工具。这不是又一个静态分析工具,而是真正能理解代码逻辑的AI安全专家。
消息一出,网络安全板块股票应声下跌。CrowdStrike跌7.66%,Okta跌9.31%,Cloudflare跌7.19%。这已经不是第一次了——每当AI展示出能够自动化完成某个行业核心工作的能力时,相关股票总是先跌为敬。

传统安全工具靠规则库工作,只能识别已知漏洞模式。暴露的密码、过时的加密算法这些常见问题它们能抓到,但复杂的业务逻辑缺陷和权限控制漏洞就无能为力了。
Claude Code Security的做法完全不同。它像人类安全研究员一样阅读代码:理解组件如何交互,追踪数据在应用中的流转路径,发现传统工具错过的复杂漏洞。
以SQL注入为例,传统工具会寻找特定的代码模式,比如直接拼接用户输入的查询语句。但Claude能理解更复杂的场景:用户输入经过多层处理后最终进入数据库查询,或者通过间接的数据流路径形成注入点。
每个发现都要经过多轮验证。Claude会尝试证明或证伪自己的判断,过滤掉误报。所有结果按严重程度分级,还有置信度评分。最终修复建议会出现在Claude Code Security仪表板中,但所有修改都需要人工审核确认。
这个设计很实用。AI找漏洞很厉害,但修复代码时如果破坏了原有业务逻辑,等于用生产事故换安全风险。所以Anthropic把决定权留给了开发者。
安全行业的从业者对此反应不一。有人认为这是防御性AI的重大突破,终于有工具能够规模化发现和修复复杂漏洞了。但也有人担心AI修复过程中可能引入新的bug。
Anthropic的成果单很亮眼。他们用Claude Opus 4.6在开源代码库中发现了500多个漏洞,这些bug存在了几十年,经过多年专家评审都没被发现。公司正在与维护者合作进行负责任的披露。
Anthropic已经在用Claude审查自己的代码,并声称效果"极其有效"。虽然缺乏第三方数据支持,但至少说明公司对自己的技术有信心。
Claude Code Security建立在Anthropic一年多的网络安全研究基础上。他们的Frontier Red Team一直在系统性测试Claude的网络安全能力:参加CTF竞赛、与太平洋西北国家实验室合作保护关键基础设施、优化Claude发现和修补真实漏洞的能力。
同样的AI技术,既能帮助攻击者更快找到漏洞,也能帮助防御者抢先修复。关键在于谁先部署,谁的效率更高。
工具目前处于有限研究预览阶段,面向企业和团队客户开放。开源项目维护者可以申请免费的加速通道。想试用的话需要企业邮箱,Gmail这类个人邮箱会被拒绝。
Anthropic预测,在不久的将来,世界上相当大比例的代码都会被AI扫描,因为模型在发现长期隐藏的bug和安全问题方面已经变得极其有效。
AI会让攻击者更快找到可利用的弱点,但防御方如果行动够快,也能抢先发现并修复这些漏洞。传统安全公司需要考虑的是,当AI能够理解代码逻辑并生成修复方案时,他们的价值主张还剩什么。
工具基于Claude Code构建,团队可以在现有工具中直接查看发现并迭代修复。
申请试用访问:https://claude.com/contact-sales/security