Claude Code Security 是内置在 Web 版 Claude Code 中的一项新功能,现已以有限研究预览版的形式推出。它可以扫描代码库中的安全漏洞,并建议针对性的软件补丁供人工审查,使团队能够发现并修复传统方法经常遗漏的安全问题。
安全团队面临着一个共同的挑战:软件漏洞太多,而没有足够的人员来解决它们。现有的分析工具有所帮助,但作用有限,因为它们通常只查找已知模式。发现那些经常被攻击者利用的、微妙的、依赖上下文的漏洞需要熟练的人类研究人员,而他们正面对着不断膨胀的待处理积压。
AI 正在改变这一局面。我们最近展示了 Claude 可以检测新颖的高危漏洞。但帮助防御者发现和修复漏洞的同样能力,也可能帮助攻击者利用它们。
Claude Code Security 旨在将这种能力直接交到防御者手中,保护代码免受这一新类别 AI 驱动攻击的威胁。我们以有限研究预览版的形式向 Enterprise 和 Team 客户发布,并为开源代码库维护者提供加速访问通道,以便我们共同努力完善其能力并确保负责任地部署。
Claude Code Security 如何工作
静态分析——一种广泛部署的自动化安全测试形式——通常是基于规则的,意味着它将代码与已知漏洞模式进行匹配。这可以捕获常见问题,如暴露的密码或过时的加密,但经常遗漏更复杂的漏洞,如业务逻辑缺陷或访问控制失效。
Claude Code Security 不是扫描已知模式,而是像人类安全研究人员一样阅读和推理你的代码:理解组件如何交互、追踪数据如何在应用中流动,并捕获基于规则的工具遗漏的复杂漏洞。
每个发现都会经过多阶段验证流程后才会到达分析师手中。Claude 会重新检查每个结果,试图证明或反驳自己的发现并过滤误报。发现还会被分配严重性评级,以便团队优先处理最重要的修复。
经过验证的发现会显示在 Claude Code Security 仪表板中,团队可以在那里审查它们、检查建议的补丁并批准修复。由于这些问题通常涉及仅从源代码难以评估的细微差别,Claude 还为每个发现提供置信度评级。没有任何内容会在未经人工批准的情况下应用:Claude Code Security 识别问题并建议解决方案,但开发者始终拥有最终决定权。
将 Claude 用于网络安全
Claude Code Security 建立在一年多来对 Claude 网络安全能力的研究之上。我们的 Frontier Red Team 一直在系统地测试这些能力:让 Claude 参加竞争性的夺旗赛 (CTF) 活动、与太平洋西北国家实验室合作实验使用 AI 保护关键基础设施,并完善 Claude 在代码中发现和修补真实漏洞的能力。
因此,Claude 的网络防御能力已大幅提升。使用本月早些时候发布的 Claude Opus 4.6,我们的团队在生产环境开源代码库中发现了超过 500 个漏洞——这些 bug 尽管经过多年的专家审查,却数十年来一直未被检测到。我们目前正在与维护者一起进行分类和负责任披露工作,并计划扩展我们与开源社区的安全合作。
我们也使用 Claude 来审查自己的代码,发现它在保护 Anthropic 系统方面极其有效。我们构建 Claude Code Security 就是为了让这些同样的防御能力更广泛地可用。由于它构建在 Claude Code 之上,团队可以在他们已经使用的工具中审查发现并迭代修复。
前路展望
这是网络安全的关键时刻。我们预计在不久的将来,世界上相当大一部分代码将由 AI 扫描,因为模型在发现长期隐藏的 bug 和安全问题方面已经变得如此有效。
攻击者将使用 AI 比以往更快地发现可利用的弱点。但快速行动的防御者可以发现同样的弱点、修补它们,并降低攻击风险。Claude Code Security 是我们朝着更安全代码库和更高行业安全基线目标迈出的一步。
开始使用
我们今天向 Enterprise 和 Team 客户开放 Claude Code Security 的有限研究预览版。参与者将获得早期访问权限,并与我们的团队直接合作来完善工具的能力。我们也鼓励开源维护者申请免费的加速访问。
在此申请访问权限:claude.com/solutions/claude-code-security
