Claude 推出代码安全功能，用 AI 赋能网络安全防御

Claude Code Security 是 Claude Code 网页版中内置的一项新功能，现已以有限研究预览形式开放。它能扫描代码库中的安全漏洞，并为人工审核提供针对性的软件补丁建议，帮助团队发现并修复传统方法常常遗漏的安全问题。

安全团队面临一个普遍挑战：软件漏洞太多，而处理它们的人手不足。现有的分析工具有所帮助，但作用有限，因为它们通常只寻找已知模式。要发现那些微妙、依赖上下文、常被攻击者利用的漏洞，需要熟练的人类研究人员，而他们正面临着不断积压的工作。

AI 正在开始改变这一局面。我们最近展示了 Claude 能够检测新型高危漏洞。但帮助防御者发现和修复漏洞的能力，同样可能被攻击者利用来利用这些漏洞。

Claude Code Security 旨在将这种能力完全交到防御者手中，并保护代码免受这类新型 AI 驱动攻击的威胁。我们将其作为有限研究预览版发布给企业版和团队版客户，并为开源仓库维护者提供快速访问通道，以便我们共同完善其功能，确保其负责任地部署。

Claude Code Security 如何工作

静态分析——一种广泛部署的自动化安全测试形式——通常是基于规则的，这意味着它将代码与已知漏洞模式进行匹配。这能捕获常见问题，如暴露的密码或过时的加密，但常常遗漏更复杂的漏洞，如业务逻辑缺陷或访问控制失效。

与扫描已知模式不同，Claude Code Security 像人类安全研究员一样阅读和推理你的代码：理解组件如何交互，追踪数据如何在应用程序中流动，并捕获基于规则的工具遗漏的复杂漏洞。

每个发现都会经过多阶段验证流程，然后才呈现给分析师。Claude 会重新检查每个结果，试图证明或反驳自己的发现，并过滤掉误报。发现还会被分配严重性评级，以便团队可以优先处理最重要的修复。

经过验证的发现会出现在 Claude Code Security 仪表板中，团队可以在那里审查它们，检查建议的补丁，并批准修复。由于这些问题通常涉及仅从源代码难以评估的细微差别，Claude 还会为每个发现提供置信度评级。未经人工批准，任何内容都不会被应用：Claude Code Security 识别问题并提出解决方案，但开发者始终拥有最终决定权。

使用 Claude 进行网络安全

Claude Code Security 建立在一年多来对 Claude 网络安全能力的研究基础上。我们的前沿红队一直在系统性地对这些能力进行压力测试：让 Claude 参加 竞争性的夺旗比赛，与太平洋西北国家实验室合作 试验使用 AI 防御关键基础设施，并完善 Claude 在代码中发现和修补真实漏洞的能力。

因此，Claude 的网络防御能力得到了显著提升。使用本月早些时候发布的 Claude Opus 4.6，我们的团队在生产的开源代码库中 发现了超过 500 个漏洞——这些漏洞尽管经过多年的专家审查，却已存在数十年未被发现。我们正在与维护者一起进行分类和负责任披露，并计划与开源社区扩展我们的安全工作。

我们也使用 Claude 来审查我们自己的代码，并发现它在保护 Anthropic 系统方面极为有效。我们构建 Claude Code Security，旨在让这些相同的防御能力更广泛地可用。而且由于它建立在 Claude Code 之上，团队可以在他们已经使用的工具中审查发现并迭代修复。

未来之路

这是网络安全的关键时刻。鉴于模型在发现长期隐藏的漏洞和安全问题方面变得多么有效，我们预计在不久的将来，全球很大一部分代码将由 AI 扫描。

攻击者将使用 AI 比以往更快地找到可利用的弱点。但行动迅速的防御者可以找到这些相同的弱点，修补它们，并降低攻击风险。Claude Code Security 是我们迈向更安全的代码库和全行业更高安全基线目标的一步。

开始使用

我们今天向企业版和团队版客户开放 Claude Code Security 的有限研究预览。参与者将获得早期访问权限，并直接与我们的团队合作，以完善工具的功能。我们也鼓励开源维护者申请免费的快速访问通道。

在此申请访问。

要了解更多信息，请访问 claude.com/solutions/claude-code-security。