最新 Claude Code Security 是整合在網頁版 Claude Code 中的一項全新功能,目前以有限的研究預覽版推出。Anthropic 指出,它能掃描程式碼庫中的安全漏洞,並提出具針對性的軟體修補建議,供人工審查,協助團隊找出並修復傳統方法常常疏忽的安全問題。
靜態分析(static analysis)是一種廣泛部署的自動化安全測試方式,通常基於規則,也就是將程式碼與已知漏洞模式進行比對。這種方法能夠捕捉常見問題,例如外洩的密碼或過時的加密方式,但往往會錯過更複雜的漏洞,例如商業邏輯缺陷或存取控制失效。
Claude Code Security 並非掃描已知模式,而是像資安研究人員一樣讀取並分析程式碼,理解各元件之間的互動方式,追蹤資料在應用程式中的傳輸路徑,並捕捉基於規則之工具容易忽略的複雜漏洞。
在送達分析人員前,Claude Code Security 的每個發現都會經過多階段驗證流程。Claude 會重新檢視每個結果,嘗試自行證明或反駁自身發現,從中過濾誤報。同時,每個發現也會被賦予嚴重程度評級,協助團隊優先處理最關鍵的問題。
經過驗證的發現會顯示在 Claude Code Security 控制台,團隊能夠在此檢視問題、審查建議的修補程式,並批准修復。由於這些問題通常涉及僅憑原始程式碼難以評估的細微差別,Claude 會為每個發現提供信心水準評級。所有修補都需要經過人工批准才會套用,換句話說,Claude Code Security 負責辨識問題並提出解決方案,但最終決策仍在開發者手中。
Anthropic 指出,Claude Code Security 建立在 1 年多來對 Claude 網路安全能力的研究之上,旗下 Frontier Red Team 持續對這些能力進行系統性壓力測試,並讓 Claude 參與競技型 Capture-the-Flag 賽事,與太平洋西北國家實驗室(Pacific Northwest National Laboratory,PNNL)合作,探索利用 AI 保護關鍵基礎建設的方法,並強化 Claude 在程式碼中發現並修補漏洞的能力。
Claude 防禦能力因此大幅提升,本月稍早發表的 Claude Opus 4.6 被用於掃描實際運行中的開源程式碼庫,Anthropic 的團隊共發現超過 500 個漏洞,其中部分錯誤在歷經多年專家審查未被察覺。
Anthropic 也使用 Claude 審查自家程式碼,發現在強化 Anthropic 的系統安全方面極為有效。Claude Code Security 的建構,是為了讓這些防禦能力能夠廣泛採用。由於建構在 Claude Code 之上,團隊可在既有工具檢視並反覆改善修補方案。
Introducing Claude Code Security, now in limited research preview.
It scans codebases for vulnerabilities and suggests targeted software patches for human review, allowing teams to find and fix issues that traditional tools often miss.
Learn more: https://t.co/n4SZ9EIklG pic.twitter.com/zw9NjpqFz9
— Claude (@claudeai) February 20, 2026
▲ Anthropic 推出 Claude Code Security。
AI 技術演進對軟體類股的投資人帶來焦慮情緒已經持續數週,隨著 Claude Code Security 推出,則讓資安股在上週五遭遇一波崩跌,包括 Crowdstrike 下跌 7.95%、Cloudflare 下跌 8.05%、Zscaler 下跌 5.47%、SailPoint 下跌 9.44%、Okta 下跌 9.18%。此外,Global X Cybersecurity ETF 下跌 4.94%,收在 2023 年 11 月以來的最低點。
當攻擊者利用 AI 更快速找出可被利用的系統弱點,行動迅速的防禦者同樣能夠利用 AI 發現弱點、加以修補,並降低遭受攻擊的風險。Claude Code Security 將是 Anthropic 邁向更安全的程式碼庫與提升整體產業安全基準的關鍵一步。
(首圖來源:Anthropic)
科技新報粉絲團
加入好友
訂閱免費電子報
