2026 年 2 月 20 日,Anthropic 推出 Claude Code Security——一项内置于 Claude Code 网页版的新能力,当前以研究预览版向企业和团队客户开放。它能扫描代码库的安全漏洞,并为人类审查提供修复补丁建议。
传统安全工具的局限
现有静态分析工具(Static Analysis)是基于规则的:将代码与已知漏洞模式比对。这能发现常见问题——如暴露的密码、过时的加密算法——但往往漏掉更复杂的漏洞:
- 业务逻辑缺陷
- 访问控制漏洞
- 跨组件交互产生的安全问题
- 上下文相关的数据流漏洞
这类漏洞需要有经验的安全研究员像读故事一样通读代码,理解各组件如何协作——这正是 AI 擅长的地方。
Claude Code Security 如何工作
像人类研究员一样推理
Claude Code Security 不匹配已知模式,而是像人类安全研究员一样推理代码:
- 理解组件间的交互方式
- 追踪数据在应用中的流动路径
- 捕捉规则引擎无法发现的复杂漏洞
多阶段验证,过滤误报
每个发现在到达分析师之前都经过多阶段验证:
- Claude 重新审查每个结果,尝试证明或推翻自己的发现
- 自动过滤误报(False Positives)
- 为每个发现分配严重等级,帮助团队优先处理最重要的问题
- 提供置信度评分,反映发现的确定性
人类始终掌控最终决定
经过验证的发现出现在 Claude Code Security 控制台中。团队可以:
- 审查发现内容
- 检查建议的修复补丁
- 批准或拒绝修复
没有任何内容会在未经人类批准的情况下自动应用。Claude Code Security 识别问题并建议解决方案,但开发者始终做最终决定。
令人震惊的实测数据
AnthropicAnthropicAnthropicAnthropicAnthropicAnthropicAnthropic 的前沿红队使用 Claude Opus 4.6 对生产环境的开源代码库进行了大规模扫描,结果:
发现了超过 500 个漏洞——这些 Bug 已在代码库中潜伏数十年,即使经过多年专家审查也未被发现。
AnthropicAnthropicAnthropicAnthropicAnthropicAnthropicAnthropic 正在与各开源项目维护者合作进行分类和负责任披露。
背后的研究积累
Claude Code Security 建立在一年多的网络安全研究之上:
- 竞技夺旗赛(CTF):Claude 参加专业安全竞赛,系统测试漏洞发现能力
- 关键基础设施防御:与太平洋西北国家实验室合作,用 AI 防御关键基础设施
- 真实漏洞发现与修复:在生产开源代码库中验证 Claude 的实际能力
这些研究还被用于提升 Anthropic 自身代码的安全性,证明效果「极为有效」。
获取访问权限
Claude Code Security 当前以有限研究预览版开放:
- 企业和团队客户:可申请优先访问
- 开源项目维护者:可申请免费快速访问
申请地址:claude.com/contact-sales/security
AI 安全的双重性问题
AnthropicAnthropicAnthropicAnthropicAnthropicAnthropicAnthropic 在公告中直接点出了这一工具背后的双重性考量:
帮助防御者发现和修复漏洞的能力,同样可能帮助攻击者利用漏洞。
Claude Code Security 的设计目标是将这种能力明确交给防御方,而不是让它成为攻击工具。这也是为什么选择以受控的研究预览方式发布,而不是完全开放。
原文:Making frontier cybersecurity capabilities available to defenders | 来源:Anthropic 官方新闻 | 2026-02-20