wsl-docs

将前沿网络安全能力赋予防御者:Claude Code Security 开启预览

来源:https://www.anthropic.com/news/claude-code-security11分钟阅读

摘要

1) 一句话总结

网页版 Claude Code 推出内置安全功能 Claude Code Security(现处于受限研究预览阶段),通过类似人类专家的推理能力扫描代码漏洞并提供需人工批准的修复补丁,旨在赋能防御者抢先应对复杂的网络安全威胁。

2) 关键要点

  • 开放范围:目前面向企业(Enterprise)和团队(Team)客户开放受限研究预览,开源项目维护者可申请免费的加速访问权限。
  • 核心技术突破:超越传统基于规则的静态分析,能够像人类安全研究员一样阅读和推理代码(理解组件交互与数据流向),从而捕获业务逻辑缺陷等复杂漏洞。
  • 多阶段验证:系统内置多阶段验证过程,Claude 会尝试证明或证伪自己的发现,以有效过滤误报。
  • 优先级与置信度:为发现的漏洞分配严重程度评级和置信度评分,帮助团队优先处理最重要的修复工作。
  • 人工主导(关键决策):提供专属仪表板供团队审查问题和补丁,未经人工批准,系统绝对不会自动应用任何代码修改
  • 实战数据:使用 Claude Opus 4.6,团队已在生产环境的开源代码库中发现了 500 多个潜伏多年的漏洞,目前正进行负责任的披露。
  • 内部验证:Anthropic 已在内部使用该工具审查自身代码,证实其在保护系统方面极其有效。

3) 风险与不足

  • 双用途风险(恶意利用):AI 发现和修复漏洞的强大能力同样可能被攻击者用于恶意利用,发起新型 AI 驱动的攻击。
  • 攻击加速风险:随着 AI 扫描代码的普及,攻击者将利用 AI 以前所未有的速度寻找可利用的弱点。
  • 传统工具的局限性(能力缺口):现有的自动化安全测试工具局限于匹配已知漏洞模式,面对隐蔽且依赖上下文的复杂漏洞时存在明显的检测盲区,而人类专家又面临严重的人手不足和工作积压。

正文

网页版 Claude Code 的全新内置功能——Claude Code Security 现已开启受限研究预览。该功能能够扫描代码库中的安全漏洞,并提供针对性的软件补丁供人工审查,帮助团队发现和修复传统方法通常会遗漏的安全问题。

安全团队长期面临着一个普遍挑战:软件漏洞太多,而处理问题的人手不足。现有的分析工具虽然能提供一定帮助,但往往局限于寻找已知的漏洞模式。要发现那些隐蔽且依赖上下文、常被攻击者利用的复杂漏洞,通常需要经验丰富的人类安全研究员,而他们正面临着不断积压的工作负担。

AI 正在改变这一现状。我们近期的研究表明,Claude 能够检测出新型的高危漏洞。然而,帮助防御者发现和修复漏洞的能力,同样可能被攻击者用于恶意利用。因此,Claude Code Security 的核心宗旨是将这种强大的能力直接交到防御者手中,保护代码免受新型 AI 驱动的攻击。

目前,我们将该功能作为受限研究预览版向企业(Enterprise)和团队(Team)客户发布,并为开源代码库的维护者提供加速访问通道,以便我们共同完善其功能并确保其被负责任地部署。

Claude Code Security 的工作原理

传统的自动化安全测试(如静态分析)通常是基于规则的,这意味着它只能将代码与已知的漏洞模式进行匹配。这种方法能抓住常见问题(如暴露的密码或过时的加密),但往往会遗漏更复杂的漏洞,例如业务逻辑缺陷或访问控制失效。

Claude Code Security 采用了截然不同的方式:

  • 像人类专家一样推理:它不再单纯扫描已知模式,而是像人类安全研究员一样阅读和推理代码。它能理解组件之间如何交互,追踪数据在应用程序中的流向,从而捕获基于规则的工具所遗漏的复杂漏洞。
  • 多阶段验证过滤误报:每一个发现都会经过多阶段的验证过程才会提交给分析师。Claude 会重新检查每个结果,尝试证明或证伪自己的发现,从而有效过滤误报。
  • 优先级与置信度评级:系统会为漏洞分配严重程度评级,以便团队优先处理最重要的修复工作。由于这些问题往往涉及仅从源代码难以评估的细微差别,Claude 还会为每个发现提供置信度评分。
  • 人工主导的修复流程:验证后的结果会显示在专属仪表板中,团队可以在此审查问题、检查建议的补丁并批准修复。没有任何修改会在未经人工批准的情况下被应用——Claude Code Security 负责发现问题并提出解决方案,但最终决定权始终在开发者手中。

研发背景与实战表现

Claude Code Security 建立在对 Claude 网络安全能力一年多的研究基础之上。我们的前沿红队(Frontier Red Team)对这些能力进行了系统性的压力测试:包括让 Claude 参加竞争激烈的 CTF(夺旗)比赛,与太平洋西北国家实验室(PNNL)合作探索利用 AI 防御关键基础设施,以及不断完善 Claude 发现和修补代码中真实漏洞的能力。

这些测试使 Claude 的网络防御能力得到了显著提升。使用本月早些时候发布的 Claude Opus 4.6,我们的团队在生产环境的开源代码库中发现了 500 多个漏洞——尽管经过了多年的专家审查,这些漏洞已经在代码中潜伏了数十年未被发现。目前,我们正与开源维护者合作进行漏洞分类和负责任的披露,并计划进一步扩大与开源社区的安全合作。

此外,我们也在内部使用 Claude 来审查自己的代码,事实证明它在保护 Anthropic 系统方面极其有效。我们打造 Claude Code Security,正是为了让这种防御能力得到更广泛的应用。由于它内置于 Claude Code 中,团队可以在他们已经使用的工具内直接审查发现并迭代修复方案。

行业前景与未来展望

网络安全正处于一个关键的转折点。鉴于 AI 模型在发现长期隐藏的漏洞和安全问题方面变得如此高效,我们预计在不久的将来,全球很大一部分代码都将被 AI 扫描。

攻击者将利用 AI 以前所未有的速度寻找可利用的弱点。但如果防御者行动迅速,同样可以抢先发现并修补这些弱点,从而降低攻击风险。Claude Code Security 是我们迈向“构建更安全的代码库”以及“提升全行业安全基准”这一目标的重要一步。

如何获取访问权限

即日起,我们向企业(Enterprise)和团队(Team)客户开放 Claude Code Security 的受限研究预览。参与者将获得早期访问权限,并与我们的团队直接合作以进一步完善该工具的能力。

同时,我们强烈鼓励开源项目维护者申请免费的加速访问权限。

相关文档

  • 为网络防御者构建 AI 系统;关联理由:上下游;说明:本文提到的 Claude Code Security 能力建立在一年多网络防御研究基础上,关联文档展开了该上游能力建设与评测证据。

关联主题

关系图谱

反向链接