【转载】将前沿网络安全能力交给防御者

转载

Claude Code Security 是内置在 Web 版 Claude Code 中的一项新功能,现已以有限研究预览版的形式推出。它可以扫描代码库中的安全漏洞,并建议针对性的软件补丁供人工审查,使团队能够发现并修复传统方法经常遗漏的安全问题。

安全团队面临着一个共同的挑战:软件漏洞太多,而没有足够的人员来解决它们。现有的分析工具有所帮助,但作用有限,因为它们通常只查找已知模式。发现那些经常被攻击者利用的、微妙的、依赖上下文的漏洞需要熟练的人类研究人员,而他们正面对着不断膨胀的待处理积压。

AI 正在改变这一局面。我们最近展示了 Claude 可以检测新颖的高危漏洞。但帮助防御者发现和修复漏洞的同样能力,也可能帮助攻击者利用它们。

Claude Code Security 旨在将这种能力直接交到防御者手中,保护代码免受这一新类别 AI 驱动攻击的威胁。我们以有限研究预览版的形式向 Enterprise 和 Team 客户发布,并为开源代码库维护者提供加速访问通道,以便我们共同努力完善其能力并确保负责任地部署。

Claude Code Security 如何工作

静态分析------一种广泛部署的自动化安全测试形式------通常是基于规则的,意味着它将代码与已知漏洞模式进行匹配。这可以捕获常见问题,如暴露的密码或过时的加密,但经常遗漏更复杂的漏洞,如业务逻辑缺陷或访问控制失效。

Claude Code Security 不是扫描已知模式,而是像人类安全研究人员一样阅读和推理你的代码:理解组件如何交互、追踪数据如何在应用中流动,并捕获基于规则的工具遗漏的复杂漏洞。

每个发现都会经过多阶段验证流程后才会到达分析师手中。Claude 会重新检查每个结果,试图证明或反驳自己的发现并过滤误报。发现还会被分配严重性评级,以便团队优先处理最重要的修复。

经过验证的发现会显示在 Claude Code Security 仪表板中,团队可以在那里审查它们、检查建议的补丁并批准修复。由于这些问题通常涉及仅从源代码难以评估的细微差别,Claude 还为每个发现提供置信度评级。没有任何内容会在未经人工批准的情况下应用:Claude Code Security 识别问题并建议解决方案,但开发者始终拥有最终决定权。

将 Claude 用于网络安全

Claude Code Security 建立在一年多来对 Claude 网络安全能力的研究之上。我们的 Frontier Red Team 一直在系统地测试这些能力:让 Claude 参加竞争性的夺旗赛 (CTF) 活动、与太平洋西北国家实验室合作实验使用 AI 保护关键基础设施,并完善 Claude 在代码中发现和修补真实漏洞的能力。

因此,Claude 的网络防御能力已大幅提升。使用本月早些时候发布的 Claude Opus 4.6,我们的团队在生产环境开源代码库中发现了超过 500 个漏洞------这些 bug 尽管经过多年的专家审查,却数十年来一直未被检测到。我们目前正在与维护者一起进行分类和负责任披露工作,并计划扩展我们与开源社区的安全合作。

我们也使用 Claude 来审查自己的代码,发现它在保护 Anthropic 系统方面极其有效。我们构建 Claude Code Security 就是为了让这些同样的防御能力更广泛地可用。由于它构建在 Claude Code 之上,团队可以在他们已经使用的工具中审查发现并迭代修复。

前路展望

这是网络安全的关键时刻。我们预计在不久的将来,世界上相当大一部分代码将由 AI 扫描,因为模型在发现长期隐藏的 bug 和安全问题方面已经变得如此有效。

攻击者将使用 AI 比以往更快地发现可利用的弱点。但快速行动的防御者可以发现同样的弱点、修补它们,并降低攻击风险。Claude Code Security 是我们朝着更安全代码库和更高行业安全基线目标迈出的一步。

开始使用

我们今天向 Enterprise 和 Team 客户开放 Claude Code Security 的有限研究预览版。参与者将获得早期访问权限,并与我们的团队直接合作来完善工具的能力。我们也鼓励开源维护者申请免费的加速访问。

在此申请访问权限:claude.com/solutions/claude-code-security

相关推荐
Avan_菜菜12 小时前
使用 Docker + rclone 自建 WebDAV
后端·agent·claude
浩风祭月19 小时前
AI 改代码总爱顺手重构?一份 Task Contract 把修改范围锁住
ai编程·claude·cursor
ServBay19 小时前
Claude Code 被曝植入后门,AI 时代如何安全打造本地 DevOps
后端·ai编程·claude
Fanta丶1 天前
1.VibeCoding 终端命令基础使用
claude
colir01 天前
被粉丝夸爆的超级 ai 个人工作站,原来这么多福利
开源·agent·claude
用户600071819101 天前
【翻译】循环(loops)入门指南
claude
洛卡卡了1 天前
Claude Code Hook,当 CLAUDE.md 规则不生效时,我们还需要强制拦截机制
后端·agent·claude
码哥字节1 天前
我拿 Opus 4.8、GPT-5.5、Gemini 3.1 Pro 测了同一套任务,输赢比你想的复杂
ai编程·claude
ZzT1 天前
Claude Sonnet 5 来了:Opus 级的能力,Sonnet 的价
人工智能·ai编程·claude
武子康1 天前
调查研究-208 OpenAI GPT-5.6 Sol / Terra / Luna 解读:AI 模型竞争正在从“更聪明“转向“能长期干活“
人工智能·openai·claude