Anthropic推出Claude Security，实现AI驱动的代码漏洞扫描

关键信息

Claude Security目前仅对企业级用户开放公测，未来将面向团队和Max级别用户开放。它可以扫描完整仓库或指定目录，像人类安全研究员一样通过追踪数据流和模块交互来分析代码。

资讯摘要

Anthropic发布了Claude Security，这是一个利用Opus 4.7模型扫描代码库漏洞并生成优先修复建议的新AI工具。该工具旨在融入开发者日常流程，提供可操作的洞察而非仅仅是原始发现。它是Project Glasswing的一部分——苹果、谷歌、微软等公司参与的合作项目，目标是发现并修补全球开源软件中的关键漏洞。

尽管这类工具有助于防御方，但如果被攻击者利用也会带来风险，就像《星球大战》中反抗军利用死星计划一样。Anthropic强调负责任部署，指出其更先进的Mythos模型（能分析复杂代码关系）并未向公众发布。

资讯正文

Anthropic推出了新的Claude Security工具，可扫描代码库中的漏洞，并帮助你决定优先修复哪些问题。

Anthropic宣布了Claude Security，这是一款新的防御性网络安全产品。目前该工具仅对企业级Claude用户开放公测，预计很快将面向Claude Team和Max级别用户推出。

此外，苹果、谷歌和微软加入Anthropic的Project Glasswing项目，共同保护全球最关键的软件。

Claude Security是Anthropic网络安全工具箱中的又一利器。它能让安全团队利用Claude Opus 4.7模型“扫描代码库以发现漏洞并生成针对性补丁”。本月早些时候，Anthropic还推出了Project Glasswing——一个旨在发现全球开源软件基础设施中漏洞的人工智能“曼哈顿计划”。Glasswing使用了一款名为Mythos的Anthropic模型，这款模型被认为过于危险，因此不会向公众发布。它只提供给Glasswing项目的参与者，包括亚马逊云科技（AWS）、Anthropic、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达和帕洛阿尔托网络等公司，其中不乏曾经的竞争者。

漏洞扫描是Project Glasswing和Claude Security的核心功能。大多数网络攻击都始于攻击者利用某个漏洞。如果防守方能提前发现并修补这些漏洞，恶意行为者的攻击面就会变小。

还记得《星球大战》吗？《新希望》整部电影的情节围绕着莉亚公主藏在R2-D2中的死星计划展开。一旦反抗军拿到这些计划，他们就能找到漏洞——卢克和其他飞行员只需要将一枚鱼雷射入死星的排气口……砰！这就是漏洞。死星只有一个致命缺陷。而你的代码库可能有更多。

Anthropic的新工具Claude Security正是为了在攻击者之前发现这些问题。

在现实世界中，所有事物都依赖软件运行，而软件本质上就是脆弱的。漏洞不仅为对手提供了入侵机会，还可能因自身存在而导致程序错误，从而影响软件使用者。

此外，我曾尝试将两个AI工具组合起来解决一个重大漏洞——但它们没有我的协助就无法完成。

我最早在2023年9月用OpenAI的Codex进行漏洞扫描，当时失败了，因为它无法处理整个项目的上下文。但当我把AI配对编程工具与ChatGPT的Deep Research结合使用时（后者擅长处理大量数据），这两个工具在我安全软件中发现了多个关键漏洞，并且我立刻进行了修复。

从那时起，Codex和Claude Code在单次上下文中可处理的代码量都有所提升，但两者都无法一次性处理大型代码库。而Mythos可以做到这一点，甚至能在宏观层面理解不同代码库之间的关系。不过，即便付费升级到企业级，它也不会向公众开放。

Anthropic推出了新的Claude Security工具，可扫描代码库中的漏洞，并帮助你决定优先修复哪些问题。

上个月，OpenAI推出了Codex Security，该工具同样提供更广泛的上下文分析。现在，Claude Security也能进行类似的全面扫描。这款新产品能够扫描整个代码仓库或指定目录。据Anthropic介绍，“Claude像安全研究人员一样分析代码，追踪数据流、阅读源码，并判断文件和模块间组件如何交互。”

Claude Security还有更多功能，但首先我们来谈谈由漏洞扫描AI引入的重大风险——数字破坏武器。

漏洞扫描器帮助防御者守护系统，但也帮助攻击者定位攻击点。这正是《星球大战》中义军攻击死星的逻辑：一旦发现漏洞，就能加以利用。例如，微软和OpenAI都报告称，来自中国、伊朗、俄罗斯和朝鲜的国家支持黑客已使用大型语言模型研究多家公司和网络安全工具、调试代码、生成脚本，并制作可能用于钓鱼和定向钓鱼攻击的内容。

此外：AI正在变得越来越擅长发现隐藏的软件漏洞——甚至包括几十年前的代码。

Anthropic正努力防止其模型被用于类似用途。从Opus 4.7版本发布起，该公司加入了新的网络安全防护机制，能自动检测并阻止暗示违规或高风险网络安全用途的请求。例如，Opus 4.7现在会阻止“几乎总是被恶意使用且几乎没有合法防御用途的行为，比如大规模数据窃取或勒索软件开发”。

另一方面，那些具有合法防御用途的行为呢？比如漏洞利用或进攻型安全工具开发？Opus 4.7也会阻止这些行为，但经过批准加入Anthropic网络安全验证计划（Cyber Verification Program）的安全研究人员可以访问这些受限灰色地带的AI能力。

此外：这款新的Claude代码审查工具使用AI代理检查你的拉取请求中的漏洞——这是它的实现方式。

实际上，能够获得Anthropic安全许可的人可以在执行工作时使用Opus 4.7执行被限制的安全活动。

披露：我是Anthropic网络安全验证计划的授权成员，因此我作为网络战、网络安全防御和反恐工作的组成部分，拥有这些能力的访问权限。

让漏洞变得可操作

漏洞扫描的问题在于，它可能会变成信息洪流。每一个小问题都会被标记出来，你可能花费数小时甚至数天去追踪一个影响不大的漏洞，而忽略了可能导致灾难性后果的严重漏洞。

Claude Security引入了“多阶段验证流程”，在每个发现到达分析师之前独立验证，并为每项结果分配置信度评分。AI能够详细解释每一项“发现”，包括置信度、严重程度、可能影响、复现步骤以及推荐修复方案。

这非常有帮助，因为开发者可以优先处理那些高置信度、影响大且严重的问题，而无需浪费时间在次要问题上。此外：根据开发者的说法，AI 对开源软件既是诅咒也是祝福。

从这些发现中，Claude Security 让防御者能够直接在 Claude Code 中打开代码并进行上下文修改，从而在发现结果页面上立即查看和修复需要改进的区域。Anthropic 还增加了一系列工作流程优化功能。公司表示：“我们新增了定期扫描以实现持续覆盖，支持通过记录原因来忽略发现项（以便未来的审查者信任之前的筛选决策），以及 CSV 和 Markdown 导出功能，便于将发现结果整合进现有的跟踪和审计系统。”

Claude Security 的订阅用户可以与技术和安全合作伙伴协作。Anthropic 特别指出，CrowdStrike、Palo Alto Networks、SentinelOne、TrendAI 和 Wiz 等技术合作伙伴正在将其网络安全平台集成 Opus 4.7 模型。

此外：随着网络安全军备竞赛加剧，谷歌押注 320 亿美元打造 AI 代理网络安全力量。

该公司还与 Accenture、BCG、Deloitte、Infosys 和 PwC 等安全合作伙伴合作，这些机构正在部署 Claude Security，以帮助企业加强其安全态势。

你认为 AI 漏洞扫描更有利于发现危险漏洞，还是更有利于帮助开发者更快地确定修复优先级？欢迎在下方评论区告诉我们。你可以在社交媒体上关注我日常的项目更新。记得订阅我的每周更新通讯，并在 Twitter/X 上关注我 @DavidGewirtz，在 Facebook 上关注 Facebook.com/DavidGewirtz，在 Instagram 上关注 Instagram.com/DavidGewirtz，在 Bluesky 上关注 @DavidGewirtz.com，以及在 YouTube 上关注 YouTube.com/DavidGewirtzTV。

来源与参考

1. 原始链接
2. Anthropic's new Claude Security tool scans your codebase for flaws - and helps you decide what to fix first