500 个“幽灵”漏洞被瞬间揪出
想象一下,你的代码库里藏着几十个致命漏洞,
它们像幽灵一样潜伏了十几年,躲过了无数次人工审查,骗过了所有传统扫描工具。
然后,AI 在几分钟内把它们全找出来了。
这是 Anthropic 刚刚扔出的王炸。
他们新发布的 Claude Code Security,在测试阶段一口气挖出了 500 多个 生产级开源代码库里的漏洞。
而且还都是藏得极深、极其复杂的逻辑缺陷。
说实话,看到这个数字,很多人第一反应是:以前的安全专家都在干嘛?
AI 接管网络安全
Claude Code Security 是 Claude Code 网页版的一个新功能,目前还在“有限研究预览”阶段。
它的核心任务就一个:帮防御者抢在攻击者之前找到漏洞。
现在的安全团队太难了。
漏洞堆成山,人手根本不够。
传统的静态分析工具老实讲,有点笨。
它们是基于规则的,只能匹配已知的漏洞模式,比如硬编码的密码、过时的加密算法。但这招对那些复杂的、依赖上下文的逻辑漏洞根本没用。
Claude Code Security 不一样。它不像个机器,更像个人。
它会读代码,会推理。它能理解组件之间怎么交互,数据在应用里怎么流动,甚至能揪出那些“访问控制失效”的隐蔽问题。
更有意思的是,它还有点“自我怀疑”精神。
每一个发现的问题,Claude 都会进行多阶段验证。它会试图证明自己是对的,也会试图证明自己是错的,专门为了过滤掉那些误报。
这就像一个极度强迫症的审计员,非要把每个细节都抠得清清楚楚。
虽然强,但还得听人的
Anthropic 很聪明,他们没敢让 AI 直接动代码。
虽然 Claude 能提供针对性的修补建议,但最终拍板的必须是人。
这也是为了安全起见。毕竟,让 AI 随便修改生产环境的代码,想想都让人睡不着觉。
在 Claude Code Security 的仪表盘上,团队可以看到所有经过验证的发现,检查建议的补丁,然后决定是否批准修复。
系统还会给每个发现打上“置信度”评分,毕竟有些漏洞光看源代码是很难判断严重性的。
这就像给每个开发配了个顶级安全顾问,但这顾问没有修改权限,只能提意见。
这是一场不对称的战争
为什么 Anthropic 这么急着推这个工具?
因为他们知道,AI 改变了网络安全的游戏规则。
同样的能力,能帮防御者修漏洞,也能帮攻击者写病毒。
Anthropic 的“前沿红队”已经折腾了一年多了。
他们让 Claude 参加夺旗赛,跟太平洋西北国家实验室合作搞关键基础设施防御,就是为了测试这玩意儿到底有多强。
结果大家都看到了:Claude Opus 4.6 强得离谱。
除了那 500 个开源漏洞,他们连自己的代码都用它审,“极其有效”。
现在,Anthropic 把这个能力开放给企业版和团队版用户,还给开源维护者开了绿色通道,免费快速接入。
这点得点个赞,毕竟开源软件是互联网的基石,先把地基加固了,大家都安全。
创业公司们的至暗时刻?
但这事儿对行业来说,可能就是个“大屠杀”。
看看推特上的评论,有人直接说:*“Anthropic 每两周干掉一批初创公司的定时任务**,*还在强力运行中。”
还有人调侃:“宝贝快醒醒,AI 刚刚又干掉了一批工作。”
这话虽然损,但理是这个理。
如果一个通用的 AI 编程助手就能把安全扫描做得这么好,那些专门做静态代码分析、做漏洞扫描的初创公司,路在何方?
个人觉得,这不仅仅是工具的升级,更是行业洗牌的开始。
以前你可以靠几个独家规则库活得滋润,现在大模型直接把“理解代码”变成了标配能力,这种降维打击太狠了。
参考链接:
https://x.com/claudeai/status/2024907535145468326