Anthropic PBC今日宣布,Claude Security正式进入公开测试阶段,旨在帮助网络安全团队扫描代码库中的漏洞并自动生成修复补丁。
作为面向大型企业的订阅产品Claude Enterprise的组成部分,Claude Security最早于今年2月以"Claude Code Security"研究预览版的形式亮相。自发布以来,已有数百家机构借助该工具在生产代码中发现并修复了安全漏洞,其中不乏那些被现有工具遗漏多年的隐患。
该安全工具以Anthropic旗舰AI模型Opus 4.7为核心驱动,作为专属防御性产品推出,也标志着该公司在网络安全方向上持续深耕的战略布局。
此前,Anthropic还发布了Project Glasswing项目,首次引入Mythos模型。该模型最初并非为安全场景设计,却在漏洞发现方面表现出色。Glasswing汇聚了多家技术合作伙伴,致力于保障全球生产软件的安全。
在此基础上,Anthropic表示客户现已可与基于Claude安全能力构建产品的合作伙伴协作,合作方包括CrowdStrike Holdings、Palo Alto Networks、SentinelOne、Trend Micro旗下的Trend.ai以及Wiz等,这些企业均已将Opus 4.7整合至各自的网络安全平台中。
Anthropic介绍,借助上述新能力,Claude现在可以对整个代码库进行推理分析,其工作方式类似于网络安全研究人员的思维模式——不再仅仅匹配已知的漏洞模式,而是追踪数据流向、阅读源代码、分析代码组件与文件之间的交互关系,从而发现系统性的安全隐患。
模型在将分析结果提交给分析师之前,会先进行置信度评分验证,以确保输出内容更具可信度。Anthropic还表示,模型在分析过程中会同步输出推理过程,包括置信因素、漏洞被利用的可能性、优先级排查依据以及修复方案的预期效果。
随后,用户可直接打开Claude Code会话,在当前上下文中应用修复方案,无需再经历安全团队与工程团队之间反复沟通、测试验证的漫长等待。
Anthropic表示,根据研究预览阶段收集的用户反馈,新版本新增了定期扫描功能以实现持续覆盖;支持在驳回发现结果时附上说明文字,便于后续审查人员进行分析归档;同时还支持CSV和Markdown格式导出,方便将结果导入现有的审计系统。
Q&A
Q1:Claude Security和普通的漏洞扫描工具有什么区别?
A:Claude Security与传统漏洞扫描工具的核心区别在于推理方式。传统工具主要依赖已知漏洞模式进行匹配,而Claude Security以Opus 4.7模型为驱动,能够像安全研究人员一样思考,追踪数据流向、分析代码组件间的交互,并在输出结果前进行置信度评分,同时附上推理过程和修复方案评估,提供更具深度和可解释性的安全分析。
Q2:Claude Security目前支持哪些第三方安全平台集成?
A:目前,Anthropic已与多家主流网络安全厂商达成合作,包括CrowdStrike Holdings、Palo Alto Networks、SentinelOne、Trend Micro旗下的Trend.ai以及Wiz。这些合作伙伴已将Opus 4.7模型整合至各自的网络安全平台,用户可在现有的安全工作流中直接使用Claude Security的能力。
Q3:Claude Security公测版相比研究预览版新增了哪些功能?
A:根据研究预览阶段的用户反馈,公测版新增了三项主要功能:一是定期扫描,实现对代码库的持续安全覆盖;二是可在驳回扫描结果时附加说明文字,方便后续审查人员参考;三是支持CSV和Markdown格式导出,便于将分析结果导入现有审计系统。