本週,人工智慧(AI)巨頭 Anthropic 推出了 Claude Code Security,這是一款由 AI 驅動的程式碼掃描工具,用於偵測漏洞並起草修補程式,震動了網路安全市場,同時引發了關於就業與產業權力轉移的尖銳問題。
Claude Code 安全性能否取代人工掃描員?
Anthropic 最新推出的 Claude Code 平台功能,簡明扼要地宣稱:讓 AI 像資深安全研究員一樣閱讀您的整個程式碼庫,並標示出他人忽略的問題。根據公司 release 的說明,Claude Code Security 會掃描漏洞、建議修補方案,並以嚴重性與可信度評級呈現發現結果,同時確保人類始終掌握核准權限。
與依賴預設模式的傳統靜態應用程式安全測試工具不同,Claude Code Security 借助先進的大型語言模型(LLMs),包括 Claude Opus 4.6,來推理資料流動與元件互動的方式。這意味著它旨在捕捉那些避過基於規則的掃描器的業務邏輯缺陷和存取控制失效問題。
在內部測試期間,Anthropic 表示 Opus 4.6 在生產環境的開源代碼庫中發現了超過 500 個高嚴重性漏洞,其中一些已多年未被發現。這些發現正在進行分類和負責任披露,表明該工具的目標超越了表面修復。
工作流程已結構化以設置防護措施。在完成全面掃描後,系統會進行自我驗證,嘗試確認或駁斥其自身的發現,然後在儀表板中顯示並提供建議的修復方案。目前並無自動「推送至生產環境」功能——每項修復都需要人工批准。
Anthropic 經過一年多的開發,由其前沿紅隊打造此功能,並在 Capture the Flag 等網絡安全競賽中進行測試,同時與太平洋西北國家實驗室等機構合作。該工具目前僅對企業和團隊客戶提供有限的研發預覽,開源維護者可獲優先訪問權限。
然而,華爾街並未等待細節出爐。公告發布後,主要網路安全公司的股價大幅下跌,包括Crowdstrike和Cloudflare在內的公司各自下跌約8%,而Zscaler、Okta和Gitlab等其他公司也受到衝擊。更廣泛的Global X Cybersecurity ETF下跌約5%,反映出整個行業的不安情緒。
一些分析師將此反應歸因於新聞驅動而非結構性因素,稱其為由對 AI 可能將漏洞檢測商品化的擔憂所引發的「迷你閃崩」。其他人則認為,拋售信號反映出對 AI 可能重塑軟體安全經濟的更深層憂慮。
線上討論,特別是在 X 上,加劇了對工作的焦慮。貼文警告,AI 驅動的掃描工具可能「消滅」漏洞評估與修復中的職位,尤其是入門級的漏洞分類工作。在一個 already 面臨自動化挑戰的產業中,這個時機顯得格外尖銳。
但許多專家提出了更冷靜的觀點。Anthropic的洛根·格雷厄姆表示:「如果我認為自己被AGI洗腦了,我應該非常重視網絡安全。網際物理基礎設施正是AGI『接觸世界』的方式。這正是我們希望Claude能保護它的原因。」格雷厄姆補充說,Anthropic正在「招聘網絡安全人才」。其他人則將此描述為Claude的新功能旨在幫助負荷過重的團隊管理積壓工作,而非取代他們。
關鍵的是,Claude Code Security 無法進行運行時測試、發送 API 請求或在實時環境中驗證可利用性,這意味著動態測試和人工監督仍然至關重要。更廣泛的背景不容忽視。隨著 AI 加速代碼生成和網絡攻擊,防禦者面臨的對手能夠以機器速度探測系統。
Anthropic 將其工具定位為一種防禦性平衡器,在承認人工智慧雙重用途的同時,提升了安全開發的基準。從這個角度來看,Claude Code Security 可能並非一個「裁員生成器」,而更像是一個「角色重寫者」。安全專業人員可能會減少花費在審查重複警報上的時間,轉而投入更多時間設計架構、驗證漏洞,以及引導人工智慧輔助的工作流程。
市場震盪是暫時性的還是標誌著結構性轉變,將取決於採用率、與現有堆棧的整合,以及在關鍵基礎設施中應用 AI 的各種方式。目前,Claude Code Security 在網路安全領域做了一件罕見的事:它將程式碼審查置於金融與勞動力辯論的中心。
常見問題 ❓
- 什麼是 Claude Code Security?
這是 Anthropic 推出的 AI 工具,可掃描整個程式碼庫以發現漏洞,並提供經過人工審核的修補方案。 - Claude Code Security 會取代人為安全團隊嗎?
不會,它需要人工批准修復方案,且無法進行運行時測試,因此僅作為輔助工具,而非替代方案。 - 為何網際安全股在發佈後下跌?
投資者對人工智能驅動的漏洞掃描可能擾亂傳統安全軟體商業模式感到擔憂。 - 目前誰可以存取 Claude Code Security?
目前僅限企業和團隊客戶參與有限的研發預覽,開源維護者可優先存取。