Claude推出代码安全功能，可扫描代码库发现安全漏洞并建议修复方案，帮助开发者应对传统工具难以检测的复杂漏洞。该功能目前面向企业团队和开源项目维护者提供研究预览，旨在将AI安全能力赋予防御方，同时谨慎控制技术滥用风险。

标题：前沿网络安全能力赋能防御者

Claude代码安全功能作为网页版Claude Code的新特性，现已开放限时研究预览。该功能可扫描代码库中的安全漏洞，并为人工审查提供针对性修复建议，帮助团队发现并修复传统方法难以察觉的安全隐患。

安全团队普遍面临两大挑战：软件漏洞数量庞大与专业人才短缺。现有分析工具虽能检测已知漏洞模式，但对需要结合上下文分析的隐蔽漏洞束手无策——这类漏洞往往成为攻击者的突破口。

AI技术正在改变这一局面。研究表明Claude能识别新型高危漏洞，但这项能力若被滥用也可能助长攻击。Claude代码安全功能旨在将AI防御能力交予守护者，现面向企业及团队客户开放限时预览，开源项目维护者可申请快速通道，共同完善该功能的责任部署。

核心技术原理
传统静态分析依赖规则库匹配，虽能捕捉暴露密码等常见问题，却难以识别业务逻辑缺陷等复杂漏洞。Claude采用类人化的代码理解方式： - 解析组件交互逻辑 - 追踪数据流路径 - 内置多级验证机制（自动复核结果/过滤误报） - 提供漏洞严重性分级与置信度评估

所有修复建议均需人工确认，开发者始终掌握最终决策权。

网络安全实践
经过一年多的专项研究，Claude的防御能力已通过多重验证： - 参与网络安全夺旗赛 - 与美国西北国家实验室合作关键基础设施防护实验 - 基于最新发布的Claude Opus 4.6，团队在开源代码库中发现500余个历史遗留漏洞

行业展望
AI代码扫描即将成为行业标配。虽然攻击者会利用AI加速漏洞挖掘，但防御方通过快速响应同样能抢占先机。Claude代码安全功能致力于提升全行业代码库的安全基线。

体验申请
企业/团队客户可申请限时预览，开源维护者享快速通道。更多详情见专属页面。

（注：原文中关于卢旺达政府合作、Claude Sonnet 4.6发布等无关内容已省略）

以下是评论内容的总结：

1. 对AI安全扫描工具的质疑

   • 有人认为AI工具可能只是重复静态分析工具的功能，并产生大量误报。
     "They basically just find stuff that's already identified by static analysis tooling and toss in a bunch of false positives from the AI scans." (bink)
   • 有人质疑AI是否能真正替代高级安全工程师的创造性思维。
     "There’s a lot of skepticism in the security world about whether AI agents can 'think outside the box' enough to replicate or augment senior-level security engineers." (david_shaw)

2. 对AI工具的认可与潜力

   • 有人认为AI可以自动化安全工作中的“琐事”，提高效率。
     "My hope is that tools like this can help automate away the 'busywork' of security." (david_shaw)
   • 有人提到结合静态分析和AI的方法可以提高准确性。
     "We’re using SAST as a fast first pass on the code... we’re seeing higher accuracy than others." (sanketsaurav)

3. 对行业竞争的观察

   • 有人指出AI安全工具已成为行业趋势，多家公司已推出类似产品。
     "Not super surprising that Anthropic is shipping a vulnerability detection feature -- OpenAI announced Aardvark back in October..." (ievans)
   • 有人担心小型审计公司可能被AI工具取代，但也有人认为人类审计师仍会存在。
     "In another one of these futures, us auditors become more specialized, more niche, and bring the 'human touch' needed or required." (baby)

4. 对透明度和测试的呼吁

   • 有人批评工具仅限研究人员使用，缺乏公开测试。
     "Make it testable for open source developers at no cost and without login or get lost." (grolly)
   • 有人建议公开成本和误报率等数据以便比较。
     "It’s clear that LLMs are super valuable for vulnerability discovery, but without that information it’s difficult to know which foundation model is really leading." (ievans)

5. 对未来的展望

   • 有人认为AI可能使传统静态分析工具（SAST）变得冗余。
     "AI comes around an makes it redundant. Not saying SAST is dead, but sure can’t compete with AI today..." (DyslexicAtheist)
   • 有人建议初创公司可以选择细分领域或提供定制化服务。
     "Do you think it’s better to go niche, focusing on agents for a specific type of application...?" (wslh)

总结：评论中对AI安全扫描工具的态度褒贬不一，既有对其潜力的认可，也有对准确性、透明度和行业影响的质疑。未来可能走向自动化与人类专业化的结合。