Anthropic推出Claude Security：扫描代码库漏洞并智能排定修复优先级

Anthropic近日正式发布了Claude Security，这是一款面向防御性网络安全领域的全新产品。目前，该工具已面向企业级（Enterprise）用户开放公开测试，团队版（Team）及Max级别用户的使用权限也将"近期上线"。

Claude Security是Anthropic网络防御工具体系中的又一重要成员，旨在为安全团队提供"扫描代码库漏洞并生成针对性补丁"的能力，底层驱动模型为Claude Opus 4.7。

本月早些时候，Anthropic还推出了"玻璃翼计划"（Project Glasswing）——一项旨在排查全球开源软件基础设施漏洞的重大AI安全行动。亚马逊云服务、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达及Palo Alto Networks等行业巨头均已加入其中。该计划使用的是一款名为Mythos的Anthropic专属模型，由于其能力被认定风险较高，目前不对外公开发布，仅限于玻璃翼计划参与方内部使用。

无论是玻璃翼计划还是Claude Security，其核心都是漏洞扫描。绝大多数网络攻击的起点，都是攻击者利用系统中存在的已知漏洞发动入侵。因此，防守方若能提前发现并修复漏洞，便可大幅压缩攻击者可利用的空间。

现实世界中，一切业务都运行于软件之上，而软件天然存在漏洞。漏洞的存在不仅为恶意攻击者敞开了大门，还可能直接影响用户体验，引发系统故障或数据异常。

事实上，AI辅助漏洞扫描并非新鲜事物。早在去年9月，就有人尝试将OpenAI的Codex用于此类场景。彼时受制于上下文窗口有限，Codex无法处理跨项目的完整代码，单独使用效果欠佳。但当其与ChatGPT的Deep Research功能联合使用后，两者协同在安全软件中发现了多个严重漏洞。

此后，Codex与Claude Code在可处理的代码量上均有显著提升，但面对超大型代码库时仍存在局限。相比之下，Mythos具备处理完整大型代码库的能力，甚至能够在宏观层面理解多个代码库之间的关联关系——但该模型即便对企业级付费用户也不对外开放。上个月，OpenAI发布了同样支持大范围上下文分析的Codex Security，而此次Claude Security同样具备类似的大规模扫描能力。

Claude Security支持对完整代码仓库或特定目录进行扫描。Anthropic表示，"Claude以安全研究人员的思维方式理解代码，追踪数据流向，阅读源代码，并梳理各文件与模块之间的组件交互关系。"

当然，漏洞扫描AI的普及也带来了一个不容忽视的双刃剑问题：帮助防守方找漏洞的同时，也可能被攻击者用来寻找攻击入口。微软和OpenAI均曾披露，来自中国、伊朗、俄罗斯和朝鲜的国家级关联行为者曾利用大语言模型进行企业及安全工具信息搜集、代码调试、脚本生成，以及为网络钓鱼攻击制作内容等活动。

为此，Anthropic在Opus 4.7上线之际，同步引入了全新的网络安全防护机制，可自动识别并拦截涉及高风险或违禁网络安全用途的请求。例如，该模型已明确封锁"几乎只用于恶意目的且缺乏合法防御价值的活动，如大规模数据窃取或勒索软件代码开发"。

与此同时，对于漏洞利用验证、进攻性安全工具开发等具有一定合法防御价值的灰色地带活动，Opus 4.7默认也会予以拦截。但通过Anthropic网络安全认证计划（Cyber Verification Program）审核的安全研究人员，可获得对这部分受限能力的访问授权，从而在职业工作中合规使用相关功能。

漏洞扫描工作还面临另一个常见挑战：信息噪音过多。大量细碎的问题都可能被系统标记，安全人员容易将大量时间消耗在低风险问题上，而真正高危的漏洞却被搁置。

为解决这一问题，Claude Security引入了"多阶段验证流水线"，对每一条扫描结果在提交给分析人员之前进行独立核验，并为每条结果附上置信度评分。同时，AI会对每项发现进行详细说明，涵盖置信度、严重程度、潜在影响、复现步骤及修复建议等维度，帮助开发人员优先处理那些高置信度、高影响、高危险等级的问题，避免在次要问题上浪费精力。

在工作流集成方面，Claude Security还支持在Claude Code中直接打开相关代码，让用户在查看扫描结果的同时即可进行修改，无需切换工具。此外，Anthropic还新增了定时扫描功能，支持对已忽略的发现记录备注原因，并支持将结果以CSV和Markdown格式导出，便于与现有问题跟踪及审计系统对接。

在合作伙伴生态方面，Claude Security已与CrowdStrike、Palo Alto Networks、SentinelOne、Trend.ai及Wiz等技术伙伴达成整合合作，上述合作方均在将Opus 4.7能力集成至各自的网络安全平台。同时，Anthropic还携手埃森哲、波士顿咨询集团、德勤、印孚瑟斯和普华永道等安全服务合作伙伴，面向企业客户部署Claude Security，助力提升整体安全防护水平。

Q&A

Q1：Claude Security是什么，主要解决什么问题？

A：Claude Security是Anthropic推出的一款防御性网络安全产品，目前面向企业级用户开放公开测试。它的核心功能是扫描代码库中的安全漏洞，并生成针对性的修复补丁，底层驱动模型为Claude Opus 4.7。与传统扫描工具不同，Claude Security会以安全研究人员的思维方式理解代码，追踪数据流向、分析模块交互，并通过多阶段验证流水线为每条扫描结果提供置信度评分，帮助安全团队优先处理最危险的漏洞。

Q2：Claude Security和玻璃翼计划（Project Glasswing）有什么区别？

A：两者都以漏洞扫描为核心，但定位和开放程度不同。玻璃翼计划使用的是Anthropic内部高能力模型Mythos，该模型因风险评级较高不对外发布，仅供亚马逊云服务、苹果、谷歌、微软等精选合作伙伴在特定场景下使用，主要面向全球开源软件基础设施的安全排查。而Claude Security则是面向企业和安全团队的商业化产品，基于Opus 4.7模型，支持代码仓库扫描、结果导出及与主流安全平台集成，具备更广泛的用户可及性。

Q3：Claude Security如何防止被恶意攻击者滥用？

A：Anthropic在Opus 4.7中内置了网络安全防护机制，会自动识别并拦截高风险请求，例如涉及大规模数据窃取或勒索软件代码开发等几乎只用于恶意目的的活动。对于漏洞利用验证、进攻性安全工具开发等存在合法用途的灰色地带功能，系统默认也会拦截，只有通过Anthropic网络安全认证计划（Cyber Verification Program）审核的专业安全研究人员，才能获得对这部分受限能力的合规访问授权。