2026-04-24 05:39:23 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章分析Claude代码安全功能对网络安全行业的影响，指出AI不会终结网络安全市场反而会推动其规模扩大，但会冲击静态应用安全测试等细分领域。作者认为AI将降低攻击成本促使企业加强防御，并类比云计算发展历史预测安全需求将向新维度拓展。关键发现包括Claude功能主要解决代码漏洞扫描问题，而身份管理、云配置等核心安全工作仍需专业解决方案。 综合评分： 85 文章分类： AI安全,漏洞分析,安全建设,解决方案,威胁情报

cover_image

Claude代码安全功能，究竟会拖垮哪些安全公司？

管窥蠡测管窥蠡测

安在

2026年4月23日 18:34 上海

在小说阅读器读本章

去阅读

过去几周，“网络安全已死”的论调在科技圈和社交媒体上疯狂发酵，几乎成为了一种无需论证的共识。这场舆论风暴的导火索，正是Anthropic重磅推出的Claude代码安全功能。消息一出，网络安全板块应声暴跌，多家上市公司市值单日蒸发超过20%，恐慌情绪迅速蔓延至整个行业。跟风喊出“安全行业终结”的口号确实容易，毕竟当一家顶级AI公司宣布能自动扫描代码漏洞并生成可直接使用的补丁时，任何人都会下意识地思考：传统安全公司还有存在的必要吗？

但Ross明确表示，与这种一边倒的悲观情绪相反，现在就为网络安全行业写讣告还为时过早。“人工智能非但不会扼杀网络安全市场，反而正在从根本上扩大其整体规模；当然，不可否认的是，某些特定的细分领域确实会迎来颠覆性的冲击。”

Claude代码安全功能的边界

“我们先来快速厘清Claude代码安全功能能做什么、不能做什么。如果你还没看过Anthropic的官方公告，建议先去了解一下。”Ross解释道，本质上，Claude代码安全功能可以“扫描代码库中的安全漏洞，并提供针对性的软件补丁供人工审核，帮助团队发现和修复传统方法经常遗漏的安全问题”。简单来说，Anthropic声称它能够真正理解代码库的逻辑和上下文，并提供人们可以放心采纳的补丁。

这一点至关重要。Ross指出，目前已有很多安全初创公司专注于补丁建议领域，而Anthropic押注自己能将这项能力无缝融入其整体产品体验——这显然合情合理，并且能比任何第三方插件做得更好。Ross也坦言，他看不出Anthropic做不到这一点的理由。

“如果你了解安全行业，也明白我们这里讨论的是何种能力，你可能已经意识到，从最根本的层面来看，Anthropic只是推出了一种潜在解决方案，用于解决目前通过静态应用安全测试（SAST）等手段发现的应用漏洞问题。”Ross认为，这毫无疑问是一大进步，它能帮助应用和产品安全工程师在代码上线前发现并修复漏洞，无需再追着开发人员反复说服他们重视安全问题。

“除非你是一家专注于优化代码扫描以发现漏洞、帮助安全团队修复问题的公司创始人——换句话说，除非Claude代码安全功能要来抢你的饭碗，否则Anthropic的这一公告其实是个好消息。”然而，从全局来看，它解决的只是安全领域中非常非常小的一部分问题——尽管这部分问题确实至关重要。

安全远不止于发现代码中的漏洞。Ross列举了代码仓库之外的大量核心安全工作：

管理身份扩散和权限风险（处理过度授权用户、过期账户、未受管理的服务身份等问题）
实时检测正在发生的攻击尝试（识别可疑登录模式、异常设备活动、非正常流量流向等）
实施网络分段和出口控制（解决扁平网络、暴露的服务、不受控的出站访问等问题）
防范云配置错误（标记公开存储桶、权限过宽的IAM策略、禁用的日志记录等——这是云安全态势管理（CSPM）工具一直在做的事）
保护密钥和机器凭证（硬编码令牌、共享API密钥、长期有效证书等，这是非人类身份（NHI）初创公司一直在攻克的领域）
维护基础设施完整性（处理配置漂移、未授权变更、未受管理的影子基础设施等问题）
监控第三方和供应链访问（供应商VPN接入、SaaS集成、未受管理的OAuth应用、自带云服务等）
自动化合规流程并为审计做准备（证据收集、风险接受跟踪等）
跨环境响应安全事件（采取措施遏制威胁、撤销访问权限、跨系统调查以及事件响应的其他环节）
事件或故障后恢复系统和运营（所有可归入”网络弹性”范畴的工作，如环境回滚、数据恢复、服务重新部署等）

Ross强调，即便Claude代码安全功能运行得完美无缺，也无法解决上述所有问题。这就引出了他的核心观点：网络安全的绝大多数领域都将长期存在，而人工智能只会让这个行业比以往发展得更快、规模更大。

绝大多数网络安全领域将长期存在，

AI只会推动其加速发展

Ross指出，如果我们认同网络安全的绝大部分工作与代码安全无关，那么很明显，Claude代码安全功能根本不会威胁到Palo Alto Networks、CrowdStrike、Zscaler、Okta、Cloudflare等在公告发布后股价下跌的公司。更进一步说，对于大多数网络安全公司而言，人工智能不是威胁，而是真正的机遇。

几十年来，限制攻击者大规模攻击企业的最大因素之一是资源不足。换句话说，他们根本没有足够的时间、人才或能力同时排查所有目标。众所周知，深入观察就会发现，每家公司的内部系统都一团糟，但由于环境的复杂性以及攻击者进行侦察需要大量时间，很多时候真正让企业免遭入侵的，其实是攻击者自身的资源匮乏。

Ross认为，随着人工智能的出现，这种情况很快就会改变。攻击者不受企业治理或可接受使用政策的约束，无需决定哪些模型可以部署、哪些不能。他们会利用所有可用的模型、所有自主智能体、所有形式的自动化工具，以前所未有的规模枚举基础设施、映射依赖关系、生成漏洞利用程序并测试攻击假设。大语言模型越便宜，攻击成本就越低，攻击数量也就越多。

这种转变将从根本上改变防御的经济学逻辑。Ross警告道，当攻击者获得近乎无限的侦察和实验能力时，企业将无法再依赖被动式安全防护。很快，指望漏洞和配置错误不被发现将不再是一种可行的策略——说实话，这正是如今大多数企业正在依赖的策略，而且目前还勉强奏效。

Ross预测，随着人工智能模型变得更强大、更便宜，企业将被迫开始解决许多以前可以藏着掖着的问题。当这种情况发生时，我们将看到暴露面管理、身份安全、基础设施安全以及其他许多企业安全基础领域出现大规模增长。

此外，Ross还提到，人工智能还会通过大幅增加需要保护的攻击面来扩大网络安全市场。无论企业最终是自行部署AI智能体，还是购买现成工具来满足不同使用场景，所有的副驾驶工具、自动化工作流和模型集成，都在显著扩大攻击面。无论这些问题是由现有解决方案解决，还是会出现新的供应商，总有人需要保护AI部署的安全。这反过来又会创造更多的网络安全需求。

历史早已写下相似的剧本

“如果你仍对网络安全行业能否穿越这波AI冲击心存疑虑，不妨回头看看，我们早已见证过几乎一模一样的行业剧本。”回想云计算普及初期，当时几乎所有人都笃定，超大规模云服务商终将“一劳永逸地解决安全问题”。标准化的基础设施、托管式补丁更新、集中化的管控体系，看似理应大幅降低风险、简化运维流程。

但现实却走向了完全相反的方向：云计算彻底消除了软件构建与部署的摩擦，这种前所未有的加速重构了整个技术生态。开发周期从数月压缩至数天甚至数小时，基础设施变得转瞬即逝，任何团队都能绕过集中审批一键创建资源。这种速度本身就催生了一系列全新的安全难题：CI/CD流水线打开了软件供应链攻击的缺口，基础设施即代码（IaC）引发了大规模配置漂移，容器化部署带来了运行时可见性盲区，身份边界更是在人员、工作负载与API之间呈指数级扩张。

云计算不仅凭空创造了云安全态势管理（CSPM）这一全新赛道，更带动了云基础设施权限管理（CIEM）、容器运行时安全、密钥与凭证管理、SaaS应用安全、零信任网络等一系列周边市场的井喷式增长。仅由云计算推动的SaaS普及浪潮，就将企业核心数据分散到了数百家第三方供应商手中，迫使整个行业彻底重构访问控制、数据治理与第三方风险管理体系。

Ross坚信，人工智能将复刻完全相同的发展轨迹，而且速度会更快、影响会更深远。如今，人工智能已经将软件开发与流程自动化的成本压到了历史最低点，这意味着未来企业会部署更多系统、集成更多工具、自动化更多核心工作流。但硬币总有两面：每一个AI助手都会成为拥有系统权限的新身份，每一次模型集成都会开辟一条潜在的数据泄露通道，每一个自动化工作流都会成为攻击者可利用的新入口。

正如云计算催生了一整套围绕可见性、安全态势与身份扩散的产品体系，人工智能也将引爆两大维度的安全需求：一类是我们如今已经能清晰预见的——比如模型治理、智能体身份安全、数据血缘保护等当下热议的新兴领域；另一类则是我们此刻完全无法想象的、由技术演进带来的全新挑战。

在Ross看来，云计算留给行业最深刻的启示是：技术创新带来的速度提升，从来不会减少安全需求，反而会通过二阶、三阶连锁反应，将这些需求成倍放大。人工智能不会杀死网络安全，它只会将安全的边界，拓展到我们如今才刚刚开始触及的全新维度。而当这一切成为现实时，整个网络安全市场必将迎来新一轮的爆发式增长。

“随性编码”也无法取代专业安全能力

除了“AI终结安全行业”的论调，Ross还注意到行业内流传着另一个普遍误区：未来企业可以借助AI的强大能力“随性编码”，自行搭建所有安全工具，从而彻底淘汰专业安全厂商。在此，Ross不想重复此前已经论证过的逻辑，只想分享他不久前在领英上发布的一段观点。

来源：Ross的领英账号

时至今日，Ross依然完全认同这段话的每一个字：人工智能的革命性，在于它极大提升了我们构建和发布产品的效率，但效率提升绝不等于可以取代企业赖以生存的核心底层系统。大型企业采购的从来不是“功能清单”，而是“确定性结果”。在购买软件产品的同时，他们更是在购买一系列不可或缺的无形资产：经过市场验证的可靠性、内置的纵深安全防护、跨司法管辖区通过复杂审计的合规性、大规模场景下的运营弹性，以及在最危急时刻能够兜底的专业合作伙伴。

如果这些无形资产无足轻重，绝大多数企业早就全面转向开源了——毕竟如今几乎每一家市值十亿美元级的商业软件公司，市面上都能找到功能相近的开源替代品。

这些无形资产的价值，绝不会因为代码生成速度的提升而贬值；恰恰相反，Ross认为其重要性会迎来指数级提升。当所有人都能以同样的速度发布软件时，客户对合作伙伴的信任度，就成了最核心的竞争壁垒。

安全的本质，永远是一场不断抬高攻击者门槛的持久战。每当我们的防御能力前进一步，攻击者就会转向寻找新的突破口。即便我们彻底根除了某一类已知漏洞——事实上，过去几十年我们一直在做这件事——整个技术生态也会持续演进，攻击者总能像过去一样，发现新的可利用弱点。

人工智能带给安全行业的真正机遇，不在于幻想它能让现有底层基础设施彻底过时——这显然不现实，也不在于指望靠“随性编码”就能搞定所有安全工具——在大规模企业场景下，这只会被无穷无尽的复杂性和边缘情况拖垮。真正的机遇在于，用人工智能去驯服那些一直以来让安全团队苦不堪言的运营复杂性。

Claude代码安全功能仍将造成附带损害

Ross在本文中已多次强调，网络安全行业的整体基本面依然稳固。但即便如此，Claude代码安全功能的横空出世，也必然会给行业带来不可避免的附带损害。如果一家顶尖人工智能实验室，能够在开发者编写代码的同一原生环境中，深度理解整个代码库的逻辑、精准检测潜在漏洞并直接生成可落地的补丁方案，那么“我们帮你扫描代码并提供修复建议”这种独立的商业价值主张，将瞬间变得岌岌可危。

Ross指出，静态应用安全测试（SAST）本就是人工智能实验室最顺理成章的业务延伸方向。道理再简单不过：谁能生成代码，谁就天然具备承接代码测试、代码安全等下游工作的能力。这对安全团队和开发工程师而言无疑是重大利好——安全团队再也不用追着开发人员反复催促漏洞修复，工程师也无需分心钻研复杂的安全规范，直接采纳AI生成的自动修复方案即可。

一旦漏洞检测与自动修复能力深度嵌入开发工作流，应用安全市场将迅速进入商品化阶段——Ross坦言，这一趋势其实已经初现端倪。当编写代码的平台本身就能分析、推理并修复代码问题时，许多传统应用安全工具赖以生存的差异化优势，比如更精准的检测引擎、更智能的风险优先级排序、更美观清晰的报告，都将迅速失去吸引力。

Ross观察到，最近几家以代码扫描工具为核心业务的应用安全公司纷纷发声，声称“Claude代码安全功能对整个行业是件好事”。对此他直言不讳：这些公司内部恐怕没有一个人会真的相信这对他们自身的业务有利。但他同时也承认，这些公司说得没错，这对整个网络安全行业的长远发展而言，确实是一件好事。

结语

最后，Ross明确表示，他并不认为Claude代码安全功能会让应用安全这个领域彻底消失，只是其存在形态将发生根本性转变。如果代码的基础质量得到普遍提升，绝大多数常见类型的漏洞都能在拉取请求合并前被预防或自动修复，那么那些单纯围绕“代码漏洞识别与自动修复”创立的应用安全公司，就必须在董事会层面展开严肃的战略复盘与转型讨论了。

Ross坦言自己并非应用安全领域的专家，但他已经清晰地看到，尽管传统SAST扫描工具将逐渐式微，两类新型应用安全产品正在迎来快速发展期。一类是近年来崭露头角的新一代产品安全工具，比如Prime Security、Clover Security、Seezo等公司，Claude代码安全功能并不会对这类企业构成实质性威胁。另一类备受资本和市场关注的是运行时安全解决方案，比如Miggo、Oligo Security、Raven等。

“归根结底，Claude代码安全功能带来的不是应用安全领域的消亡，而是行业的迭代升级——淘汰的是单一化、同质化的传统工具，催生的是更具针对性、更贴合企业实际需求的新型安全解决方案，而这也正是AI技术赋能网络安全行业的核心价值所在。”

原文地址：

https://ventureinsecurity.net/p/anthropic-wont-kill-cyber-but-it

作者：

Ross Haleliuk 网络安全领域撰写者

安在企业（用户）会员服务

助力全生命周期安全意识提升

“安在企业（用户）会员服务”，为所有企业提供一站式的网络安全支援服务，包括意识宣传、培训教育、效果检验、专业圈子、知识社区、专业培训、参选评奖等多个板块，助力网安从业者高效履职，实现个人与企业安全能力同步升级。

小投入大防护！安在推出企业（用户）会员服务，点击标题阅读详情。

深度贴合企业不同规模、安全水平投入以及员工安全意识的不同发展阶段，特设5级安全意识培训服务体系，为企业用户量身匹配适配的安全意识解决方案。

本文展示所有类型素材，均包含在企业（用户）会员服务中，如有意向，欢迎垂询。

加入诸子云知识星球

获取更多“安全意识资料”和“网络安全报告”

滑动查看下一张图片

**END

点击这里阅读原文**

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在管窥蠡测管窥蠡测《Claude代码安全功能，究竟会拖垮哪些安全公司？》