文章总结： ClaudeCodeSecurity是ClaudeCode网页版新增的一项功能，能够扫描代码库中的安全漏洞，并推荐相应的软件补丁供人工审核。该功能旨在帮助团队发现并修复传统方法常常遗漏的安全问题。 综合评分： 80 文章分类： 代码审计,安全意识

claude code发布网络安全代码审计功能预览版

鬼麦子 鬼麦子

鬼麦子

2026年2月21日 08:36 陕西

在小说阅读器读本章

去阅读

原文链接

https://www.anthropic.com/news/claude-code-security

译文:

让防御者能够使用前沿网络安全能力

Claude Code Security是 Claude Code 网页版新增的一项功能，目前已推出有限研究预览版。它能够扫描代码库中的安全漏洞，并推荐相应的软件补丁供人工审核，从而帮助团队发现并修复传统方法常常遗漏的安全问题。

安全团队面临着一个共同的挑战：软件漏洞数量庞大，而人手却不足以应对。现有的分析工具虽然有所帮助，但作用有限，因为它们通常只关注已知的漏洞模式。要发现攻击者经常利用的那些隐蔽的、与上下文相关的漏洞，则需要经验丰富的研究人员，而他们往往还要应对日益增长的待处理漏洞。

人工智能正在改变这种局面。我们最近已经证明，Claude 可以检测到新型的高危漏洞。但是，帮助防御者发现和修复漏洞的相同能力，也可能帮助攻击者利用这些漏洞。

Claude Code Security 旨在将这种能力完全交到防御者手中，保护代码免受此类新型人工智能攻击。我们面向企业和团队客户发布有限的研究预览版，并为开源代码库的维护者提供快速访问权限，以便我们能够共同完善其功能，并确保其得到负责任的部署。

Claude Code Security 的工作原理

静态分析是一种广泛应用的自动化安全测试方法，它通常基于规则，即将代码与已知的漏洞模式进行匹配。这种方法可以发现常见问题，例如密码泄露或加密过时，但往往会忽略更复杂的漏洞，例如业务逻辑缺陷或访问控制失效。

Claude Code Security 不会扫描已知的模式，而是像人类安全研究人员一样读取和分析您的代码：了解组件如何交互，跟踪数据如何在您的应用程序中移动，并捕获基于规则的工具遗漏的复杂漏洞。

每项发现都会经过多阶段验证流程，然后才会提交给分析师。Claude 会重新审查每一项结果，力求证实或推翻自身的发现，并过滤掉误报。此外，每项发现还会被赋予严重性评级，以便团队能够优先处理最重要的修复工作。

经验证的发现会显示在 Claude 代码安全控制面板中，团队可以在此查看这些发现、检查建议的补丁并批准修复。由于这些问题通常涉及仅凭源代码难以评估的细微差别，Claude 还会为每个发现提供置信度评级。所有操作都必须经过人工审核：Claude 代码安全功能会识别问题并提出解决方案，但最终决定权始终在开发人员手中。

利用 Claude 进行网络安全

Claude 代码安全解决方案建立在对 Claude 网络安全能力一年多的研究之上。我们的前沿红队一直在系统地对这些能力进行压力测试：让 Claude 参加ctf，与太平洋西北国家实验室合作，试验如何利用人工智能保护关键基础设施，并不断提升 Claude 发现和修复代码中实际漏洞的能力。

因此，Claude 的网络防御能力得到了显著提升。利用本月初发布的Claude Opus 4.6 版本，我们的团队在生产环境的开源代码库中发现了 500 多个漏洞——这些漏洞尽管经过多年的专家审查，却数十年来一直未被发现。目前，我们正与维护者合作，进行漏洞分类和负责任的披露，并计划扩大与开源社区的安全合作。

我们也使用 Claude 来审查我们自己的代码，并且发现它在保护 Anthropic 的系统方面非常有效。我们开发 Claude Code Security 的目的是为了让更多人能够使用这些防御功能。由于它基于 Claude Code 构建，团队可以在他们已经使用的工具中查看审查结果并迭代修复。

前路漫漫

对于网络安全而言，这是一个关键时期。鉴于人工智能模型在发现长期隐藏的漏洞和安全问题方面已经变得如此有效，我们预计在不久的将来，全球相当大一部分代码都将由人工智能进行扫描。

攻击者将利用人工智能以前所未有的速度发现可利用的漏洞。但行动迅速的防御者也能发现这些漏洞并加以修复，从而降低攻击风险。Claude Code Security 是我们朝着构建更安全的代码库和提升整个行业安全基线这一目标迈出的重要一步。

入门

今天，我们面向企业版和团队版客户开放 Claude Code Security 的有限研究预览版。参与者将获得抢先体验资格，并可直接与我们的团队合作，共同完善该工具的功能。我们也鼓励开源维护者申请免费快速访问权限。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：鬼麦子 鬼麦子 鬼麦子《claude code发布网络安全代码审计功能预览版》