AI在开源项目中发现500+漏洞：Claude Code Security研究预览版上线

利用人工智能扫描项目代码并查找漏洞已经是个比较流行的做法，相较于人类审核代码并寻找漏洞，人工智能在扫描代码并发掘漏洞的效率上要更高。

所以现在 Anthropic 推出用于研究安全漏洞的新工具 Claude Code Security，该工具目前以有限的研究预览版形式发布，仅支持通过网页访问该工具。

Claude Code Security 能够快速扫描代码库中的安全漏洞并推荐相应的软件补丁供人类审核，从而帮助团队发现并修复传统方法往往遗漏的安全问题。

Anthropic 在自己的生产环境中执行扫描，结果在使用的开源代码库中发现 500 多个安全漏洞，涉及漏洞的代码已经在人类社区审阅多次但都没有被发现，属于比较严重的安全隐患。

Claude Code Security 的工作原理：

静态分析被广泛应用于自动化安全测试，这种分析方法通常基于规则，即将代码与已知的安全漏洞模式进行匹配，从而快速发现常见问题，例如密码泄露或加密套件过时，但往往会忽略更复杂的漏洞，例如业务逻辑缺陷或访问控制失效。

Claude Code Security 不会扫描已知的模式，而是像人类安全研究人员一样读取和分析代码，了解组件如何交互、跟踪数据如何在应用程序中流动、捕获基于规则的工具遗漏的复杂漏洞。

每项发现都会经过多个阶段的验证流程然后才会提交给分析师，Claude 会重新审查每一项结果，力求证实或推翻自身的发现并过滤掉误报，此外每项发现都会被赋予不同的严重性评级，以便团队能够优先处理最重要的修复工作。

经过验证的发现会显示在 Claude Code Security 控制面板中，团队可以在此查看发现、检查建议的补丁并批准修复，由于这些问题通常涉及仅凭源代码难以评估的细微差别，Claude 还会为每个发现提供置信度评级。

所有操作最终都会交给人类审核，识别到问题并提出解决方案，但最终是否确认为漏洞、是否修复、如何修复全部都是由人类开发者控制。

前路漫漫：

对网络安全而言现在是一个关键时期，鉴于人工智能模型在发现长期隐藏漏洞和安全问题方面已经变得如此有效，Anthropic 预计在不久后的将来，全球相当大一部分代码都将由人工智能扫描。

攻击者也将利用人工智能以前所未有的速度发现可利用的漏洞，但行动迅速的防御者也能发现这些漏洞并及时修复从而降低攻击风险。

最后 Claude Code Security 目前仅面向部分用户提供，Anthropic 也鼓励开源项目的开发者申请免费快速访问权限来使用这个功能审查代码。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/