关注CAIE,国内头部AI人才认证、培训体系,助你在职场升职加薪。
今天凌晨2点,著名大模型平台Anthropic搞了个大动作,上线了Claude Code Security。
简单来说,这东西就是个AI代码保安,能帮你扫代码库里的安全漏洞,还会给你现成的补丁建议,最实用的是,那些传统工具查不出来的漏洞,基本上都能搞定。
例如,一些存在几十年的老BUG,人类专家都没找出来,Claude Code Security轻松找出来500个,这效率确实有点吓人,比世界最顶尖人类黑客还厉害!
对于这个新产品,网友表示,Claude太狠了,每周都在砸掉一个又一个行业的饭碗。
说实话,添加 Claude 代码安全工具来扫描漏洞和修复问题,真的改变了游戏规则。
虽然人工修复效果会更好,但提出漏洞建议可以加快修复效率。 给所有开发者一个好消息!
大家都在谈论AI编写代码的速度,却没人谈论它编写的代码漏洞更多。这才是正确的应对之道。
在产品发布阶段进行安全扫描,可以在代码发布前发现漏洞,而不是发布后。防御机制应该从一开始就与 Claude Code 同步启动。
说实话,我一直在等这个功能。安全审核是我用 Claude 写代码时最大的瓶颈,每次上线前都得手动检查所有内容。
让写代码的同一个模型同时发现自身的盲点,这才是关键思路。终于把这个闭环补上了。
平时咱们用的静态代码分析,其实就是一种自动化安全测试,原理特别简单,就是把代码和已知的漏洞模式做对比,对上了就提示有问题。
这种方式对付常见问题还行,但遇到业务逻辑有缺陷、访问控制失效这种复杂点的漏洞,就很容易漏掉,跟漏网之鱼似的。
Claude Code Security就不一样了,它不只是死记硬背已知漏洞,更像一个有经验的安全老炮,会逐行解读代码、分析逻辑。
它能看懂代码各个组件之间是怎么交互的,也能追踪数据在整个应用里是怎么流转的,靠着这份能力,那些传统工具查不到的复杂漏洞,它都能精准捕捉到。
而且它特别严谨,查出来的结果不会直接丢给你就完事。在交给分析人员之前,会经过好几轮验证,相当于自己再检查一遍,把那些假阳性结果都过滤掉,避免咱们做无用功。
同时它还会给每个漏洞标上严重等级,咱们能一眼看出哪些漏洞最紧急,先处理最要命的,效率能提一大截。
验证通过的漏洞,都会显示在它的管理面板里,咱们在面板上就能看清楚漏洞详情、检视它给的补丁建议,最后决定要不要修复。
这里也得说一句,有些漏洞单看源代码没法全面判断,所以Claude还会给每个结果标上置信度,供咱们参考。
最重要的是,所有修复操作都得咱们人工审批才能执行,它只负责找问题、给方案,最终拍板的还是咱们自己,不用怕AI乱操作。
可能有人会问,这个新功能靠谱吗?其实它不是突然冒出来的,Anthropic在Claude的网络安全能力上,已经研究了一年多了。
为了让它足够能打,他们的前沿红队做了很多压力测试,比如让Claude去参加网络安全夺旗赛,跟太平洋西北国家实验室合作,探索AI在关键基础设施防护上的用法,还一直在优化它找漏洞、修漏洞的能力。
这些测试也没白费,Claude的安全防护能力肉眼可见地提升。就拿本月初发布的Claude Opus 4.6来说,他们团队用它在生产环境的开源代码库里,一下子就找出了500多个漏洞。
说出来你们可能不信,这些漏洞已经被专家审核了几十年,愣是没人发现,相当于藏了几十年的隐患,被AI一下子挖出来了。
现在的网络安全领域,正处在一个关键的转折点。相信大家也能感觉到,AI在找那些长期隐藏的代码漏洞和安全问题上,效率比人工高太多了。
估计用不了多久,全球大部分的代码,都会靠AI来做安全扫描,这会成为行业常态。
当然黑客也会用AI,他们能靠AI更快找到系统漏洞,发起攻击。但反过来想,咱们安全防护者只要动作够快,也能靠AI抢先一步找到漏洞、打上补丁,把被攻击的风险降到最低。
从今天开始,企业版和团队版客户可以申请Claude Code Security预览版了。这场AI安全攻防战,咱们手头又多了一把利剑。
想转型AI,不被时代淘汰
CAIE注册人工智能工程师认证
岗位能力 × AI工具 ×转型方向 × 场景落地 = 新AI职业价值
扫码免费领取《AI工程师入门学习指南》
热门跟贴