凌晨两点,安全工程师盯着屏幕上的告警,发现一个藏在代码库里三年的漏洞。传统工具没扫出来,但这款安全工具标记了它——还附上了补丁。这不是未来场景,是Anthropic今天公测的新产品已经干成的事。
从研究预览到公测,改了什么
这款工具今年2月还叫Claude Code Security,只是研究预览版。Anthropic今天宣布进入公测,纳入企业订阅体系,专门服务大型组织。
公测版加了三个功能:定时扫描、带备注的漏洞忽略、逗号分隔值和Markdown格式导出。定时扫描解决持续监控的问题;备注功能让团队记录"为什么忽略这个告警",方便后续审计;导出格式对接现有审计系统,不用手工搬运数据。
这些改动来自预览阶段的反馈。Anthropic说,已有数百家组织用这个工具发现和修复生产代码中的漏洞,包括一些传统工具多年没扫出来的问题。
旗舰模型怎么扫描:不是匹配模式,是模拟人脑
该产品的核心是Opus 4.7,Anthropic的旗舰模型。但它的工作方式跟传统安全工具完全不同。
传统工具靠已知漏洞特征库匹配,这款工具则是模拟安全研究员的思维路径:追踪数据流、阅读源代码、分析代码组件和文件之间的交互,然后综合判断网络效应。简单说,它在"理解"代码怎么跑,而不是"查找"有没有黑名单上的坏东西。
每个发现都会带置信度评分,模型会同步输出推理过程、置信因素、漏洞可利用概率、分级因素、修复方案有效性评估。用户能直接打开代码会话,在上下文里应用补丁,不用等安全团队和工程团队来回扯皮几天。
Project Glasswing:另一条线的布局
这款防御性产品不是Anthropic在安全领域的唯一动作。公司最近还推出了Project Glasswing,用的是Mythos模型——这模型本来不是为安全设计的,但发现漏洞的能力特别强。
Glasswing拉了一堆技术伙伴进来,目标是保护全球的生产软件。Anthropic说,客户现在可以跟基于其安全能力构建的合作伙伴一起工作。具体名单包括:CrowdStrike、Palo Alto Networks、SentinelOne、Trend Micro的Trend.ai、Wiz。这些厂商把Opus 4.7集成进了自己的网络安全平台。
两条线并行:这款产品是Anthropic自己的防御性工具,Glasswing是生态合作。一个卖订阅,一个建联盟。
为什么现在推公测:AI安全工具的窗口期
Anthropic的安全产品化不是突然转向。从2月研究预览到4月公测,节奏很快。背后是AI代码能力的成熟,也是安全市场的刚需——漏洞发现的速度永远追不上代码提交的速度,人力审计已经成为瓶颈。
该产品的定位很清晰:不是替代安全团队,是压缩"发现-修复"的周期。传统流程里,扫描工具报疑似漏洞,安全工程师复核,确认后提给开发,开发排期修复,测试验证,上线。这个链条动辄以天计。这款新工具把最后三步——修复方案生成、上下文应用、直接提交——压缩到一个会话里完成。
但这里有个隐含前提:模型生成的补丁得足够可靠。Anthropic的解法是给足可解释性——置信度、推理链、利用概率、修复有效性评估,全摊开来。让安全工程师能快速判断"这个要不要信",而不是盲目采纳或全盘否定。
生态合作的算盘
五家安全厂商接入Opus 4.7,这个名单有意思。CrowdStrike和SentinelOne是端点安全的头部,Palo Alto Networks覆盖网络和云安全,Wiz是云安全的新贵,Trend Micro是老牌的亚太势力。Anthropic没有自己铺销售网络,而是借别人的渠道触达客户。
对合作伙伴来说,集成Opus 4.7是产品升级的故事;对Anthropic来说,这是模型能力变现的B端路径。企业订阅模式需要大型客户,安全场景是切入IT预算的硬需求。
更值得看的是Glasswing的"numerous technology partners"表述——名单显然还会拉长。安全是个碎片化市场,没有一家能通吃,联盟策略比单打独斗更现实。
热门跟贴