Anthropic 推出 Claude Security，AI 漏洞扫描能否助力开发者高效修复漏洞？

1. ZDNET 核心要点

AI 漏洞扫描正融入开发者工作流程，Claude Security 能将扫描结果转化为优先级修复指导，最大的挑战是防止这些工具落入攻击者手中。

2. 新产品发布

Anthropic 宣布推出新的网络安全防御产品 Claude Security。目前，该产品已面向企业级 Claude 用户进行公开测试，不久后也将向 Claude Team 和 Max 级用户开放。与此同时，苹果、谷歌和微软加入了 Anthropic 的 "玻璃翼项目"（Project Glasswing），旨在保护全球最关键的软件。Claude Security 是 Anthropic 网络防御工具箱中的又一工具，它借助 Claude Opus 4.7 模型，为安全团队提供了 "扫描代码库漏洞并生成针对性补丁" 的方法。

3. 项目背景

本月早些时候，Anthropic 推出了 "玻璃翼项目"，这是一个类似人工智能领域 "曼哈顿计划" 的项目，旨在发现全球开源软件基础设施中的漏洞。该项目使用了 Anthropic 名为 Mythos 的模型，这个模型被认为极其危险，不会向公众发布，仅与 "玻璃翼项目" 的参与者共享，其中包括亚马逊云服务、Anthropic、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux 基金会、微软、英伟达和帕洛阿尔托网络等昔日竞争对手。

4. 漏洞扫描

“玻璃翼项目”和 Claude Security 的核心都是漏洞扫描。大多数网络攻击始于攻击者利用漏洞，因此，如果防御者能找到并修复这些漏洞，恶意攻击者的攻击面就会缩小。就像《星球大战》中，反叛军拿到死星设计图后找到死星漏洞并攻击一样，Anthropic 的新工具 Claude Security 希望在攻击者之前找到代码库中的漏洞。在现实世界中，软件存在漏洞不仅为攻击者提供可乘之机，还可能导致软件用户遇到故障。作者早在 9 月就首次使用 OpenAI 的 Codex 进行漏洞扫描，当时它失败了，因为无法处理项目级别的上下文。但将其与 ChatGPT 的深度研究功能结合使用时，发现了安全软件中的关键漏洞并进行了修复。此后，Codex 和 Claude Code 在处理单上下文代码量方面有所提升，但都无法一次性处理整个大型代码库。不过，Mythos 可以做到，它甚至能从宏观层面处理代码库之间的关系，但即使通过企业级付费，公众也无法使用该模型。上个月，OpenAI 推出了 Codex Security，能提供更大范围的上下文分析，现在 Claude Security 也能进行类似的大规模扫描，它能够扫描整个代码仓库或特定目录。据 Anthropic 称，“Claude 能像安全研究员一样分析代码，追踪数据流、阅读源代码，并找出文件和模块间组件的交互方式”。

5. 漏洞扫描 AI 带来的重大漏洞

漏洞扫描器有助于防御者进行防御，但也会帮助攻击者找到攻击目标。例如，微软和 OpenAI 都报告称，来自中国、伊朗、俄罗斯和朝鲜的国家支持行为者利用大语言模型研究各类公司和网络安全工具、调试代码、生成脚本，并创建可能用于钓鱼和鱼叉式网络钓鱼活动的内容。Anthropic 正努力防止其模型被用于类似恶意目的。自 Opus 4.7 发布以来，该公司新增了网络安全防护措施，能自动检测并阻止暗示禁止或高风险网络安全用途的请求。例如，Opus 4.7 现在会阻止“几乎总是用于恶意目的，且几乎没有合法防御用途的活动，如大规模数据泄露或勒索软件代码开发”。对于像漏洞利用或进攻性安全工具开发这类有合法防御用途的活动，Opus 4.7 也会阻止，但获得 Anthropic 网络验证计划批准的网络安全研究人员可以使用该模型在这个受限的灰色地带发挥 AI 能力。实际上，那些获得 Anthropic 安全许可的人员可以在工作中使用 Opus 4.7 进行被禁止的安全活动。作者是 Anthropic 网络验证计划的授权成员，因此在从事网络战、网络防御和反恐工作时，可以使用这些功能。

6. 让漏洞可操作

漏洞扫描的问题在于，它可能会产生大量无用信息，开发者可能会花费大量时间追查无关紧要的小故障，而不是修复可能导致重大灾难的漏洞。Claude Security 引入了“多阶段验证流程，在结果到达分析师之前，会独立验证每个发现，并且每个结果都会有一个置信度评级”。该 AI 能够详细解释每个“发现”，包括置信度、严重程度、可能影响、复现步骤和建议修复方法。这使得开发者可以优先处理那些高置信度、影响大、严重棘手的问题，而不必在小问题上浪费时间。基于这些发现，Claude Security 让防御者能够在 Claude Code 中打开代码并结合上下文查看，这样他们可以直接从发现结果中查看并修改需要处理的区域。Anthropic 还进行了一系列工作流程优化，增加了定期扫描功能以实现持续覆盖，允许用户记录理由后忽略某些发现，并支持将结果导出为 CSV 和 Markdown 格式，以便将发现集成到现有的跟踪和审计系统中。

7. 保障安全

Claude Security 的订阅者可以与技术和安全合作伙伴合作。Anthropic 特别指出，包括 CrowdStrike、帕洛阿尔托网络、SentinelOne、TrendAI 和 Wiz 在内的技术合作伙伴正在将 Opus 4.7 集成到他们的网络安全平台中。该公司还与包括埃森哲、波士顿咨询集团、德勤、印孚瑟斯和普华永道在内的安全合作伙伴合作，这些合作伙伴正在部署 Claude Security 以帮助企业加强安全态势。

8. 思考与互动

你认为 AI 漏洞扫描在发现危险漏洞方面更有用，还是在帮助开发者更快确定修复优先级方面更有用呢？欢迎在下方评论区告诉我们。你可以在社交媒体上关注作者日常项目的更新情况。请务必订阅每周更新时事通讯，并在 Twitter/X（@DavidGewirtz）、Facebook（Facebook.com/DavidGewirtz）、Instagram（Instagram.com/DavidGewirtz）、Bluesky（@DavidGewirtz.com）和 YouTube（YouTube.com/DavidGewirtzTV）上关注作者。

9. 人工智能相关内容

- 作者尝试了一款本地、开源且完全免费的 Claude Code 替代工具，它是如何工作的
- 如何立即从 Windows 11 中移除 Copilot AI
- AI 正在悄然自我毒害，推动模型走向崩溃，但有解决办法
- 如何识别 AI 图像：6 个表明其为虚假图像的明显迹象以及作者常用的免费检测工具