Anthropic 推出 Claude Security，AI 漏洞扫描能否助力开发者高效修复漏洞？

1. ZDNET 核心要点AI 漏洞扫描正融入开发者工作流程Claude Security 能将扫描结果转化为优先级修复指导最大的挑战是防止这些工具落入攻击者手中。2. 新产品发布Anthropic 宣布推出新的网络安全防御产品 Claude Security。目前该产品已面向企业级 Claude 用户进行公开测试不久后也将向 Claude Team 和 Max 级用户开放。与此同时苹果、谷歌和微软加入了 Anthropic 的 玻璃翼项目Project Glasswing旨在保护全球最关键的软件。Claude Security 是 Anthropic 网络防御工具箱中的又一工具它借助 Claude Opus 4.7 模型为安全团队提供了 扫描代码库漏洞并生成针对性补丁 的方法。3. 项目背景本月早些时候Anthropic 推出了 玻璃翼项目这是一个类似人工智能领域 曼哈顿计划 的项目旨在发现全球开源软件基础设施中的漏洞。该项目使用了 Anthropic 名为 Mythos 的模型这个模型被认为极其危险不会向公众发布仅与 玻璃翼项目 的参与者共享其中包括亚马逊云服务、Anthropic、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux 基金会、微软、英伟达和帕洛阿尔托网络等昔日竞争对手。4. 漏洞扫描“玻璃翼项目”和 Claude Security 的核心都是漏洞扫描。大多数网络攻击始于攻击者利用漏洞因此如果防御者能找到并修复这些漏洞恶意攻击者的攻击面就会缩小。就像《星球大战》中反叛军拿到死星设计图后找到死星漏洞并攻击一样Anthropic 的新工具 Claude Security 希望在攻击者之前找到代码库中的漏洞。在现实世界中软件存在漏洞不仅为攻击者提供可乘之机还可能导致软件用户遇到故障。作者早在 9 月就首次使用 OpenAI 的 Codex 进行漏洞扫描当时它失败了因为无法处理项目级别的上下文。但将其与 ChatGPT 的深度研究功能结合使用时发现了安全软件中的关键漏洞并进行了修复。此后Codex 和 Claude Code 在处理单上下文代码量方面有所提升但都无法一次性处理整个大型代码库。不过Mythos 可以做到它甚至能从宏观层面处理代码库之间的关系但即使通过企业级付费公众也无法使用该模型。上个月OpenAI 推出了 Codex Security能提供更大范围的上下文分析现在 Claude Security 也能进行类似的大规模扫描它能够扫描整个代码仓库或特定目录。据 Anthropic 称“Claude 能像安全研究员一样分析代码追踪数据流、阅读源代码并找出文件和模块间组件的交互方式”。5. 漏洞扫描 AI 带来的重大漏洞漏洞扫描器有助于防御者进行防御但也会帮助攻击者找到攻击目标。例如微软和 OpenAI 都报告称来自中国、伊朗、俄罗斯和朝鲜的国家支持行为者利用大语言模型研究各类公司和网络安全工具、调试代码、生成脚本并创建可能用于钓鱼和鱼叉式网络钓鱼活动的内容。Anthropic 正努力防止其模型被用于类似恶意目的。自 Opus 4.7 发布以来该公司新增了网络安全防护措施能自动检测并阻止暗示禁止或高风险网络安全用途的请求。例如Opus 4.7 现在会阻止“几乎总是用于恶意目的且几乎没有合法防御用途的活动如大规模数据泄露或勒索软件代码开发”。对于像漏洞利用或进攻性安全工具开发这类有合法防御用途的活动Opus 4.7 也会阻止但获得 Anthropic 网络验证计划批准的网络安全研究人员可以使用该模型在这个受限的灰色地带发挥 AI 能力。实际上那些获得 Anthropic 安全许可的人员可以在工作中使用 Opus 4.7 进行被禁止的安全活动。作者是 Anthropic 网络验证计划的授权成员因此在从事网络战、网络防御和反恐工作时可以使用这些功能。6. 让漏洞可操作漏洞扫描的问题在于它可能会产生大量无用信息开发者可能会花费大量时间追查无关紧要的小故障而不是修复可能导致重大灾难的漏洞。Claude Security 引入了“多阶段验证流程在结果到达分析师之前会独立验证每个发现并且每个结果都会有一个置信度评级”。该 AI 能够详细解释每个“发现”包括置信度、严重程度、可能影响、复现步骤和建议修复方法。这使得开发者可以优先处理那些高置信度、影响大、严重棘手的问题而不必在小问题上浪费时间。基于这些发现Claude Security 让防御者能够在 Claude Code 中打开代码并结合上下文查看这样他们可以直接从发现结果中查看并修改需要处理的区域。Anthropic 还进行了一系列工作流程优化增加了定期扫描功能以实现持续覆盖允许用户记录理由后忽略某些发现并支持将结果导出为 CSV 和 Markdown 格式以便将发现集成到现有的跟踪和审计系统中。7. 保障安全Claude Security 的订阅者可以与技术和安全合作伙伴合作。Anthropic 特别指出包括 CrowdStrike、帕洛阿尔托网络、SentinelOne、TrendAI 和 Wiz 在内的技术合作伙伴正在将 Opus 4.7 集成到他们的网络安全平台中。该公司还与包括埃森哲、波士顿咨询集团、德勤、印孚瑟斯和普华永道在内的安全合作伙伴合作这些合作伙伴正在部署 Claude Security 以帮助企业加强安全态势。8. 思考与互动你认为 AI 漏洞扫描在发现危险漏洞方面更有用还是在帮助开发者更快确定修复优先级方面更有用呢欢迎在下方评论区告诉我们。你可以在社交媒体上关注作者日常项目的更新情况。请务必订阅每周更新时事通讯并在 Twitter/XDavidGewirtz、FacebookFacebook.com/DavidGewirtz、InstagramInstagram.com/DavidGewirtz、BlueskyDavidGewirtz.com和 YouTubeYouTube.com/DavidGewirtzTV上关注作者。9. 人工智能相关内容- 作者尝试了一款本地、开源且完全免费的 Claude Code 替代工具它是如何工作的- 如何立即从 Windows 11 中移除 Copilot AI- AI 正在悄然自我毒害推动模型走向崩溃但有解决办法- 如何识别 AI 图像6 个表明其为虚假图像的明显迹象以及作者常用的免费检测工具