Anthropic 推出 Claude Code Security：AI 赋能代码审计，传统网安股应声下跌

在AI与网络安全交汇的关键时刻，Anthropic 正式推出了 Claude Code Security。这款构建于网页版 Claude Code 之上的新功能，目前正处于有限范围的研究预览阶段。它不再局限于基于规则的模式匹配，而是像人类安全专家一样“阅读”和“推理”代码，旨在帮助防御者发现并修复那些传统工具长期遗漏的深层漏洞。

申请地址：https://claude.com/contact-sales/security
官方介绍：https://claude.com/solutions/claude-code-security

这一举措不仅标志着代码审计范式的转变，更在资本市场引发了剧烈震荡：消息公布后，CrowdStrike、Okta 等传统网络安全巨头股价大幅下挫，市场似乎正在重新评估 AI 原生安全工具对现有格局的冲击力。

Anthropic 推出 Claude Code Security：AI 赋能代码审计，传统网安股应声下跌

核心痛点：人手不足与复杂漏洞的博弈

现代安全团队正面临一个严峻的困境：软件漏洞的数量呈指数级增长，而具备高级分析能力的安全研究人员却严重短缺。

传统工具的局限：现有的静态应用安全测试（SAST）工具大多基于规则库。它们擅长捕捉“低垂的果实”，如硬编码密码、过时的加密算法或已知的 CVE 模式。然而，面对业务逻辑缺陷、复杂的访问控制失效或上下文相关的竞争条件时，这些工具往往束手无策。
人工分析的瓶颈：要发现上述深层漏洞，需要经验丰富的人类专家进行代码审查。但在敏捷开发和持续交付（CI/CD）的高压下，安全团队积压的任务越来越多，难以对每一行代码进行深度审计。

Claude Code Security 的诞生，正是为了填补这一“自动化太浅，人工太慢”的空白。

工作原理：像人类专家一样思考

与传统扫描器不同，Claude Code Security 利用了大语言模型的推理能力，其工作流程模拟了高级安全研究员的思维路径：

1. 深度上下文理解

它不依赖正则表达式匹配，而是理解代码组件之间的交互关系，追踪数据在应用程序中的完整流动路径（Data Flow Analysis）。这使得它能够识别出那些分散在多个文件、依赖于特定执行顺序的逻辑漏洞。

2. 自我验证与去噪

误报（False Positives）是自动化工具最大的痛点。Claude Code Security 引入了多阶段验证机制：

自我反驳：在报告一个漏洞前，模型会尝试“攻击”自己的发现，试图证明该问题不存在或无法利用。
过滤误报：只有通过自我验证的发现才会被提交，大幅降低了噪音。
置信度评级：每个发现都附带置信度评分和严重性评级，帮助团队优先处理最高风险的问题。

3. 人机协作闭环

建议补丁：对于确认的漏洞，系统会生成针对性的代码补丁供人工审查。
最终决策权：Anthropic 强调，没有任何更改会自动应用。所有发现和建议都必须经过开发人员的审核与批准。AI 是助手，而非决策者。

实战成效：发现数十年未决的隐患

Claude Code Security 的能力并非纸上谈兵，而是建立在 Anthropic 过去一年多的红队研究基础之上：

开源社区的贡献：利用最新的 Claude Opus 4.6 模型，Anthropic 团队在生产级的开源代码库中发现了 500 多个此前未被发现的高危漏洞。这些代码库往往已经过了多年专家审查，但深层 Bug 依然潜伏了数十年。
内部防御验证：Anthropic 已将该工具用于审查自身系统的代码，证明其在保护关键基础设施方面的有效性。
合作生态：目前，Anthropic 正与开源社区维护者合作，进行负责任的漏洞披露和修复，计划进一步扩大这种安全协作模式。

市场反应：传统网安股的“至暗时刻”？

Claude Code Security 的发布不仅在技术圈引起轰动，更在资本市场掀起了波澜。周五，多家主流网络安全公司的股价出现显著下跌，市场似乎担忧 AI 原生工具将颠覆现有的安全软件商业模式。

公司/ETF	跌幅	备注
SailPoint	6.8%	身份治理领域受冲击明显
CrowdStrike	6.5%	端点安全巨头遭遇重挫
Cloudflare	>6%	Web 安全与 CDN 服务承压
Okta	5.7%	身份认证服务下滑
Zscaler	3.5%	零信任网络访问受影响
Global X Cybersecurity ETF	3.8%	行业整体情绪低迷，年内跌幅扩至 14%