Anthropic 于 2026 年 4 月 30 日(美国时间)发布了安全特化 AI 工具「Claude Security」的公测(Public Beta)版本。该工具面向 Claude Enterprise 客户提供,可对企业代码库进行扫描,发现潜在脆弱性并给出修复建议。Anthropic 表示,Claude Security 基于其当前最强的通用模型「Claude Opus 4.7」构建。
Anthropic 强调,此次发布并不仅仅是为产品增加一个代码扫描功能。随着 AI 在安全领域的应用不断深入,从发现漏洞到开发利用代码的时间正在被大幅压缩。Anthropic 认为,在一个“找到可直接运行的攻击代码会越来越容易”的未来,企业必须同步提升自身的防御能力。
AI 加速漏洞发现,防御方也需要“专家级”能力
Anthropic 目前正向部分合作伙伴提供一款名为「Claude Mythos Preview」的前沿模型。官方称,该模型在软件脆弱性的发现与利用两方面,已经能够媲美甚至超越人类高级安全专家。这一模型属于其网络安全项目「Project Glasswing」的一部分。
不过,Claude Security 并不限于 Project Glasswing 的试验范畴,而是被定位为 Anthropic 更广泛网络安全布局中的一环。除了向少数合作伙伴开放像 Claude Mythos Preview 这样的前沿模型外,Anthropic 还希望通过通用可用的 Claude Opus 4.7,让更多企业能够在自身代码库中实际落地 AI 安全能力。
像安全研究员一样读代码:从发现到修复一站式完成
Claude Security 可通过 Claude.ai 侧边栏或「claude.ai/security」入口使用。用户选择需要扫描的代码仓库后,可按需限定扫描的目录或分支,然后直接启动扫描。企业无需额外开发 API 集成或自定义代理,只要使用 Claude Enterprise,管理员即可在管理控制台中为组织启用该功能。
Anthropic 表示,Claude Security 并非只是在代码中“搜索已知漏洞模式”,而是尝试像安全研究员那样真正阅读代码。它会跨多个文件和模块理解组件之间的关系,追踪数据流动路径,在此基础上定位源代码中的潜在问题。
扫描完成后,Claude 会针对每一条发现给出详细说明,包括:漏洞是否真实存在的置信度、严重程度、可能影响范围以及复现步骤等。同时,它还会生成有针对性的修复指引,用户可以直接在 Claude Code on the Web 上继续进行修复工作。
关键指标从“发现多少”转向“修好多快”
Claude Security 早期曾以「Claude Code Security」之名,以限量研究预览的形式提供。过去两个月中,已有数百家企业在生产环境中试用该工具,Anthropic 也基于这些反馈对产品进行调整,形成此次公测版。
在产品设计上,Anthropic 重点关注三项指标:检测质量、从扫描到修复的整体耗时,以及持续覆盖能力。尤其在检测质量方面,Anthropic 指出,安全团队真正需要的是“值得投入精力处理的发现”,而不是海量噪音。
为此,Claude Security 在结果呈现给分析人员之前,会通过多阶段验证流水线对每一项发现进行复核,以降低误报率,并为每条结果附上置信度评分。
部分早期用户反馈称,过去需要在安全团队与工程团队之间往返沟通数日才能完成的工作,如今有时可以在一次集中操作中,从扫描直接推进到补丁落地。Anthropic 因此强调,在安全运营中,比“发现了多少漏洞”更重要的指标,是“从发现到修复所需的时间”。
支持定期扫描与集成导出,融入日常安全运营
在此次公测版中,Claude Security 新增了一系列面向持续安全运营的功能,而不仅仅是一次性扫描。
具体包括:支持定期自动扫描、针对特定目录的定向扫描、在记录原因的前提下驳回某条检测结果、将结果导出为 CSV 或 Markdown 格式,以及向 Slack、Jira 等工具发送通知。通过方便地将检测结果导入现有追踪与审计系统,Claude Security 被设计为可自然融入安全团队的日常工作流。
这些功能表明,Claude Security 并非一个“演示性质”的 AI 功能,而是旨在真正嵌入企业的脆弱性管理流程和安全代码评审流程,成为生产级工具。
通过合作伙伴扩展:把 Claude 嵌入既有安全基座
Anthropic 不仅在 Claude Platform 上直接提供 Claude Security,还计划通过企业已经在使用的安全产品和服务,将 Claude 的能力嵌入现有体系。
在技术合作伙伴方面,CrowdStrike、Microsoft Security、Palo Alto Networks、SentinelOne、TrendAI、Wiz 等厂商将把 Opus 4.7 的能力集成进自家工具中。在服务合作伙伴方面,Accenture、BCG、Deloitte、Infosys、PwC 等咨询与服务机构,则会在脆弱性管理、安全代码评审和事件响应项目中,帮助客户部署集成了 Claude 的安全解决方案。
借此,企业既可以直接使用 Claude Security,也可以通过现有安全平台或服务合作伙伴,间接引入 Claude 的能力。Anthropic 的策略是:把前沿模型的防御能力带到防御方已经习惯使用的工作环境中。
未来将扩展至 Claude Team 与 Claude Max
目前,Claude Security 公测版已率先向 Claude Enterprise 客户开放。Anthropic 计划后续向 Claude Team 和 Claude Max 客户提供访问权限,使更多规模与类型的团队能够使用这一安全工具。
