血洗网络安全行业的Claude Security长啥样？

Claude Security来了！

蒸发安全公司百亿市值，这可能是上半年安全圈最值得关注的AI产品。

Hedgineer对Claude Security做了一次实测。

结果，超出了所有人的预期。

由Claude Opus 4.7全程驱动

传统的SAST扫描器是什么？ 不过是一堆正则表达式的集合。

它们对着 CVE 数据库逐条比对，只能发现大部分前人发现过的问题。

Claude Security 完全不同。

它由 Claude Opus 4.7 驱动，目前无法调节。（小编严重怀疑是为了让客户花更多的钱，毕竟Opus更贵。。。）

它会先为整个代码库构建完整的依赖关系。

识别所有可能的攻击入口点。

判断哪些值得深入调查。

然后，它会p派生出子研究员 ，并行挖掘潜在的风险。

零门槛启动

传统的企业级安全工具需要什么？

安装Agent。配置 CI 流水线。编写 SARIF 格式转换器。对接各种内部系统。

往往一个团队需要花几个月的时间才能上线。

Claude Security 呢？这些都不需要。

管理员在后台勾选一下。

所有人就都能用了。

启动一次扫描只需要填五个字段：仓库、分支、扫描范围、模型、扫描强度。

仅此而已。

安全闭环，人类出局

这才是Claude Security最离谱的地方。

传统安全工具的工作流： 扫描 → 生成漏洞报告 → 开发者阅读报告 → 理解漏洞 → 编写修复代码 → 提交PR

Claude Security的工作流： 扫描 → 点击"创建修复" → 自动提交PR

看到了吗？

之前需要跨团队，跨职能的合作。

Claude Security 把这一切都消灭了。

每个漏洞旁边都有一个Create fix按钮。

它会自动跳转到Claude Code Web

所有上下文已经预加载完毕：漏洞描述、影响范围、复现步骤、相关代码。

Claude会直接写出修复补丁。

然后，一键提交 PR。

人类甚至不需要打开IDE。

Claude Security效果如何？

Hedgineer测试团队用自己内部测试仓库 做了一次扫描。

Claude Security 发现的漏洞中，

有相当一部分不是单个文件的问题。

它们是多步攻击链。

漏洞不存在于任何一个单独的函数中。

存在于两个、三个甚至更多函数的交互方式里。

这是很多传统扫描器的盲区。

也是过去只有资深的安全研究员才能发现的问题。

现在，AI全部找了出来。

Hedgineer测试团队说：Claude Security给人的感觉不像一个代码检查工具，更像是一位工程师。

Claude的漏洞争议

就在Claude Security发布的一周后。

Anthropic自己的Claude Code，披露了两个高危安全漏洞。

Reddit上出现了一篇《为什么Mythos之后Claude Code还有安全漏洞？》的帖子。

提出了一个灵魂拷问：

如果Mythos真的像Anthropic宣传的那样强大。

足以引发全球混乱的网络攻击

为什么连Anthropic自己的软件，都还存在低级的安全漏洞？

Mythos应该能让Anthropic的代码变得坚不可摧才对。

一些人甚至开始质疑整个AI安全叙事：

怀疑，这就是一场彻头彻尾的营销噱头。

自动运行，自动通知

手动扫描自然不是终点。

Claude Security 支持定时扫描。

每天。

每周。

自动运行。

发现新漏洞，自动通过 webhook 发送到 Slack。

工程师收到通知。

点击链接。

点击 "Create fix"。

点击 "Merge PR"。

结束。

一个不需要人类思考的闭环。

它会永远运行下去。

它会永远盯着你的代码。

它会在发现漏洞的时候，把它修好。

只靠AI，真的能做好安全吗？

看了Hedgineer的测试，大家觉得Claude Security是否超出预期呢？

小编觉得，对于中大型企业。

Claude Security还远不是现有安全产品的替代。

它更适合作为企业现有SAST工具的补充，尤其适合发现逻辑漏洞。

功能的最大差异点是"发现 + 修复在同一界面"的自闭环设计。

需要企业是Claude Native的，中大型企业几乎不可能。

而只靠AI，真的能保障安全吗？

显然是不够的。即使软件安全也只是企业安全的一部分，不是全部。

Anthropic上周在HackerOne发布了漏洞赏金计划

Anthropic的安全，尚且需要人类的智慧。

大家还会把安全团队替换成AI吗？

参考资料： https://www.hedgineer.io/content/claude-security/ https://www.reddit.com/r/BetterOffline/comments/1t75r9h/why_is_claude_code_still_having_security/

声明：本文来自玄月调查小组，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。