Anthropic周三为其Claude代码平台推出自动化安全审查功能,该工具可扫描代码漏洞并提供修复建议。随着人工智能技术显著加速全行业软件开发进程,这一举措恰逢其时。
新功能发布之际,企业正以前所未有的速度依赖AI编写代码,这引发关键问题:安全实践能否跟上AI辅助开发的节奏?Anthropic的解决方案通过简单终端命令和自动化GitHub审查,将安全分析直接嵌入开发者工作流。
"开发者热爱Claude代码平台,喜欢用AI模型编写代码,这些模型已经非常出色且不断进步,"Anthropic前沿红队成员、安全功能开发负责人Logan Graham接受VentureBeat采访时表示,"未来几年全球代码量可能增长10倍、100倍甚至1000倍。只有利用模型自身来确保安全性,才能跟上这种发展速度。"
此次发布距Claude Opus 4.1升级版推出仅隔一天,新版模型在编码任务上表现显著提升。这一时间节点凸显AI公司间的激烈竞争——OpenAI即将发布GPT-5,而Meta据传以1亿美元签约奖金疯狂挖角人才。
AI代码生成为何引发重大安全问题
该安全工具直指软件行业日益严峻的挑战:AI模型编写代码能力越强,产出代码量暴增,但传统安全审查流程未能相应扩展。目前安全审查依赖人工工程师排查漏洞,这种模式根本无法匹配AI的代码生成速度。
Anthropic采用"以AI治AI"的解决方案,开发两款互补工具,利用Claude能力自动识别SQL注入风险、跨站脚本漏洞、认证缺陷和不安全数据处理等常见漏洞。
首款工具是/security-review终端命令,开发者提交代码前可快速扫描。"只需10次按键,就能启动Claude代理审查编写中的代码或代码库,"Graham解释道。系统会分析代码并返回高置信度漏洞评估及修复建议。
第二组件是GitHub Action,在开发者提交拉取请求时自动触发安全审查。系统会在问题代码处添加行内评论与安全建议,确保每次代码变更在上线前都经过基础安全审查。
Anthropic如何用自身漏洞代码测试安全扫描器
Anthropic已在其代码库(包括Claude代码平台本身)内部测试这些工具,实际验证了其有效性。公司分享了系统在生产环境前截获漏洞的具体案例。
某案例中,工程师为内部工具开发的功能启动了仅限本地连接的HTTP服务器。GitHub Action识别出可通过DNS重绑定攻击利用的远程代码执行漏洞,该漏洞在代码合并前即被修复。
另一案例涉及安全管理内部凭证的代理系统。自动化审查发现该代理存在服务端请求伪造(SSRF)攻击风险,促使团队立即修复。
"我们在内部使用时就发现它能识别漏洞缺陷,并建议修复方案,防止问题进入生产环境,"Graham表示,"这实在太实用,我们决定也向公众开放。"
小型开发团队免费获取企业级安全工具
除解决大企业面临的规模挑战外,这些工具还能让缺乏专职安全人员的小团队获得尖端安全实践。
"最令我兴奋的是,这意味着安全审查可以轻松普及到最小规模的团队,这些小团队将能更自信地推送大量代码,"Graham说。
该系统设计为开箱即用。据Graham介绍,开发者发布后数秒内就能使用安全审查功能,仅需约15次按键即可启动。工具与现有工作流无缝集成,通过驱动其他Claude代码功能的同款API在本地处理代码。
扫描数百万行代码的AI架构内幕
安全审查系统通过"代理循环"调用Claude进行系统化代码分析。Anthropic表示,Claude代码平台使用工具调用来探索大型代码库:先理解拉取请求中的变更,再主动探查更广代码库以把握上下文、安全不变量和潜在风险。
企业客户可自定义安全规则以匹配特定策略。系统基于Claude代码平台的可扩展架构构建,允许团队通过简单Markdown文档修改现有安全提示或创建全新扫描命令。
"你可以查看斜杠命令,因为很多斜杠命令实际上只是通过简单的Claude.md文档运行,"Graham解释,"自己编写命令也非常简单。"
重塑AI安全开发的1亿美元人才争夺战
此次安全功能发布正值全行业反思AI安全与负责任部署之际。Anthropic近期研究探索了防止AI模型产生有害行为的技术,包括在训练中暴露模型于不良特征的争议性"疫苗接种"方法。
发布时间也反映出AI领域的白热化竞争。Anthropic周二发布的Claude Opus 4.1在软件工程任务上表现显著提升——SWE-Bench Verified编码评估得分达74.5%,而前代Claude Opus 4模型为72.5%。
与此同时,Meta一直以巨额签约奖金疯狂招募AI人才,不过Anthropic CEO Dario Amodei近日表示许多员工拒绝了这些邀约。该公司过去两年员工的保留率达80%,而OpenAI和Meta分别为67%和64%。
政府机构现可采购Claude 企业AI应用加速
安全功能是Anthropic进军企业市场的战略组成部分。过去一个月,该公司已为Claude代码平台推出多项企业级功能,包括管理员分析仪表板、原生Windows支持和多目录支持。
美国政府也认可Anthropic的企业资质,将其纳入总务管理局批准供应商名单,与OpenAI和谷歌并列,使联邦机构可采购Claude。
Graham强调安全工具旨在补充而非替代现有安全实践。"没有单一解决方案能解决所有问题。这只是多了一个工具,"他表示。但他相信随着代码生成加速,AI驱动的安全工具将扮演越来越核心的角色。
在AI生成软件摧毁互联网前的安全竞赛
当AI以前所未见的速度重塑软件开发时,Anthropic的安全举措标志着关键认知:推动代码量爆炸式增长的同一技术,也必须被用来保障代码安全。Graham领导的前沿红队专注识别高级AI能力的潜在风险并构建相应防御。
"我们始终致力于衡量模型的网络安全能力,我认为现在是防御措施应该在全球范围内加强的时候了,"Graham说。公司特别鼓励网络安全企业和独立研究者尝试该技术的创新应用,其宏伟目标是利用AI"审查并预防性修补或加固世界上支撑关键基础设施的所有重要软件"。
安全功能已向所有Claude代码平台用户开放,GitHub Action需要开发团队进行一次配置。但笼罩行业的更大疑问仍是:AI驱动的防御措施能否快速扩展,以匹配AI生成漏洞的指数级增长?
至少目前,机器正在竞相修复其他机器可能造成的破坏。
