🔧 阿川の電商水電行

Shopify 顧問、維護與客製化

💡

小任務 / 單次支援方案

單次處理 Shopify 修正／微調

⭐️

維護方案

每月 Shopify 技術支援 + 小修改 + 諮詢

🚀

專案建置

Shopify 功能導入、培訓 + 分階段交付

👉 瞭解詳情 / 免費諮詢

小編精選 - 技術文章翻譯 · 02月23日

克勞德·科德安全公司宣佈人工智慧發現了500個數十年來未被發現的漏洞，受此訊息影響，安全股暴跌。

2026年2月20日，Anthropic 宣布推出在 Claude Code 上運作的安全掃描功能「Claude Code Security」。
瞬間，網路安全股紛紛暴跌。

📉 2026/02/20 網路安全股動態:

JFrog (FROG):      -25%
Okta (OKTA):       -9.2%
SailPoint:         -9.4%
CrowdStrike (CRWD): -8%
Cloudflare (NET):   -8%
Zscaler:           -5.5%
Global X Cyber ETF: -4.9%（自2023年11月以來的最低點）

僅僅因為一個 AI 工具的發布，安全行業整體受到了震動。
而且，巴克萊的分析師指出「這一賣盤是過度反應」，因為 Claude Code Security 並非直接與現有安全公司競爭的產品，卻使市場發生如此大的波動。
這正是AI 會改變安全結構的認知在擴大。

Claude Code Security 是什麼

簡單來說，AI 像人類安全研究員一樣讀取代碼並找出漏洞的工具。
與傳統的靜態分析工具（SAST）根本上採取不同的方式。

【傳統 SAST（如 SonarQube、Snyk 等）】

基於規則 → 搜索已知的模式
                ↓
            如果與模式匹配則報告
                ↓
            如果不匹配則忽略

問題: 無法找到未知模式、複雜的數據流、邏輯缺陷

【Claude Code Security】

AI 進行推理 → 讀取整個代碼，理解組件間的
            互動
                ↓
            跟蹤數據的流向
                ↓
            像人類安全研究員一樣
            發現邏輯缺陷
                ↓
            自我驗證發現（多階段驗證）
                ↓
            提出修正補丁

技術特點

1. 基於推理的分析
不依賴於規則，理解代碼的含義以找出漏洞。「這個變數來自用戶輸入，並且未經淨化就傳遞給 SQL 查詢」，這種理解上下文的推理能夠實現。

2. 多階段驗證
Claude 自行重新檢查發現的漏洞，試圖反駁自己的發現「這真的能被利用嗎？」「這真的算是漏洞嗎？」。這樣可以減少假陽性。

3. 嚴重性與確信度評估
對每一個發現都附加嚴重性（Severity）和確信度（Confidence）等級。讓團隊能夠更容易地設定優先順序。

4. 人工干預
不會自動應用修正，開發者必須確認並批准後才會應用修正。

500 件漏洞 — 被忽視了數十年

在 Claude Code Security 的開發過程中，Anthropic 使用 Claude Opus 4.6 對正在運行的開源代碼庫進行了掃描。
結果顯示: 發現超過 500 件高危漏洞，這些漏洞在過去幾十年內未被專家審核過的 bug。

具體發現的漏洞

專案	漏洞類型	詳細
Ghostscript	解析邊界檢查漏洞	在解析 Git 提交歷史時引發崩潰
OpenSC	緩衝區溢出	透過分析 `strrchr()` 和 `strcat()` 函數調用發現
CGIF	堆緩衝區溢出	GIF 圖像庫。在 v0.5.1 中已修補

CGIF 的範例尤其引人關注

Anthropic 對 CGIF 的漏洞這樣說明：

「發現這個漏洞需要概念性理解 LZW 算法和 GIF 文件格式之間的關係」

傳統的模糊測試工具僅增加代碼覆蓋率無法達到，理解特定的分支序列所需的概念性知識是必須的。這意味著基於規則的工具原理上無法找到這種類型的 bug。
更重要的是，Claude 能在沒有特定任務工具、定制機制或專用提示的情況下發現這一漏洞，僅憑通用的代碼推理能力就找出了 500 多件零日漏洞。

與傳統工具的比較

SAST（靜態分析）的局限

傳統 SAST 擅長的事:
├── 偵測已知的 CVE 模式
├── SQL 注入等常見模式
├── 檢查依賴庫的漏洞
└── 組合 CI/CD 管道

傳統 SAST 不擅長的事:
├── 未知的漏洞（零日）
├── 複雜業務邏輯缺陷
├── 由組件之間相互作用引起的 bug
├── 小眾語言或框架
└── 算法層級的邏輯錯誤

Claude Code Security 就是瞄準這個「不擅長的領域」。

與 OpenAI Aardvark 的比較

不僅僅是 Anthropic。OpenAI 在約 4 個月前也發布了「Aardvark」這個安全研究代理。

項目	Claude Code Security	OpenAI Aardvark
基礎模型	Claude Opus 4.6	GPT-5
方法	代碼推理 + 多階段驗證	提交監控 + 推理
基準準確度	—	偵測已知漏洞的 92%
沙盒	—	在隔離環境下驗證可利用性
提供形式	企業/團隊專用預覽	—
OSS 支援	為維護者提供免費優先訪問	—

兩家公司皆在「讓 AI 像人類安全研究員一樣進行推理」方面達成共識。從傳統的模式匹配轉向 AI 推理，正是整個行業的趨勢。
不過，早期基準中也出現了一些挑戰。根據某 Semgrep 的研究，對同一代碼庫執行相同提示三次後，檢測數量分別為 3 件、6 件和 11 件，結果很不一致。重現性確保仍在發展中。

對開發者的影響

1. 安全測試的民主化

過去，想要進行專業的漏洞診斷，必須委託安全專家顧問或投入高額工具。Claude Code Security 允許 Enterprise/Team 計劃的用戶無需額外成本使用。
開源軟體維護者將獲得免費的優先訪問，這是一個重大的利好。即使是缺乏資金的個人開源項目，也能獲得企業級的安全掃描。

2. 「AI 所寫代碼」的安全問題

這裡有諷刺之處。
最近的研究顯示，AI 生成代碼中有 25% 至 40% 包含安全漏洞，包括 SQL 注入、XSS 和不安全的認證模式等。
換句話說，AI 所寫的代碼的 bug，將由另一個 AI 找出。

開發者使用 AI 編寫代碼
    ↓
AI 生成含漏洞的代碼（25%至40% 機率）
    ↓
Claude Code Security 掃描 AI 的代碼
    ↓
發現漏洞並提出修正補丁
    ↓
開發者確認並應用

AI 修正 AI 的 bug。 這就是 2026 年的開發工作流程。

3. 安全工程師角色的變化

Anthropic Frontier Red Team 的領導者 Logan Graham 說：

「這將成為大幅增強安全團隊能力的工具」

該強調「增強」而不是「取代」。即使 AI 發現了漏洞，可達性分析（Reachability）、可利用性評估和運營上的優先處理仍然需要人類專家的參與。
安全工程師的工作從「找出漏洞」逐步轉向「評估 AI 發現的漏洞影響」。

Anthropic 的安全措施

Claude 的能力可用於攻擊和防守的雙重用途技術。Anthropic 採取了一些安全措施。

1. 使用限制
測試者只能掃描「自家擁有且有權掃描的代碼」。禁止無授權掃描第三方、許可代碼或 OSS。

2. 濫用檢測
實現了一種檢測惡意使用的機制。

3. 負責任的披露
在開源中發現的漏洞，與維護者協作經過負責任的披露過程。

4. 分階段發布
並不會立即公開，而是從企業/團隊專用預覽開始。

開發者現在應做的事情

如果是 Enterprise/Team 用戶

啟用 Claude Code Security
連接 GitHub 儲存庫並執行掃描
確認發現的漏洞並評估修正補丁
與現有的 SAST 工具一起使用（而不是取代）

如果是 OSS 維護者

可以從 claude.com/contact-sales/security 申請免費的優先訪問。

如果還無法訪問

繼續使用現有的 SAST 工具（如 SonarQube、Snyk、Semgrep 等）
保持檢視 AI 代碼生成工具的輸出習慣
對於 OWASP Top 10 的對策仍然重要

總結

Claude Code Security 的發布，使 AI 基於推理的漏洞掃描進入了實用階段
Claude Opus 4.6 發現了超過 500 件的零日漏洞，這些漏洞在數十年間沒有經過專家的審核
發布後網路安全股暴跌（JFrog -25%、CrowdStrike -8%、Okta -9.2%）
透過傳統的基於規則 SAST 無法發現的「算法層級的邏輯錯誤」能被發現
OpenAI Aardvark 也已進入同一領域，AI 安全研究是業界的超級趨勢
有研究顯示 AI 生成代碼的 25% 到 40% 含有漏洞，進入了「AI 的 bug 被 AI 發現」的時代
安全工程師的角色正從「發現漏洞」轉向「評估 AI 的發現影響」

如果這篇文章對你有幫助，請點讚並保存！
如果你對 AI 時代的安全有意見，請在評論中告訴我們。

參考連結

Claude Code Security - Anthropic
Claude Opus 4.6 Finds 500+ High-Severity Flaws Across Major Open-Source Libraries - The Hacker News
Cybersecurity stocks drop after Anthropic debuts Claude Code Security - SiliconANGLE
AI can now hunt software bugs on its own - Fortune
Cybersecurity stocks fall after Anthropic unveils Claude Code Security - Seeking Alpha
Introducing Aardvark: OpenAI's agentic security researcher - OpenAI

原文出處：https://qiita.com/emi_ndk/items/fb529b2ede94661e5287