Anthropic 於 2 月 20 日正式發佈 Claude Code Security。 這款內建於 Claude Code 的安全掃描工具,在有限研究預覽階段已經令網絡安全行業掀起巨浪。工具背後的 Claude Opus 4.6 模型早前在開源程式碼庫中,成功發現逾 500 個高嚴重性零日漏洞。部分漏洞潛伏超過 10 年而未被發現。消息一出即觸發網絡安全板塊大規模拋售。
CrowdStrike、Cloudflare、Zscaler 等主要上市公司股價單日跌幅介乎 6% 至 11%。Global X Cybersecurity ETF 更跌至 2023 年 11 月以來最低位。這場由 AI 公司引爆的市場動盪正迫使企業資訊安全總監重新審視現有漏洞管理策略,同時亦揭示 AI 驅動安全掃描與傳統規則匹配工具之間的根本差異。
從研究成果到商業產品:15 天的極速轉化
Anthropic 在 2 月 5 日發佈其最先進的 AI 模型 Claude Opus 4.6 時,同步公開一項歷時逾 1 年的防禦性安全研究成果。研究團隊將模型直接指向多個生產環境的開源程式碼庫,結果發現超過 500 個此前從未被識別的高嚴重性漏洞。這些漏洞經歷數十年的專家審查和數百萬小時的模糊測試(fuzzing)依然未被偵測。每個候選漏洞均經過內部和外部安全專家的驗證後才進行披露。
研究公佈後僅 15 天 Anthropic 便將相同能力產品化。Claude Code Security 目前以有限研究預覽形式開放予 Enterprise 和 Team 客戶。開源項目維護者則可申請免費加速使用權限。Anthropic 在官方聲明中表示團隊亦利用 Claude 審查自身程式碼,認為其在保護 Anthropic 內部系統方面表現極為有效,因此決定將這些防禦能力推廣至更多企業用戶。
推理式分析如何超越傳統規則匹配
要理解 Claude Code Security 的突破性意義,便需要先了解現有工具的限制。 GitHub 多年來透過 Advanced Security 提供以 CodeQL 為基礎的掃描服務。平台在 2024 年 8 月加入 Copilot Autofix 功能,利用大型語言模型為警報生成修復建議。CodeQL 屬於靜態應用程式安全測試(SAST)工具的代表。其運作方式是將程式碼與已知的漏洞模式進行比對。它能告訴開發者受污染的輸入是否到達危險函數,卻無法自主讀取項目的提交歷史或推斷不完整的修補邏輯。它亦無法追蹤該邏輯到另一個檔案並組裝出可行的概念驗證攻擊。
Claude Code Security 採用截然不同的方法,它像人類安全研究員一樣「閱讀」和「推理」程式碼,理解各組件如何互動並追蹤數據在應用程式中的流動路徑。這方法能捕捉規則型工具無法覆蓋的業務邏輯缺陷和存取控制漏洞。前 AWS 副資訊安全總監兼 Enkrypt AI 安全總監 Merritt Baer 接受外國媒體 VentureBeat 獨家訪問時指出,真正的轉變在於從模式匹配走向假設生成。這是發現能力的一次階躍式提升,同時要求同等強度的人力和技術管控。
Anthropic 公佈的研究方法論中有 3 個案例清楚展示推理式分析的優勢。在 GhostScript 項目中模糊測試和人工分析均未發現問題。Claude 卻透過讀取 Git 提交歷史,找到一個在 gstype1.c 中為字體處理添加堆疊邊界檢查的修補並反向推理。模型推斷既然該修補在此處有必要,那麼同一函數在其他檔案中若缺乏相同檢查便仍然存在漏洞。模型隨後在 gdevpsfx.c 這個完全不同的檔案中發現缺少邊界檢查的調用,最後成功構建出概念驗證崩潰攻擊。
在智能卡數據處理庫 OpenSC 中,Claude 搜尋了程式碼庫中常見的易受攻擊函數調用。模型發現一個位置存在多次 strcat 操作卻未對輸出緩衝區進行長度檢查。模糊測試因為前置條件過多而幾乎無法觸及該程式碼路徑。Claude 則透過推理哪些程式碼片段值得關注,成功構建出緩衝區溢出攻擊。在 GIF 處理庫 CGIF 中漏洞涉及 LZW 壓縮演算法的字典構建機制。程式假設壓縮輸出永遠小於未壓縮輸入。Claude 識別出當字典填滿並觸發重置時,壓縮輸出可能超過未壓縮數據的大小並導致緩衝區溢出。即使程式碼覆蓋率達到 100%,傳統測試也無法捕捉到這個漏洞。因為它需要特定的操作序列來觸發壓縮演算法中的邊緣情況。
驗證體系與安全護欄
Anthropic 將 Claude 部署在沙盒虛擬機中進行測試,並配備標準工具和漏洞分析軟件。紅隊測試人員沒有提供任何專門的指令、特製工具或針對特定任務的提示,僅讓模型直接面對程式碼。研究聚焦於記憶體損壞漏洞,因為這類漏洞最容易客觀確認。崩潰監控和地址消毒器(address sanitizer)不會留下任何爭議空間。Claude 會自行過濾輸出,並在人類研究員介入之前完成去重和優先級排序。當確認數量持續攀升後 Anthropic 引入外部安全專業人員來驗證發現並編寫修補程式。
在產品化方面 Claude Code Security 的每個發現都會經過多階段自我驗證流程。模型會嘗試證明或推翻自己的判斷以過濾出假陽性結果,再為每個發現附上嚴重性評級和信心分數。所有修補建議必須經過人類批准才能應用,確保開發者始終擁有最終決策權。Anthropic 也在模型內部構建偵測機制。團隊部署探針來測量模型生成回應時的內部激活狀態,並設計專門的網絡安全探針來追蹤潛在的濫用行為。在執行層面 Anthropic 正擴大其響應能力,包括即時攔截被判定為惡意的流量。
值得注意的是 Anthropic 的安全研究並非始於產品發佈。 在過去 1 年多的時間裏,團隊將 Claude 送入多項競賽場景進行壓力測試。模型在 PicoCTF 中排名全球前 3%。它在 HackTheBox 的 AI 對人類 CTF 挑戰中解決了 20 題中的 19 題。模型亦在 Western Regional CCDC 中以 9 支隊伍中第 6 名的成績防禦真人紅隊攻擊。Anthropic 還與 Pacific Northwest National Laboratory 合作針對模擬水處理廠進行測試。實驗室研究人員估計模型在 3 小時內完成對手模擬,而傳統流程通常需要數星期。
雙刃劍困局:防守與攻擊的能力匯聚
能夠發現漏洞的推理能力,同樣可以幫助攻擊者利用漏洞。Anthropic 前沿紅隊負責人 Logan Graham 接受外國媒體 Fortune 訪問時直接承認,模型現在可以自主探索程式碼庫,追蹤調查線索的速度比初級安全研究員更快。Anthropic 通訊負責人 Gabby Curtis 在 VentureBeat 獨家訪問中表示,公司構建 Claude Code Security 的目標是讓防禦能力得到更廣泛的應用,期望能「將天秤傾向防守方」。她坦言幫助 Claude 發現和修復漏洞的相同推理能力,也可能幫助攻擊者利用漏洞,因此團隊在發佈方式上非常審慎。
外國媒體 VentureBeat 訪問逾 40 位跨行業資訊安全總監後發現,針對推理式掃描工具的正式治理框架目前仍屬例外而非常態。最普遍的回應是由於這領域還處於萌芽階段,很多資訊安全總監沒有預料到這種能力會在 2026 年初便已出現。每位安全總監在部署這類工具前都需要回答一個核心問題。如果給團隊配備一個能透過推理發現零日漏洞的工具,是否會在無意中擴大內部威脅面?
Baer 認為這個問題的框架需要調整。她表示企業並沒有將內部攻擊面武器化,只是將它暴露出來。這些工具很有幫助,但它們也可能以更快和更大規模的方式揭示潛在風險。用於防禦的零日發現工具同樣能暴露威脅模型中的漏洞。她強調大多數入侵並非來自零日漏洞,而是來自配置錯誤。她進一步指出在存取和攻擊路徑風險之外,還存在知識產權風險。推理模型可以內化並重新表述專有見解,令使用和洩漏之間的界線變得模糊。
網絡安全板塊的「AI 恐慌性拋售」
Claude Code Security 的發佈對資本市場產生即時而劇烈的衝擊。 根據 Bloomberg 報道,在 2 月 20 日當天 CrowdStrike 股價下跌約 8%。Cloudflare 跌幅超過 8%,Zscaler 下跌 5.5%,SailPoint 下滑 9.4%,Okta 亦下跌 9.2%。Global X Cybersecurity ETF 當日下跌 4.9%。到了 2 月 23 日拋售進一步擴大。CrowdStrike 再跌 10.6%,令其數天內累計跌幅接近 20%。多間網絡安全公司合計市值在短短數個交易日內大幅縮水。軟件開發安全公司 JFrog 的跌幅尤為突出。該公司單日暴跌近 25%,其核心的工件管理平台面臨 AI 原生競爭的質疑。
CrowdStrike 行政總裁 George Kurtz 在週末發佈一篇 LinkedIn 長文回應。他巧妙地向 Claude 聊天機械人提問,詢問 Claude Code Security 是否能取代 CrowdStrike 的 Falcon 平台,而 Claude 的回答是「不能」。Claude 指出兩者針對不同問題。Claude Code Security 是程式碼漏洞掃描和修補工具,主要與 Snyk、Checkmarx、Veracode 等靜態分析工具競爭。CrowdStrike 則在端點進行即時威脅偵測和回應,屬於營運層面的安全防護(EDR/XDR)。兩者處於安全生命週期的完全不同位置。
投資銀行 Wedbush 分析師認為市場反應過度,指出與資訊安全總監和 IT 專業人員的對話顯示,長期影響對安全板塊可能更具建設性。分析師團隊在報告中寫道這些股票的拋售完全基於「AI 幽靈交易」的恐懼。長期來看對 Palo Alto Networks、CrowdStrike 和 Zscaler 等明確贏家而言,市場反應終將被證明是錯誤的。Barclays 亦發表報告指出網絡安全股的拋售看起來並不合理。因為 Anthropic 的工具並不直接取代主要網絡安全廠商的核心業務。
不過值得關注的是 2 月的拋售已是 Anthropic 在本月內第 2 次觸發企業軟件板塊的市場動盪。在 1 月底 Claude Cowork 的發佈已經令協作和生產力軟件股票受壓。兩次事件合計顯示 Anthropic 的產品節奏已成為科技股市中一個反覆出現的變數。
AI 安全掃描絕非一家獨大
Anthropic 並非唯一在此領域取得突破的公司,安全研究員 Sean Heelan 使用 OpenAI 的 o3 模型,在沒有特製工具和代理框架的情況下發現 CVE-2025-37899。這是一個 Linux 核心 SMB 實現中此前未知的 use-after-free 漏洞。該模型分析超過 12,000 行程式碼。它識別出傳統靜態分析工具持續遺漏的競爭條件(race condition),因為偵測這漏洞需要理解跨連接的並行線程互動。
AI 安全初創公司 AISLE 的表現同樣令人矚目,該公司發現 OpenSSL 在 2026 年 1 月安全修補中公佈的全部 12 個零日漏洞。這包括一個罕見的高嚴重性發現(CVE-2025-15467,CMS 訊息解析中的堆疊緩衝區溢出,可能在沒有有效密鑰材料的情況下被遠端利用)。AISLE 聯合創辦人兼首席科學家 Stanislav Fort 報告指出,其團隊的 AI 系統在 2025 年分配的 14 個 OpenSSL CVE 中佔了 13 個。OpenSSL 是全球審查最嚴格的加密庫之一,模糊測試已對其運行多年。而 AI 卻成功發現這些測試不能發現的漏洞。
OpenAI 亦在大約 4 個月前推出 Aardvark,這是一款由 GPT-5 驅動的安全代理,能在隔離沙盒中測試漏洞並估算攻擊者利用漏洞的難度。Aardvark 側重於模擬攻擊者難度,而 Anthropic 的工具則聚焦於直接的程式碼庫推理和修補生成。兩家公司如今都在與擁有更深厚企業客戶基礎的傳統安全廠商競爭。
Amazon 在內部使用 AI 代理來尋找安全缺陷並建議修復方案,Microsoft 亦擁有自己的安全代理群組,能夠優先處理漏洞修復、自動識別受影響裝置並啟動修補流程。外國媒體 The Register 的報道指出與所有這些工具一樣,Claude Code Security 的修補建議仍需人類批准。報道引述指 Claude Code Security 識別問題並建議解決方案,但開發者始終作出最終決定。
未來 AI 安全掃描走向常態化
AI 網絡安全市場正經歷爆發式增長,根據市場研究機構數據,全球 AI 網絡安全市場規模在 2025 年約為 296.4 億美元(約港幣 2,311.9 億元)。預計到 2035 年將增長至約 1,678 億美元(約港幣 1.31 兆元),年複合增長率達 18.93%。研究機構 Gartner 預測到 2027 年將有 60% 的企業採用基於平台的安全架構,遠高於 2024 年的 25%。
多位行業專家預測 2026 年將成為網絡安全的轉捩點,DeepTempo 兼任資訊安全總監 Brennan Lodge 預計隨着 AI 加速漏洞研究、漏洞利用開發和測試,零日漏洞在 2026 年將變得更為普遍。他警告進攻團隊將結合自動化推理和大規模程式碼生成,將細微弱點串聯成可靠的高影響力攻擊。SOCRadar 資訊安全總監 Ensar Seker 認為下一波 AI 發展將圍繞代理架構展開。AI 將能規劃、推理並跨系統行動。在 DevSecOps 中這意味着 AI 能自動標記漏洞、建立工單、複製程式碼庫、修復問題並提交拉取請求,全程無需人工介入。
Anthropic 在預期在不久將來全球將有很大比例的程式碼會接受 AI 掃描。因為模型在發現長期隱藏的程式錯誤和安全問題方面已變得極為有效。Anthropic 前沿紅隊負責人 Logan Graham 接受外國媒體 Axios 訪問時更直接表示,模型在發現漏洞方面極為出色,並預期它們還會變得更加強大。
歸根究底 AI 推理式安全掃描的速度優勢,並不會自動有利於防守方,而是有利於最先採用的一方。Baer 總結指出進攻和防禦能力正在趨同,真正的差異化因素在於監督。若企業無法審計和限制工具的使用方式,便等於創造另一個風險。對於企業安全總監而言,在這場 AI 安全工具競賽中率先行動才能掌握主動權。
來源:VentureBeat
