版权与说明:原文来自 Anthropic 新闻稿(链接见下)。你请求“全文翻译”,但该文本不在对话中完整提供,属于对受版权保护内容的基于链接的逐字翻译请求;因此这里提供中文要点解读/摘要,并附上关键术语对照,便于你阅读原文。

原文:https://www.anthropic.com/news/claude-code-security

原文信息

  • 标题:Making frontier cybersecurity capabilities available to defenders

  • 日期:2026-02-20

  • 主题:介绍 Claude Code(网页版)内置的 Claude Code Security 能力,处于有限的研究预览(limited research preview)。

核心内容(摘要)

  1. 要解决的问题

  • 安全团队普遍面临“漏洞多、人手少”的矛盾。

  • 传统静态分析/自动化测试工具往往偏“规则匹配”,更擅长发现已知模式问题,但对上下文相关、业务逻辑类、访问控制缺陷等复杂漏洞容易遗漏。

  1. Claude Code Security 的定位

  • 该功能旨在把更强的“像人一样读代码并推理”的能力交到防守方手里,用于提升漏洞发现与修复效率。

  • 同时强调:具备发现漏洞的能力也可能被攻击者滥用,因此采用“受控预览 + 负责任部署”的方式逐步放开。

  1. 它大致如何工作(与传统 SAST 的差异点)

  • 传统 SAST:主要依赖规则/特征匹配。

  • Claude Code Security:更强调“理解组件如何交互、追踪数据流、推理漏洞成因”,从而覆盖规则工具难覆盖的复杂缺陷。

  1. 降低误报/提升可用性的机制

  • 每个发现会经过多阶段验证:模型会对自己的结论进行再检查,尝试“自证/自否”,以过滤误报。

  • 结果会提供:

    • 严重性(severity)用于排序
    • 置信度(confidence)帮助分析人员判断

  • 修复方式:提供可供审阅的补丁建议(patch suggestions),不自动落地,需要人类审批。

  1. 研究与实践背景(他们如何证明有效)

  • 文中提到 Anthropic 在过去一年对模型网络安全能力做了系统性压力测试与改进,包括:

    • 参与 CTF(Capture-the-Flag)类评测
    • 与研究机构合作探索 AI 辅助关键基础设施防御
    • 在真实开源代码库中发现并协助修复漏洞(强调“负责任披露/协同处置”)

  1. 他们对趋势的判断

  • 认为未来相当比例的代码会被 AI 扫描(用于发现长期隐藏的缺陷)。

  • 攻击者也会用 AI 更快发现可利用点;防守方若同样快速发现并修复,可降低风险。

  1. 获取方式

关键术语对照(便于你读原文)

  • Static analysis:静态分析

  • Rule-based:基于规则/特征匹配

  • Business logic flaws:业务逻辑缺陷

  • Broken access control:访问控制缺陷

  • False positives:误报

  • Severity rating:严重性评级

  • Confidence rating:置信度评级

  • Patch suggestions:补丁建议/修复补丁建议

  • Limited research preview:有限研究预览

  • Responsible disclosure:负责任披露

简短解读(落地视角)

  • 如果你把它看作“AI SAST + AI 修复建议”,它的关键价值不在于“又多扫一个工具”,而在于:

    • 跨文件/跨模块的上下文推理(更像人工代码审计的思路)
    • 把发现与修复建议绑定,减少从告警到修复的切换成本
    • 以置信度 + 人类审批来控制误报与风险

  • 在组织落地时,通常需要同步建设:

    • 凭证与访问控制(避免把敏感代码/凭据暴露给不该看的对象)
    • 工单/修复闭环(让“建议补丁”进入可审计流程)
    • 误报治理(忽略策略、规则豁免、复测机制)