Anthropic公布Claude Security供企業掃描漏洞

AI模型現在不但被用於尋找軟體程式碼的漏洞，也被有心人士用來自主濫用這些漏洞，協助企業找出能被AI濫用的漏洞是Claude Security的設計主旨。Claude Security原名為Claude Code Security，首在二月提供少數企業試用，並於上週擴大推出並改名Claude Security，現在以公開Beta版提供Claude Enterprise用戶試用。

Claude Security和不久前Anthropic發表的Claude Mythos不同。Claude Mythos僅提供給Project Glasswing的少數合作夥伴，理由是它尋找軟體漏洞的能力過於強大，擔心落入有心人士之手有不良後果。Claude Security以Claude Opus 4.7為基礎，可透過claude.ai存取，檢視企業軟體程式碼的漏洞、建議修補程式，或是發現傳統方式找不到的複雜程式碼問題。Claude Security能執行排程及精準掃描，可整合企業稽核系統，方便追蹤。它不需要API整合或開發自訂代理人，只要企業使用Claude.ai，就可以從側邊欄啟用，或是從claude.ai/security登入開始掃描。

根據官網網頁說明，Claude Security可讓企業同步掃描程式碼，能理解上下文、了解檔案和模組間的元件互動、可跨檔案追蹤資料流、讀取原始碼，找出傳統掃描工具找不到的多元件複雜漏洞樣態。有初步發現後，它可以進行階段驗證以減少誤判；完成後提供解釋、判定信心水準、及漏洞影響和如何被複製。此外Claude Security還能針對特定漏洞建議修補指令，允許使用者開啟Web版Claude Code來修補漏洞。

Claude Security能辨識許多種漏洞，包括注入型漏洞如SQL、指令、XSS漏洞；網路型（如路徑遍歷、伺服器請求偽造SSRF、開放重導向Open redirect）、驗證存取類（如跨網站請求偽造CSRF）、記憶體類（如緩衝溢位）、密碼類（如演算法混淆、時序洩漏Timing Leaks、Weak primitives）、反序列化型（任意類型實例化Arbitrary type instantiation）及協定類漏洞（如編碼混淆、快取下毒）等。

Anthropic和常見安全廠商合作，例如CrowdStrike、Microsoft Security、Palo Alto、SentinelOne、TrendAI和Wiz都已在其產品整合Opus 4.7。主要整合商Accenture、BCG、Deloitte、Infosys和PwC也提供整合Claude的安全服務。