Компания Anthropic запустила новый инструмент Claude Code Security. Он сканирует кодовую базу и предлагает патчи для исправления найденных проблем.

Сейчас инструмент доступен в режиме ограниченного превью. Его могут использовать Enterprise и Team клиенты. Мейнтейнеры репозиториев могут запросить приоритетный бесплатный доступ.

Обычный статический анализ работает по простому принципу. Он ищет совпадения с известными паттернами уязвимостей. Этого достаточно, чтобы поймать торчащие наружу пароли или устаревшее шифрование.

Но такие инструменты пропускают серьезные проблемы. Прорехи в бизнес-логике или сломанный контроль доступа остаются незамеченными. Там нужно понимать, как компоненты взаимодействуют между собой и куда движутся данные.

Claude Code Security делает именно это. Система читает и анализирует код так, как его читал бы человек-исследователь безопасности. Это принципиально другой подход.

Каждая находка проходит многоступенчатую верификацию. Claude сам перепроверяет результаты. Модель пытается опровергнуть собственные выводы и отсеять ложные срабатывания.

Финальные находки появляются в дашборде. Там указана оценка серьезности и уровень уверенности модели. Решение, применять предложенный патч или нет, остается за людьми. Без человеческого одобрения ничего не меняется.

За инструментом стоит больше года исследований. Команда Frontier Red Team тестировала Claude на соревнованиях CTF. Совместно с Pacific Northwest National Laboratory отрабатывалась защита критической инфраструктуры.

С помощью Opus 4.6 команда обнаружила в open-source проектах больше 500 уязвимостей. Эти проблемы не замечали годами, несмотря на регулярный аудит. Это показывает эффективность подхода.

Ключевое отличие Claude Code Security — понимание контекста. Система не просто ищет известные паттерны. Она анализирует логику приложения и потоки данных.

Например, обычный сканер может пропустить ситуацию, когда пользователь получает доступ к чужим данным через цепочку правильно работающих функций. Claude Code Security увидит такую проблему, потому что понимает архитектуру приложения.

Многоступенчатая верификация снижает количество ложных срабатываний. Это важно, потому что разработчики устают от постоянных ложных тревог. Если инструмент кричит волки слишком часто, его начинают игнорировать.

Более 500 уязвимостей в известных проектах — впечатляющий результат. Эти проекты проходили аудит безопасности. Но человеческие ревьюеры пропустили проблемы, которые нашла AI.

Доступность для мейнтейнеров open-source проектов может значительно улучшить безопасность экосистемы. Многие такие проекты не могут позволить себе дорогой профессиональный аудит.