Anthropic запустила Claude Code Security — функцию в Claude Code, которая сканирует кодовые базы на уязвимости, проверяет находки, а затем предлагает патчи, которые команда может просмотреть и одобрить вручную. Инструмент позиционируется как анализ “по смыслу” (контекст, потоки данных, бизнес-логика), а не как очередной rule-based сканер по сигнатурам.
Что именно запустили
Claude Code Security умеет просканировать всю кодовую базу, выдать список уязвимостей и предложить исправления, сохраняя контроль за человеком: патчи нужно review/approve, автоматического “самопочина” нет. Anthropic отдельно подчеркивает снижение шума: находки проходят валидацию, чтобы уменьшить число false positive. Сервис встроен в Claude Code на вебе и подается как “scan → validate → patch” в одном потоке работы.
Как это работает (и почему это важно)
Ключевое отличие от классических SAST-сканеров — попытка рассуждать “как security-исследователь”: понимать контекст, трассировать data flow между файлами и ловить составные баги, которые не выглядят как один узнаваемый паттерн. В описании указано, что Claude Code Security может читать Git history, сопоставлять изменения и понимать бизнес-логику, чтобы находить реальные уязвимости и предлагать “реальные фиксы”, а не только подсвечивать симптомы. Для снижения ложных срабатываний используется дополнительный “adversarial verification pass”, где модель пытается оспорить собственные выводы перед тем, как показать их аналитику.
Какие классы уязвимостей целит
Anthropic прямо перечисляет фокус на high-severity проблемах: memory corruption, injection flaws, authentication bypass, а также сложные логические ошибки, которые часто ускользают от pattern-matching инструментов. Это важный сигнал: продукт изначально “не про стиль кода” и не про мелкие линтерные замечания, а про то, что обычно дорого пропустить в проде. При этом находки, по описанию, снабжаются объяснением “почему это важно” и предложенным исправлением.
Доступность и сценарии использования
Сейчас Claude Code Security доступен как limited research preview для клиентов Claude Enterprise и Claude Team через Claude Code on the Web, а ранний доступ предлагается через waitlist. Также сообщается, что мейнтейнеры open-source могут подать заявку на ускоренный бесплатный доступ. Встраивание задумано как дополнение к текущему стеку AppSec: результаты можно экспортировать в существующие процессы/воркфлоу, а не заменять ими всё.
Ограничения и практические рекомендации
Anthropic отдельно предупреждает: Claude может ошибаться, поэтому предложенные патчи нужно обязательно проверять перед применением, особенно в критичных системах. На практике это означает “доверяй, но верифицируй”: прогоняйте тесты, делайте security regression, и относитесь к фиксам как к PR от сильного, но не безошибочного инженера. И еще один контекст: в материале отмечается ожидание, что заметная доля кода будет сканироваться ИИ в ближайшем будущем, поэтому конкурентным преимуществом станет скорость цикла “нашел → исправил → выкатил”, а не просто факт наличия сканера.