Anthropic запустила Claude Code Security: ИИ, который сам ищет уязвимости в коде

Что появилось / что изменилось

Anthropic добавила в веб-версию Claude Code новую функцию — Claude Code Security. Это не отдельный продукт, а режим работы, который анализирует репозитории на уязвимости и сразу предлагает патчи для проверки человеком.

Сейчас это ограниченный research‑preview:

• доступен только клиентам Enterprise и Team;
• поддержка open source‑проектов — с бесплатным и ускоренным доступом по заявке;
• под капотом используется Claude Opus 4.6, который команда Anthropic уже применяла для поиска багов в реальных проектах.

Ключевые факты из внутреннего тестирования:

• с помощью Claude Opus 4.6 Anthropic нашла более 500 уязвимостей в продакшн‑репозиториях с открытым кодом;
• часть этих багов жила в коде десятилетиями, хотя его много раз просматривали эксперты;
• все найденные проблемы проходят триаж и ответственное раскрытие вместе с мейнтейнерами.

В интерфейсе Claude Code Security вы видите:

• список найденных уязвимостей;
• предложенные патчи;
• оценку severity (критичность);
• confidence‑оценку — насколько ИИ уверен в конкретной находке.

Никакие изменения в код не попадают без ручного подтверждения разработчика.

Как это работает

Классический статический анализ кода опирается на правила: ищет известные паттерны — захардкоженные пароли, слабую криптографию, очевидные SQL‑инъекции. Claude Code Security идет другим путём.

Anthropic заставляет Claude читать репозиторий как человек‑ресерчер:

• ИИ строит картину того, как модули взаимодействуют между собой;
• отслеживает потоки данных через приложение;
• ищет логические дыры: ошибки в бизнес‑логике, сломанный контроль доступа, нетривиальные пути обхода проверок.

После первого прохода включается многоступенчатая проверка:

• Claude повторно анализирует каждую находку;
• пытается сам себе доказать, что уязвимость реально эксплуатируема;
• отбрасывает часть ложных срабатываний;
• проставляет severity‑уровень, чтобы команда не тонула в мелочах.

Результаты попадают в дашборд Claude Code Security. Там можно:

• открыть конкретную проблему;
• посмотреть diff с предлагаемым патчем;
• обсудить правку с командой;
• применить её через существующий рабочий процесс, потому что функция встроена в Claude Code.

Что это значит для вас

Если вы отвечаете за безопасность продукта или поддерживаете крупный репозиторий, Claude Code Security — ещё один инструмент для снижения бэклога по уязвимостям.

Где это реально помогает:

• ревью легаси‑кода, который никто не трогал годами, но который всё ещё крутится в проде;
• проверка сложных микросервисных систем, где уязвимость прячется на стыке сервисов;
• приоритизация задач безопасности: сначала закрываете критичные и высокие severity, не тратя время на мусор;
• поддержка маленьких команд: когда у вас один security‑инженер на десяток сервисов.

Где не стоит ждать чуда:

• как единственный барьер перед атакующим. Вам всё равно нужны классические SAST/DAST, dependency‑сканеры, настройки инфраструктуры;
• как «автоматический фикс всего». Claude предлагает патчи, но их нужно читать, тестировать и пропускать через обычный code review;
• в сценариях, где вы не можете выносить код за периметр. Claude Code Security — облачный продукт, и это ограничение для части финансового и гос‑сектора.

Важно: Anthropic официально не работает на российском рынке. Для доступа к Claude Code и Claude Code Security, скорее всего, понадобятся VPN, иностранный аккаунт и юрлицо за пределами РФ. Для корпоративных команд это может быть критичным барьером.

Если вы ведёте open source, есть смысл подать заявку на участие в программе. Anthropic обещает ускоренный и бесплатный доступ мейнтейнерам, плюс помощь с триажем найденных багов.

Место на рынке

Anthropic прямо не сравнивает Claude Code Security с конкурентами по скорости или цене, поэтому честных цифр «на X% быстрее GPT‑4o» сейчас нет. Но по позиционированию картина понятная.

С чем это можно сопоставить:

• GitHub Copilot / Copilot Workspace: хорошо помогают писать и рефакторить код, но не дают отдельного, сфокусированного на безопасности дашборда с severity и confidence;
• CodeQL, Semgrep и другие SAST‑инструменты: сильны в паттернах и правилах, отлично ловят типовые проблемы, но им сложно находить сложные логические уязвимости без ручного тюнинга;
• GPT‑4o / GPT‑4.1 в ручном режиме: вы можете просить их искать баги в коде, но это будет разовый диалог, а не встроенный в ваш пайплайн инструмент с системным дашбордом и потоком находок.

Сильная сторона подхода Anthropic — ставка на Claude Opus 4.6, который уже доказал, что может находить баги, пережившие десятилетия ревью. Слабая — отсутствие публичных метрик по сравнению с классическими SAST и другими ИИ‑ассистентами, плюс ограниченный доступ только для Enterprise/Team.

Если вы уже платите за Anthropic и активно пользуетесь Claude Code, новый режим логично добавить в стек безопасности. Если ваш стек строится вокруг GitHub + GPT‑4o и вас устраивает связка Copilot + SAST, переход сейчас имеет смысл только ради эксперимента на одном‑двух критичных репозиториях — и сравнения качества находок на практике.