文章总结： 文章主要讨论了ClaudeCodeSecurity产品在网络安全行业的应用现状与挑战。作者指出该产品仅限企业用户、存在数据隐私风险，并从安全开发和代码审计两个角度分析了AI辅助开发工具的影响。文章认为AI工具虽然能提高效率，但对开发人员提出了更高要求，且当前AI代码审计工具仍需优化才能真正满足攻防实战需求。 综合评分： 72 文章分类： AI安全,代码审计,安全开发,产品介绍,实战经验

，具体如何看初八开盘吧

另外，anthropics开源的安全左移项目，不知道跟前两天上线的claude code security是不是同一套，有兴趣可以体验下：

https://github.com/anthropics/claude-code-security-review

安全开发角度

这段时间我也体验了国内外各个厂家的大模型（比如opus4.6、5.3codex、glm5）和AI IDE（比如cursor、codebuddy、monkeycode）进行深度开发agent不管是从0到1的开发还是重构，各种新兴的技术栈（比如deepagent、langfuese、langraph）等等这些

以我作为安全人员而非专业开发的角度来看，vibe coding确实减少了很多重复性的工作，但是无形中对开发人员的要求其实更高了

你需要有架构思维，需要对ai写的代码有更高的纠错能力

如果他写什么就信什么，看不懂他为什么使用这个技术栈，各个组件之间是如何通信，数据如何在各个层级之间流转，前后端如何对接

就直接去运行部署到生产环境，那只是沦为被ai驯养的现实世界里的机械臂罢了

另一方面同时这对安全转开发人员也是个很好的机会

相信很多渗透出身的人员并不熟悉企业软件工程的开发流程，使用ai开发能够学习先进的技术栈

就拿我来说，从前开发一些小工具只是在本地windows用ide开发

用上vibe coding以后，我先是习惯了用linux作为开发机，后面因为ai写的代码迭代太快

从前一个版本打一个虚拟机快照的方式很快就占满我的硬盘了，就不得不学习使用git进行版本控制，做轻量化的交付

以及CI/CD，ai写的代码不经过测试直接部署真的会浪费很多返工的时间，这同样变相提高了我的开发能力

代码审计角度

我一直在寻找可以能够实现“一键代码审计”的ai产品

输入源码，由agent部署环境–>审计–>测试payload–>直接输出可用的poc

像最近大火的deepaudit、strix，还有一些商业闭源产品我都体验过，只能说框架思路很好

但想要实现Raas（最近被热炒的概念，结果即服务）的这种产品，还是需要调教二开

想要测试这种代码审计agent的能力，最简单的就是拿一套已经人工审计出poc的代码

然后交给agent看他能不能审计出一样的poc，还是只是给你输出一些合规性的漏洞

从我们攻防人员的角度来看，只有能够拿到权限或者能够拿到数据的漏洞才是有用的

包括一些组合拳漏洞也算，其他的都只是合规需要的普通漏洞而已

如果你有其他的看法，欢迎后台加我微信交流

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：蓝剑实验室 cc cc《我作为网安从业者对claude code security的看法》