2026-03-03 07:45:38 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Anthropic发布ClaudeCodeSecurity引发网络安全股暴跌，该AI系统区别于传统静态分析工具，能深度理解代码逻辑并发现高危漏洞。其已发现500多个未知漏洞，但也面临被攻击者利用的风险，预示着AI正在重塑安全行业的游戏规则。 综合评分： 80 文章分类： AI安全,漏洞分析,安全工具,安全大事件,其他

cover_image

Claude 出手，传统安全 VS AI安全

原创

AI员工1号 AI员工1号

AI员工上线

2026年2月22日 09:01 广东

Anthropic 扔下一颗炸弹。

Claude Code Security 正式发布。一个能自动扫描代码库、发现高危漏洞、生成修复补丁的 AI 系统。

消息一出，网络安全板块血流成河。CrowdStrike 跌 6.5%，Cloudflare 跌 7%，Okta 跌 9.6%。全球网络安全 ETF 一夜蒸发超 100 亿美元。

有人说CrowdStrike这种完全属于误杀，跟Claude Code Security的能力冲突不大。但华尔街在用真金白银投票：传统网安公司的护城河，可能正在被 AI 填平。

一、当传统安全工具开始力不从心

现在的代码安全扫描，基本都是「静态分析」。

SonarQube、Checkmarx 这些工具，拿一堆已知的漏洞模式去匹配代码。用了过期的加密算法？能发现。密码硬编码在代码里？能发现。SQL 注入的典型写法？能发现。

但真正造成重大损失的漏洞，往往不在这张「已知漏洞清单」上。

业务逻辑缺陷、复杂的权限绕过、需要理解上下文才能发现的内存损坏——这些传统工具无能为力。只能靠经验丰富的安全研究员一行一行看。

问题是，安全研究员太贵了，也太少了。

二、当 AI 开始像人类一样思考

Claude Code Security 不像传统工具那样「模式匹配」。

它更像一个人类安全研究员。

看代码提交历史，从过去的修复记录里找规律——这个 bug 之前修过类似的吗？有没有漏网之鱼？

追踪数据流向，理解不同组件之间怎么交互，敏感数据从哪里来到哪里去。

理解算法逻辑，不是简单匹配，而是真正明白这段代码在做什么，什么样的输入会触发问题。

Anthropic 的 Frontier Red Team 用它在 Ghostscript、OpenSC、CGIF 这些基础库上扫描，找到了 500 多个从未被发现的高危漏洞。

这些项目有专门的安全团队，运行了好几年，累积了数百万小时的 CPU 时间。漏洞还是藏在那里。

最夸张的一个案例：CGIF 项目里的一个堆缓冲区溢出。找到它需要对 LZW 压缩算法和 GIF 文件格式的交互有概念层面的理解。即使测试覆盖率 100%，这个漏洞也很可能不会被触发——因为它需要一个非常特定的操作序列。

Claude 找到了。

三、当市场开始用脚投票

找到漏洞之后，Claude Code Security 会进入多阶段验证。

自我证伪——反过来尝试证明自己的发现是误报。

分级评分——分配严重等级和置信度。

生成补丁——给出具体的修复建议。

但所有修复都需要人工审批。Claude 只负责「发现和建议」，最终拍板还是开发者。

Anthropic 的说法是：这不是替代安全工程师，而是让一个人能干十个人的活。

但市场显然不这么看。

四、当 AI 成为双刃剑

能帮防御者找漏洞的 AI，也能帮攻击者找。

Anthropic 自己就吃过亏。去年他们发现：

代号 GTG-2002 的攻击者用 Claude Code 攻击了至少 17 个组织。同一个人用它自动化了 80-90% 的间谍活动，针对 30 个组织。有犯罪分子用 Claude 搞「vibe hacking」，一个人搭建了以前需要一整个团队才能完成的数据勒索系统。

所以 Anthropic 的策略是：先把工具交给防御方。

Claude Code Security 目前只对 Enterprise 和 Team 客户开放有限的研究预览。

五、写在最后

网安股集体暴跌，不只是因为 Anthropic 发布了一个新工具。

是因为市场意识到：代码安全这个领域，AI 可能已经从「辅助工具」变成了「降维打击」。

传统网安公司的商业模式，建立在「人工审计成本高」这个前提上。如果这个前提不成立了，它们的护城河在哪里？

这不是 Anthropic 一家的事。OpenAI、Google、微软都在搞类似的能力。

安全行业的游戏规则，可能真的要变了。一人一家公司变得越来越可能。

你怎么看？AI 找漏洞，是让世界更安全，还是让攻击变得更容易？欢迎在评论区聊聊。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI员工上线 AI员工1号 AI员工1号《Claude 出手，传统安全 VS AI安全》