文章总结： Anthropic推出ClaudeCodeSecurity，该AI工具能像人类安全研究员一样阅读分析代码，理解组件交互与数据流，发现传统基于规则的工具常遗漏的复杂逻辑漏洞。内部测试中，它在生产开源代码库中发现了500多个漏洞，包括存在数十年未被专家发现的漏洞。这标志着安全防护从模式匹配转向逻辑推理，引发市场对传统安全软件公司前景的担忧，并预示AI对抗AI的安全格局。 综合评分： 85 文章分类： AI安全,代码审计,漏洞分析,安全工具,安全建设

Claude Code Security：宣告传统网络安全走向死亡？

原创

网空闲话 网空闲话

网空闲话plus

2026年2月22日 07:12 北京

2026年2月20日，网络安全市场经历了一场剧烈震荡。CrowdStrike股价下跌6.5%至每股394.50美元，Cloudflare下跌6.2%至每股180.71美元，Zscaler下跌3.1%至每股163.76美元，Palo Alto Networks下跌0.6%至每股150.14美元。JFrog股价暴跌近25%，收于37.75美元；GitLab下跌超过8%，至26.39美元。短短几个小时内，市值损失数十亿美元。

引发这场恐慌的，并非新的零日漏洞或大规模数据泄露，而是一纸公告：Anthropic于当天推出Claude Code Security——一款能够扫描软件代码库漏洞并提出修复建议的人工智能工具。Anthropic在博客文章中表示，该工具随后会针对特定软件补丁提出建议，供人工审核，从而帮助团队发现并修复传统方法常常忽略的安全问题。

市场用真金白银传递了一个清晰信号：模式匹配的时代正在终结，推理引擎的时代已经到来。

“模式匹配”到“逻辑推理”的范式颠覆

传统静态应用程序安全测试工具的工作原理，本质上是一场“找茬游戏”。它们依赖已知漏洞数据库和正则表达式模式，将代码与既有的恶意函数库进行比对。Anthropic在公告中指出，这些方法通常基于规则，只能将代码与已知漏洞进行比较。如果数据库中没有相应的规则，它们就无法检测到该漏洞。

Claude Code Security的突破性在于，它“会像人类安全研究人员一样阅读和分析你的代码”。Anthropic表示，这意味着该工具可以了解“组件如何交互，跟踪数据如何在应用程序中移动，并捕获基于规则的工具遗漏的复杂漏洞”——例如业务逻辑缺陷或访问控制故障。这正是传统工具最薄弱的环节：逻辑缺陷通常没有“特征”，因为代码语法正确，但语义存在问题。

一个典型案例是多租户应用程序中不安全的直接对象引用。当后端使用请求体中的user_id而不是会话令牌来确定要更新哪个个人资料时，代码语法完全正确，但安全语义存在致命缺陷。传统扫描器无法发现这类问题，因为它们无法理解“用户A不应该看到用户B的发票”这一业务逻辑。而Claude Code Security通过构建代码的心理模型，能够识别出这种上下文相关的漏洞——这正是基于规则的工具所遗漏的“复杂漏洞”类型。

“人类推理”的可量化优势

Anthropic的内部测试提供了震撼业界的实证数据：Claude Opus 4.6在生产开源代码库中发现了500多个漏洞，其中一些漏洞尽管经过积极的专家审查，却已存在数十年之久而未被发现。

这意味着什么？传统安全工具和安全专家团队的组合，在数十年间对一个代码库进行了反复审查——据Anthropic称，这些审查甚至包含“积极的专家审查”——却仍然漏掉了某些漏洞。而AI模型在一次扫描中就发现了它们。当Anthropic声称其工具“会像人类安全研究人员一样阅读和分析你的代码”时，这不再是营销话术：它正在用长达数十年的“漏网之鱼”来证明这一能力。

更关键的是机制设计。Claude Code Security得出的每一项结论都会经过“多阶段验证过程”，然后才会转发给分析师。这些研究结果还会被赋予严重程度评级和置信度评分。低置信度结果可能是假阳性，高置信度结果则需要立即处理。这种分级机制将大量潜在漏洞转化为可管理、优先级排序的待办事项清单，有效解决了安全行业长期存在的“漏洞与开发人员比例失衡”问题。

市场恐慌背后的理性逻辑

投资者对Anthropic公告的反应是否过度？Raymond James分析师Mark Cash认为JFrog股票的抛售“过度了”。他在一份报告中表示：“我们认为这种反应过度，并认为市场对（Claude Code Security）目前功能的推断远远超出了实际情况……大型企业需要分层安全模型，而代码审查并不能消除软件供应链风险。”杰富瑞分析师Joseph Gallo也承认，“防火墙和终端等领域受到的影响相对较小”。

但市场的集体恐慌并非毫无根据。JFrog股价暴跌近25%的背后，是投资者看到了一个根本性威胁：如果代码质量和漏洞检测能力得到显著提升——正如Claude Opus 4.6在开源代码库中发现存在数十年的漏洞所证明的那样——企业可能会觉得对下游软件包级别的控制措施需求有所降低。Cash也承认了这种逻辑的存在：“如果代码质量和漏洞检测能力得到显著提升，企业可能会觉得对下游软件包级别的控制措施（例如Jfrog Curation）的需求有所降低。”

同样，CrowdStrike、Zscaler、Cloudflare等安全厂商的下跌，反映的是投资者对AI可能蚕食传统安全软件市场需求的普遍焦虑。Gallo指出：“我们认为Anthropic的声明表明其有意进一步进军网络安全领域，这只会加剧我们报道该领域时面临的舆论压力。”他同时承认，“代码扫描、SIEM、漏洞管理以及MDR的分析/调查部分可能会受到一些影响”。

这种焦虑在今年已持续蔓延。包含许多大型软件公司的iShares Expanded Tech-Software Sector ETF在2026年下跌了超过23%。投资者越来越担心，生成式AI软件编码工具和自动化AI助手将对传统软件产品的增长和利润率造成冲击。安全行业只是最新一个因单一新闻而受到冲击的行业。

AI对抗AI：未来的安全格局

Anthropic在公告中承认了一个令人不安的事实：“帮助防御者发现和修复漏洞的相同能力也可能帮助攻击者利用这些漏洞。”该公司进一步表示，未来威胁行为者“将利用人工智能以前所未有的速度发现可利用的弱点”。这种“双重用途特性”意味着，人工智能扫描的能力将使攻击者和防御者在未来都受益——但同时也都面临挑战。

这意味着安全行业正站在一个转折点上。未来的18个月内，我们将见证“AI对抗AI”的安全格局：像Claude Code这样的防御型AI将与攻击型AI代理进行实时对抗。攻击者将使用AI生成理解上下文的恶意代码，绕过基于特征码的检测；防御者则必须将关注点从代码语法转移到数据流和状态转换上，在运行时监控应用程序的自身行为。

Palo Alto Networks首席执行官Nikesh Arora试图安抚投资者，称LLM的准确性不足以完全取代安全运营等关键环节。他在Palo Alto Networks周二的季度电话会议上告诉分析师：“我仍然不明白为什么市场将人工智能视为对网络安全行业的威胁。”他指出，许多安全工具通过访问真实世界的客户数据来训练其AI模型，从而获得了巨大优势。

然而，当Anthropic的模型能够发现人类团队完全忽略的、存在数十年的漏洞时，“有些事情仍然需要人类”这种说法的说服力正在急剧下降。安全研究人员也确实指出，当前的AI工具往往擅长发现低危漏洞，而对于复杂的威胁管理仍然需要人类专业知识。但问题在于：当一个工具能发现“数十年的漏网之鱼”时，它已经证明了它在“发现漏洞”这一核心任务上的能力正在超越人类。

模式匹配已死，推理为王

传统的静态分析工具将代码与已知漏洞模式库进行比较，这对于发现诸如凭据泄露或加密过时等显而易见的错误非常有用，但对于更隐蔽的问题则无能为力。Claude Code Security的推出标志着安全防护正从“基于工具”转向“基于推理”。

投资者对Anthropic公告的反应——短短几小时内市值损失数十亿美元——并非对单一产品功能的反应，而是对整个行业未来格局的重新定价。那些仅依赖特征码检测的供应商将面临生存威胁，因为AI现在可以执行以前只有资深渗透测试人员才能进行的逻辑推理。无法理解应用程序逻辑上下文的安全工具，正被市场当作普通商品来定价。

安全分析师的角色正在被重新定义。未来的防御者必须学会“像AI一样思考”——编写特定的提示来审核代码中的业务逻辑错误，而不仅仅是注入漏洞。未来的问题不再是“我的代码是否容易受到已知攻击？”，而是“我的代码是否会以人类尚未想象的方式被用来攻击我？”。

归根结底，Claude Code Security并非取代人类工程师，而是通过分担漏洞分类的认知负荷来增强他们的工作能力。Anthropic在公告中表示，这是其“朝着更安全的代码库和更高的行业安全基线这一目标迈出的重要一步”。我们正从一个只问“这行代码安全吗？”的世界，迈向一个只问“整个系统运行是否安全？”的世界。这不仅仅是一款产品的发布，更是对整个网络安全行业价值主张的根本性质疑——而市场的暴跌表明，投资者已经听懂了这一质疑。

【闲话简评】

Claude Code Security的冲击波为中国网络安全行业敲响了警钟。国内大量安全厂商仍停留在传统舒适区，产品同质化严重，估值逻辑依赖合规采购而非技术壁垒。AI驱动的推理型安全产品正在重新定义游戏规则：漏洞发现不再是规则库大小的比拼，而是模型理解业务逻辑能力的较量。对中国厂商而言，启示有三：一是必须立即将AI能力作为核心战略而非营销噱头，否则将在未来三年被淘汰；二是安全人才结构需重构，从“规则编写者”转向“AI提示工程师”；三是业务逻辑安全将成为蓝海市场，传统工具完全失效，这正是国产厂商弯道超车的机会。

当攻击者开始用AI挖掘逻辑缺陷时，依赖传统防护体系的企业将暴露在巨大的风险敞口中。

参考资源

1、https://www.crn.com/news/security/2026/5-things-to-know-on-anthropic-s-claude-code-security

2、https://www.investors.com/news/technology/cybersecurity-stocks-jfrog-stock-gitlab-anthropic-claude-tools/

3、https://techweez.com/2026/02/21/anthropic-launches-claude-code-security/

4、https://undercodetesting.com/claude-just-sentenced-traditional-cybersecurity-to-death-by-reasoning-video/

5、https://undercodetesting.com/how-anthropics-claude-just-rewrote-the-rules-of-code-security-and-why-hackers-are-worried-video/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《Claude Code Security：宣告传统网络安全走向死亡？》