Anthropic Claude Code 获自动化AI安全审查能力，代码更安全

Anthropic 发布了其命令行AI编码助手Claude Code的自动化安全审查功能，直接回应了在人工智能显著加速软件开发周期背景下，维护代码完整性日益增长的担忧。这些新功能包括基于终端的安全扫描命令和自动化的GitHub拉取请求审查。Anthropic前沿红队负责人Logan Graham将其描述为“迈向开发者以最小努力创建高度安全代码的基石性一步”。

此次更新的核心是新的/security-review命令，开发者可以在提交代码前直接从终端执行该命令。此功能可快速扫描常见漏洞，包括SQL注入、跨站脚本（XSS）、认证缺陷、不安全的数据处理和依赖项漏洞等问题。Graham强调了其简易性，将这一过程比作“10次按键”，即可提供资深安全工程师的监督效果，使开发者无论代码是独立编写还是在Claude的协助下完成，都能轻松确保代码安全。通过识别并允许Claude Code自动修复这些问题，安全审查过程得以保留在“内部开发循环”——即问题解决成本最低、最容易的早期阶段。

除了终端命令，一个重要的GitHub Action能够自动审查每个拉取请求是否存在安全弱点。一旦由安全团队配置完成，该系统会在新的拉取请求上自动激活，分析代码更改中的漏洞，应用可自定义规则以过滤误报，并在拉取请求中以内联评论的形式详细说明问题并推荐修复方案。这种强大的集成在开发团队中建立了统一的安全审查协议，确保任何代码在未经基本安全评估的情况下不会进入生产环境，并与现有的持续集成/持续交付（CI/CD）管道无缝集成。

Anthropic已在内部严格测试了这些功能，Graham证实公司已在部署前成功拦截了多项生产漏洞。值得注意的捕获包括一个可通过本地HTTP服务器中的DNS重绑定利用的远程代码执行漏洞，以及一个内部凭证管理系统中的SSRF（服务器端请求伪造）攻击漏洞。此次内部验证突显了新工具在防止安全缺陷到达最终用户方面的有效性。

这些安全增强功能直接回应了Graham所说的软件安全“迫在眉睫的危机”。随着AI工具日益普及，生成的代码量呈爆炸式增长。Graham认为，未来一到两年内，现有代码量可能增加十倍、百倍甚至千倍。他指出，管理这种前所未有的规模的唯一可行方法，正是那些推动代码爆炸的模型。传统的人工安全审查在这种规模下根本不可持续，因此自动化的AI驱动解决方案对于维护甚至提升代码安全至关重要。

除了应对规模挑战，Anthropic的新功能还旨在民主化高级安全专业知识的获取。Graham强调了其对小型开发团队、个人开发者或“一人公司”的益处，这些实体通常缺乏专业的安全工程师或昂贵的安全软件预算。通过提供这些功能，Anthropic使这些小型实体能够更可靠地构建和更快地扩展，从而全面促进更安全的开发生态系统。

这些安全功能的起源可追溯到Anthropic内部的一次黑客马拉松项目，该项目源于安全团队为AI公司自身维护“前沿级安全”的努力。该工具在发布前发现Anthropic自身代码缺陷的有效性，迅速促成了将其提供给所有Claude Code用户的决定，这与公司更广泛的使命相符。此次发布也与Anthropic最近旨在增强Claude Code企业就绪性的战略推动相一致，此前Claude Code已进行了一系列快速更新，包括子代理、管理员分析仪表板、原生Windows支持、Hooks和多目录支持。这种快速创新凸显了Anthropic将Claude Code定位为现代开发团队不可或缺的基础设施的雄心，超越单纯的代码生成，实现全面的工作流集成。

Graham认为，这些安全功能仅仅是软件开发和安全将如何与AI交叉融合的深刻变革的开端。他预见到未来AI模型将以日益“代理化”的方式运行，自主处理复杂的、多步骤的开发任务。/security-review命令和GitHub Action均已立即向所有Claude Code用户提供，其中终端命令需要更新到最新版本，GitHub Action则需要按照Anthropic文档中详述的手动设置过程。