Anthropic Claude Code：AI安全审查常驻，赋能开发者代码安全

在软件开发安全领域迈出了重要一步，Anthropic 发布了其 Claude Code 产品中的一项全新“常时在线”AI 安全审查能力。这项增强旨在将持续的漏洞检测直接嵌入到开发者的工作流程中，从而防止不安全代码进入生产环境。此举标志着在AI辅助代码生成加速的背景下，组织处理软件供应链完整性的方式发生了关键性演变。

Anthropic 的 Claude Code 是一款代理式编码工具，设计用于在开发者的终端中运行。它现在配备了专用的 /security-review 命令和集成的 GitHub Action，用于自动化拉取请求审查。开发者可以直接从终端调用 /security-review 命令，以便在提交更改之前对其代码进行即时、临时的分析。这种实时扫描能够主动识别常见的安全缺陷，包括 SQL 注入风险、跨站脚本 (XSS) 漏洞、认证和授权问题、不安全的数据处理实践以及依赖项漏洞。除了仅仅标记问题外，Claude Code 还旨在提供已识别问题的详细解释，并且关键的是，建议甚至实现修复，从而简化了补救过程。

集成的 GitHub Action 进一步巩固了这种“左移”安全方法，自动审查每个新的拉取请求是否存在漏洞。一旦配置，系统会使用可自定义规则过滤掉误报，并在拉取请求上发布内联评论，其中包含具体关注点和推荐解决方案。这种自动化确保了开发团队之间安全审查流程的一致性，在任何代码合并到主分支之前建立了基线安全检查。Anthropic 已在内部展示了这些新功能的有效性，在代码交付给用户之前，成功捕获了多个生产漏洞，包括一个远程代码执行缺陷和一个 SSRF 攻击漏洞。

这一发展在软件行业的一个关键时刻到来。AI 驱动的开发工具的广泛采用开启了一个“氛围编码”的时代，AI 加速了代码生产并增加了复杂性。在提高开发者速度的同时，这种快速生成代码也引发了对安全问题增加的担忧；事实上，Verizon 2025 年数据泄露调查报告指出，攻击者利用漏洞进行初始访问的事件增加了 34%。传统的手动代码审查难以跟上这种指数级增长的步伐，往往造成瓶颈并未能捕获复杂的威胁。AI 驱动的漏洞扫描利用机器学习和大型语言模型，通过从大量真实世界的漏洞数据集中学习并适应新威胁，提供了一种可扩展的解决方案。

Anthropic 致力于将其强大的安全性集成到开发者工具中，这与其作为 AI 安全和负责任 AI 开发领域先驱的更广泛使命相符。该公司一贯强调开发可靠、可解释和可引导的 AI 系统，其基础是其负责任扩展政策 (RSP) 和资助 AI 安全基准测试等举措。这项新的 Claude Code 功能是该理念的直接应用，旨在使安全编码不再是事后考虑，而是开发周期中固有的组成部分。

随着 AI 继续重塑 IT 和网络安全格局，像 Claude Code 这样的工具正变得不可或缺。网络安全领域的“AI 军备竞赛”看到 AI 被防御者用于自动化威胁检测和响应，也被攻击者用于制造更复杂的攻击，如 AI 生成的网络钓鱼和深度伪造。通过为开发者提供一个“常时在线”的 AI 安全副驾驶，Anthropic 不仅仅是提供一个新功能，而是在构建“默认安全”、最大限度减少人为错误以及主动强化软件供应链以应对不断演变威胁方面实现了根本性转变。虽然人工监督对于处理细微差别和避免误报仍然至关重要，但 AI 在开发最早阶段建立普遍安全态势方面的作用无疑是变革性的。