Claude Code Security: KI-Schwachstellenscanner

Wie Claude Code Security über statische Analyse hinausgeht

Claude Code Security, jetzt als eingeschränkte Forschungs-Preview verfügbar, bringt KI-gestützte Schwachstellenerkennung direkt in Claude Code. Traditionelle statische Analyse gleicht Code gegen bekannte Schwachstellenmuster ab und erkennt häufige Probleme wie offengelegte Passwörter oder veraltete Verschlüsselung. Claude Code Security geht weiter: Es versteht, wie Komponenten interagieren, verfolgt, wie Daten durch die Anwendung fließen, und erkennt komplexe Schwachstellen, die regelbasierte Tools übersehen.

Es wird von Claude Opus 4.6 angetrieben, dem gleichen Modell, das Terminal-Bench 2.0 für agentisches Coding anführt.

Wie Claude Code Security funktioniert

Der Scanprozess umfasst mehrere Verifizierungsstufen:

Phase	Beschreibung
Codeanalyse	Claude liest und analysiert die Codebasis und versteht Komponenteninteraktionen
Datenfluss-Verfolgung	Verfolgt, wie Daten durch die Anwendung fließen, um Injektionspunkte zu finden
Mehrstufige Verifizierung	Überprüft jeden Fund erneut und versucht, eigene Ergebnisse zu bestätigen oder zu widerlegen
Fehlalarm-Filterung	Filtert Fehlalarme heraus, bevor Ergebnisse den Analysten erreichen
Schweregrad-Bewertung	Weist Schweregrade zu, damit Teams die kritischsten Fixes priorisieren können
Patch-Vorschlag	Generiert gezielte Code-Patches für jede validierte Schwachstelle

Jeder Fund enthält eine Vertrauensbewertung, und nichts wird ohne menschliche Genehmigung angewendet. Claude identifiziert Probleme und schlägt Lösungen vor, aber Entwickler treffen immer die endgültige Entscheidung.

Reale Ergebnisse: Über 500 Zero-Days gefunden

Anthropics Frontier Red Team hat Claudes Cybersicherheitsfähigkeiten durch kompetitive Capture-the-Flag-Events und Partnerschaften mit dem Pacific Northwest National Laboratory für den Schutz kritischer Infrastruktur auf die Probe gestellt.

Mit Claude Opus 4.6 fand das Team über 500 Schwachstellen in produktiven Open-Source-Codebasen, darunter neuartige, hochkritische Zero-Day-Schwachstellen, die von traditionellen Tools und menschlicher Review übersehen worden waren.

Was Claude Code Security erkennt, was andere übersehen

Geschäftslogikfehler: Schwachstellen in anwendungsspezifischer Logik
Fehlerhafte Zugriffskontrolle: Autorisierungsprobleme in komplexen Berechtigungssystemen
Kontextabhängige Schwachstellen: Probleme, die erst bei Verständnis der Interaktion mehrerer Komponenten sichtbar werden
Subtile Injektionspunkte: Datenflusspfade, die traditionelles Pattern-Matching nicht verfolgt

Für Entwickler, die Claude Sonnet 4.6 oder Opus 4.6 für die tägliche Programmierung nutzen, integriert sich das Security-Scanning direkt in den gleichen Workflow.

Verfügbarkeit von Claude Code Security

Claude Code Security ist als eingeschränkte Forschungs-Preview verfügbar für:

Enterprise- und Team-Kunden auf claude.ai
Open-Source-Maintainer mit beschleunigtem Zugang

Das Ziel ist es, Verteidigern die gleichen KI-Fähigkeiten zu geben, die Angreifer bereits nutzen, und Teams zu helfen, Schwachstellen schneller zu finden und zu beheben, als sie sich ansammeln.

Häufig gestellte Fragen

Was ist Claude Code Security?

Claude Code Security ist ein KI-gestützter Schwachstellenscanner, der von Anthropic in Claude Code integriert wurde. Anders als traditionelle statische Analyse, die Code gegen bekannte Muster abgleicht, liest und analysiert es Code wie ein menschlicher Sicherheitsforscher, versteht Komponenteninteraktionen und verfolgt Datenflüsse durch die Anwendung. Beim Testen wurden über 500 Zero-Day-Schwachstellen in produktiven Open-Source-Codebasen gefunden. Es ist als eingeschränkte Forschungs-Preview für Enterprise-, Team-Kunden und Open-Source-Maintainer verfügbar.

Wie unterscheidet sich Claude Code Security von traditioneller statischer Analyse?

Traditionelle statische Analysetools prüfen Code gegen eine Datenbank bekannter Schwachstellenmuster und erkennen Probleme wie offengelegte Passwörter oder veraltete Verschlüsselung. Claude Code Security geht weiter, indem es über anwendungsspezifische Logik nachdenkt, verfolgt wie Daten zwischen Komponenten fließen und kontextabhängige Schwachstellen wie fehlerhafte Zugriffskontrolle und Geschäftslogikfehler identifiziert. Es verwendet einen mehrstufigen Verifizierungsprozess, der eigene Ergebnisse überprüft, um Fehlalarme vor der Meldung herauszufiltern.

Wie viele Schwachstellen hat Claude Code Security gefunden?

Mit Claude Opus 4.6 fand Anthropics Frontier Red Team über 500 Schwachstellen in produktiven Open-Source-Codebasen, darunter neuartige, hochkritische Zero-Day-Schwachstellen, die sowohl von traditionellen Tools als auch menschlicher Code-Review übersehen worden waren. Das Team hat diese Fähigkeiten durch kompetitive Capture-the-Flag-Events und Partnerschaften mit dem Pacific Northwest National Laboratory für den Schutz kritischer Infrastruktur getestet.

Wer kann auf Claude Code Security zugreifen?

Claude Code Security ist als eingeschränkte Forschungs-Preview für Enterprise- und Team-Kunden auf claude.ai verfügbar, mit beschleunigtem Zugang für Maintainer von Open-Source-Repositories. Es funktioniert sowohl mit Claude Opus 4.6 als auch mit Claude Sonnet 4.6. Anthropic hat noch keine allgemeine Verfügbarkeit oder Preise für die eigenständige Sicherheitsfunktion angekündigt.