Code Velocity
開発ツール

Claude Code Security: AI脆弱性スキャナー

·5 分で読めます·Anthropic·元の情報源
共有
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Claude Code Securityのスキャンパイプライン図。コード分析、データフロー追跡、検証、パッチ提案の各段階を表示

Claude Code Securityが静的解析を超える方法

Claude Code Securityは限定リサーチプレビューとして提供され、AI駆動の脆弱性検出をClaude Codeに直接統合しています。従来の静的解析は既知の脆弱性パターンとコードを照合し、公開されたパスワードや古い暗号化などの一般的な問題を検出します。Claude Code Securityはさらに進んで、コンポーネント間の相互作用を理解し、アプリケーション内のデータの流れを追跡し、ルールベースのツールが見逃す複雑な脆弱性を検出します。

Claude Opus 4.6によって駆動されており、Terminal-Bench 2.0のエージェント型コーディングで首位を獲得した同じモデルです。

Claude Code Securityの仕組み

スキャンプロセスは複数の検証段階で構成されています:

段階説明
コード分析Claudeがコードベースを読んで推論し、コンポーネントの相互作用を理解
データフロー追跡アプリケーション内のデータの流れを追跡してインジェクションポイントを発見
多段階検証各発見を再検証し、自身の結果の証明または反証を試行
誤検出フィルタリング結果がアナリストに届く前に誤検出をフィルタリング
深刻度評価深刻度を評価し、チームが最も重要な修正を優先できるようにする
パッチ提案検証済みの各脆弱性に対する的確なコードパッチを生成

すべての発見に信頼度評価が含まれ、人間の承認なしには何も適用されません。Claudeは問題を特定し解決策を提案しますが、最終判断は常に開発者が行います。

実績:500以上のゼロデイ脆弱性を発見

Anthropicのフロンティアレッドチームは、競技型Capture-the-Flagイベントや、重要インフラ防御に関するパシフィック・ノースウェスト国立研究所との提携を通じて、Claudeのサイバーセキュリティ能力をストレステストしてきました。

Claude Opus 4.6を使用して、チームは本番環境のオープンソースコードベースで500以上の脆弱性を発見しました。これには従来のツールと人間によるレビューが見逃していた高深刻度のゼロデイ脆弱性も含まれます。

他のツールが見逃す問題をClaude Code Securityが検出

  • ビジネスロジックの欠陥:アプリケーション固有のロジックにおける脆弱性
  • アクセス制御の不備:複雑な権限システムにおける認可の問題
  • コンテキスト依存の脆弱性:複数のコンポーネントの相互作用を理解して初めて現れる問題
  • 隠れたインジェクションポイント:従来のパターンマッチングでは追跡できないデータフローパス

日常のコーディングにClaude Sonnet 4.6やOpus 4.6を使用している開発者にとって、セキュリティスキャンは同じワークフローに直接統合されます。

Claude Code Securityの提供状況

Claude Code Securityは限定リサーチプレビューとして以下に提供されています:

  • EnterpriseおよびTeamプランのお客様(claude.ai)
  • オープンソースメンテナー(優先アクセス付き)

目標は、攻撃者がすでに使用しているのと同じAI能力を防御者に提供し、チームが脆弱性の蓄積よりも早く発見・修正できるようにすることです。

元の情報源

https://www.anthropic.com/news/claude-code-security

よくある質問

Claude Code Securityとは何ですか?
Claude Code Securityは、AnthropicがClaude Codeに組み込んだAI駆動の脆弱性スキャナーです。既知のパターンとコードを照合する従来の静的解析とは異なり、人間のセキュリティ研究者のようにコードを読んで推論し、コンポーネント間の相互作用を理解し、アプリケーション全体でデータフローを追跡します。テスト中に本番環境のオープンソースコードベースで500以上のゼロデイ脆弱性を発見しました。Enterprise、Teamプラン、およびオープンソースメンテナー向けの限定リサーチプレビューとして提供されています。
Claude Code Securityは従来の静的解析とどう違いますか?
従来の静的解析ツールは、既知の脆弱性パターンのデータベースに対してコードをチェックし、公開されたパスワードや古い暗号化などの問題を検出します。Claude Code Securityはそれ以上に、アプリケーション固有のロジックについて推論し、コンポーネント間のデータの流れを追跡し、アクセス制御の不備やビジネスロジックの欠陥などのコンテキスト依存の脆弱性を特定します。多段階検証プロセスにより、報告前に自身の発見を再検証して誤検出をフィルタリングします。
Claude Code Securityはいくつの脆弱性を発見しましたか?
Claude Opus 4.6を使用して、Anthropicのフロンティアレッドチームは本番環境のオープンソースコードベースで500以上の脆弱性を発見しました。これには従来のツールと人間によるコードレビューの両方が見逃していた高深刻度のゼロデイ脆弱性も含まれます。チームは競技型Capture-the-Flagイベントや、重要インフラ防御に関するパシフィック・ノースウェスト国立研究所との提携を通じて、これらの能力をストレステストしています。
Claude Code Securityは誰が利用できますか?
Claude Code Securityは、claude.aiのEnterpriseおよびTeamプランのお客様向けの限定リサーチプレビューとして提供されており、オープンソースリポジトリのメンテナーには優先アクセスが用意されています。Claude Opus 4.6とClaude Sonnet 4.6の両方で動作します。Anthropicはスタンドアロンのセキュリティ機能の一般提供や価格についてはまだ発表していません。

最新情報を入手

最新のAIニュースをメールでお届けします。

共有