Anthropic、コードのセキュリティ脆弱性をAIで検出・修正提案する「Claude Code Security」を限定公開

Claude Code Securityは、ウェブ版の「Claude Code」に組み込まれた新機能です。従来の静的解析ツールが既知のパターンに照合する「ルールベース」なアプローチとは異なり、人間のセキュリティ研究者のようにコードを読み解き、コンポーネント間の相互作用やデータの流れを理解します。これにより、ビジネスロジックの欠陥やアクセス制御の不備など、より複雑で見つけにくい脆弱性の発見が可能になるとしています。

検出された問題は、そのまま開発者に提示されるわけではありません。Claude自身が発見内容を再検証し、誤検知（false positive）をフィルタリングします。さらに、各発見には深刻度評価と信頼度評価が付けられ、ダッシュボード上で確認できます。修正パッチは提案されますが、実際の適用は常に開発者の判断に委ねられます。

この機能は、1年以上にわたるClaudeのサイバーセキュリティ能力に関する研究の成果です。Anthropicの「Frontier Red Team」は、キャプチャー・ザ・フラッグ（CTF）大会への参加や、パシフィック・ノースウェスト国立研究所との重要インフラ防衛実験を通じて能力をストレステストしてきました。

先月リリースされた最新モデル「Claude Opus 4.6」を使用した実験では、長年専門家のレビューを受けていたオープンソースコードから、過去数十年間見過ごされていた500以上の脆弱性を発見したと報告しています。同社は自社のコードレビューにもClaudeを活用しており、その有効性を実感したことが、今回の機能一般提供につながりました。

Anthropicは、近い将来、世界のコードの相当部分がAIによってスキャンされるようになると予測しています。攻撃者がAIを悪用して弱点を探すスピードは速まる一方です。そのため、守る側が素早く同じ弱点を見つけて修正し、攻撃リスクを低減することが重要になります。Claude Code Securityは、より安全なコードベースと業界全体のセキュリティ水準向上を目指す一歩と位置付けられています。

現在、この機能はエンタープライズおよびチームプランの顧客を対象とした限定リサーチプレビューとして提供されています。オープンソースリポジトリの管理者は、無料で優先アクセスを申請できます。

A. AnthropicのAI「Claude」が、コードベースをスキャンしてセキュリティ上の脆弱性を発見し、修正案を提案する機能です。

A. 既知のパターンに当てはめるのではなく、コードの文脈やデータの流れを理解して、より複雑で潜在的な脆弱性を探せる点が特徴です。

A. 現在はClaudeのチーム/エンタープライズプラン顧客と、申請したオープンソース管理者を対象とした限定公開です。

O!Productニュース編集部からのコメント

「ルールベースでは見つけられない脆弱性」を探せる点が最大の強みです。セキュリティチームのバックログ解消に、かなり役立ちそうな機能ですね。

引用元：Anthropic News