最先端のサイバーセキュリティ能力を防御側に提供する
最先端のサイバーセキュリティ技術を防御側に提供し、脅威に対抗する能力を強化する取り組みについて。
キーポイント
AnthropicがClaude Code Securityを限定リサーチプレビューで公開。既知パターンではなく、人間の研究者のようにコードを読み解き、文脈依存の複雑な脆弱性を検出するAIセキュリティ機能
静的解析ツールの限界(既知パターンのみ)を超え、ビジネスロジックの欠陥やアクセス制御の不備など、従来見逃されがちな高度な脆弱性を発見可能
防御側に特化した設計で、多段階検証プロセス・信頼度評価・人間による最終承認を組み合わせ、AI能力の悪用リスクを低減しながら責任ある展開を目指す
影響分析・編集コメントを表示
影響分析
この発表は、AIがサイバーセキュリティの実践を根本から変える可能性を示す重要な一歩である。従来のルールベースの自動化を超え、文脈理解に基づく脆弱性発見を実用化することで、深刻な人材不足に直面するセキュリティ業界に新たな解決策を提供する。一方で、AIの二重使用(防御と攻撃)のリスクを認識した上での責任ある展開アプローチは、今後のAIセキュリティツール開発のモデルケースとなり得る。
編集コメント
AIの「二重使用」問題を正面から捉え、防御側に特化した形で先端能力を提供するというAnthropicの戦略的アプローチが注目点。セキュリティ人材不足という現実課題へのソリューションとしての実用性が高い。
AIを活用した新たなサイバーセキュリティ防衛機能「Claude Code Security」が限定公開へ
Anthropic社は、高度なAIをサイバーセキュリティ防衛に活用する新機能「Claude Code Security」を、限定リサーチプレビューとして公開した。この機能は、Web版Claude Codeに組み込まれており、コードベースをスキャンしてセキュリティ脆弱性を発見し、修正パッチを提案する。その目的は、従来の手法では見逃されがちな複雑な脆弱性を、防御側のチームが先手を打って発見・修正する能力を強化することにある。
現在、セキュリティチームは、発見される脆弱性の数に対して対応リソースが圧倒的に不足するという課題に直面している。既存の静的解析ツールは、既知の脆弱性パターンをルールベースで検出するため、露出したパスワードや古い暗号化といった一般的な問題は捕捉できる。しかし、ビジネスロジックの欠陥やアクセス制御の不備など、文脈に依存する複雑で微妙な脆弱性は、熟練した人間の研究者でなければ発見が難しく、これが攻撃者に悪用されるケースが多い。
Claude Code Securityは、このギャップを埋めることを目指す。既知のパターンをスキャンするのではなく、人間のセキュリティ研究者のようにコードを読み、推論する。具体的には、コード内のコンポーネントがどのように相互作用するかを理解し、データの流れを追跡することで、ルールベースのツールでは見逃すような複雑な脆弱性を捕捉する。
検出プロセスは慎重に設計されている。AIが発見した候補は、多段階の検証プロセスを経る。まずClaude自身が各結果を再検証し、誤検知(偽陽性)を除外しようと試みる。その後、脆弱性に深刻度評価を付与し、チームが優先的に対処できるようにする。最終的な検知結果はダッシュボードに表示され、提案された修正パッチと共にレビューされる。各所見には、ソースコードだけからは判断が難しいニュアンスを考慮した「信頼度評価」も付与される。重要なのは、修正の適用はすべて人間の承認を必要とすることであり、AIは問題の特定と解決策の提案までを行い、最終判断は常に開発者が下す。
同社は、この機能が持つ強力な能力が攻撃者に悪用されるリスクも認識している。そこで今回、エンタープライズ及びチーム向け顧客を対象とした限定公開とし、特にオープンソースリポジトリの管理者には優先的にアクセスを提供する。これにより、関係者と協力しながら機能を改良し、責任ある展開を確保する方針だ。この機能は、同社の「Frontier Red Team」が1年以上にわたり、キャプチャー・ザ・フラッグ(CTF)競技などでシステム的にストレステストを行ってきた研究成果に基づいて構築されている。
要約すると、Claude Code Securityは、AIの高度なコード理解力を活用して、従来は人間の専門家に依存せざるを得なかった深い脆弱性発見を自動化し、防御側の能力を飛躍的に高めようとする試みである。同時に、
原文を表示
AnnouncementsMaking frontier cybersecurity capabilities available to defenders
Claude Code Security, a new capability built into Claude Code on the web, is now available in a limited research preview. It scans codebases for security vulnerabilities and suggests targeted software patches for human review, allowing teams to find and fix security issues that traditional methods often miss.Security teams face a common challenge: too many software vulnerabilities and not enough people to address them. Existing analysis tools help, but only to a point, as they usually look for known patterns. Finding the subtle, context-dependent vulnerabilities that are often exploited by attackers requires skilled human researchers, who are dealing with ever-expanding backlogs.
AI is beginning to change that calculus. We’ve recently shown that Claude can detect novel, high-severity vulnerabilities. But the same capabilities that help defenders find and fix vulnerabilities could help attackers exploit them.
Claude Code Security is intended to put this power squarely in the hands of defenders and protect code against this new category of AI-enabled attack. We’re releasing it as a limited research preview to Enterprise and Team customers, with expedited access for maintainers of open-source repositories, so we can work together to refine its capabilities and ensure it is deployed responsibly.
Static analysis—a widely deployed form of automated security testing—is typically rule-based, meaning it matches code against known vulnerability patterns. That catches common issues, like exposed passwords or outdated encryption, but often misses more complex vulnerabilities, like flaws in business logic or broken access control.
Rather than scanning for known patterns, Claude Code Security reads and reasons about your code the way a human security researcher would: understanding how components interact, tracing how data moves through your application, and catching complex vulnerabilities that rule-based tools miss.
Every finding goes through a multi-stage verification process before it reaches an analyst. Claude re-examines each result, attempting to prove or disprove its own findings and filter out false positives. Findings are also assigned severity ratings so teams can focus on the most important fixes first.
Validated findings appear in the Claude Code Security dashboard, where teams can review them, inspect the suggested patches, and approve fixes. Because these issues often involve nuances that are difficult to assess from source code alone, Claude also provides a confidence rating for each finding. Nothing is applied without human approval: Claude Code Security identifies problems and suggests solutions, but developers always make the call.
Claude Code Security builds on more than a year of research into Claude’s cybersecurity capabilities. Our Frontier Red Team has been stress-testing these abilities systematically: entering Claude in competitive Capture-the-Flag events, partnering with Pacific Northwest National Laboratory to experiment with using AI to defend critical infrastructure, and refining Claude’s ability to find and patch real vulnerabilities in code.
Claude’s cyberdefensive abilities have improved substantially as a result. Using Claude Opus 4.6, released earlier this month, our team found over 500 vulnerabilities in production open-source codebases—bugs that had gone undetected for decades, despite years of expert review. We’re working through triage and responsible disclosure with maintainers now, and we plan to expand our security work with the open-source community.
We also use Claude to review our own code, and we’ve found it to be extremely effective at securing Anthropic’s systems. We built Claude Code Security to make those same defensive capabilities more widely available. And since it’s built on Claude Code, teams can review findings and iterate on fixes within the tools they already use.
This is a pivotal time for cybersecurity. We expect that a significant share of the world’s code will be scanned by AI in the near future, given how effective models have become at finding long-hidden bugs and security issues.
Attackers will use AI to find exploitable weaknesses faster than ever. But defenders who move quickly can find those same weaknesses, patch them, and reduce the risk of an attack. Claude Code Security is one step towards our goal of more secure codebases and a higher security baseline across the industry.
We’re opening a limited research preview of Claude Code Security to Enterprise and Team customers today. Participants will get early access and collaborate directly with our team to hone the tool’s capabilities. We also encourage open-source maintainers to apply for free, expedited access.
To learn more, visit claude.com/solutions/claude-code-security.
Anthropic and the Government of Rwanda sign MOU for AI in health and education
Sonnet 4.6 delivers frontier performance across coding, ag
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み