Anthropic 開放 Claude Security 掃碼
Anthropic 把 Claude Opus 4.7 放進 Claude Security 公測,主打企業程式碼掃描、排程掃描、信心分數與修補建議。
Anthropic 把 Claude Security 公測開給企業,讓 Claude 直接掃程式碼找漏洞。
這次不是單純丟一個模型名詞。它把 Anthropic 的 Claude Opus 4.7 放進 Claude Security。目標很直白,就是讓企業直接掃 codebase 找漏洞。
目前是 Claude Enterprise 的 public beta。Claude Team 和 Claude Max 也會跟上。講白了,Anthropic 想把安全掃描做成一個現成功能,不是叫你自己串一堆 API。
| 項目 | 官方說法 | 實際意義 |
|---|---|---|
| 狀態 | Public beta | 企業現在就能試 |
| 模型 | Claude Opus 4.7 | 用最新主力模型做掃描 |
| 掃描模式 | Scheduled、targeted scans | 可排程,也可只掃特定資料夾 |
| 驗證流程 | Multi-stage pipeline + confidence ratings | 先降誤報,再交給人判斷 |
| 輸出 | CSV、Markdown、Slack、Jira、webhooks | 能接進既有流程 |
Claude Security 到底在做什麼
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
它不是只做關鍵字比對。Anthropic 說,Claude Security 會讀 source code,追資料流,還會看模組之間怎麼互動。這種做法比較像資安工程師在想事情,不是單純掃 regex。
每個發現都會附上說明、信心分數、嚴重度、可能影響、重現步驟和修補建議。這點很重要。資安團隊最怕的不是沒警報,而是警報太多,然後每條都像在考人類耐心。
它也能掃整個 repository,或只掃某個目錄。你可以排程執行,也可以手動丟給它。對有 CI/CD、審計流程、或合規需求的團隊來說,這種彈性很實用。
- 可掃整個 repo,也可掃指定資料夾
- 可排程,不用每次手動啟動
- 可把誤報註記為已忽略,保留原因
- 可輸出給 Slack、Jira、CSV、Markdown
Anthropic 也說,這個產品已經在數百家組織做過限制版研究預覽。過去兩個月,它加了多階段驗證、排程掃描、目錄級掃描,還補強了匯出能力。這些都不是花拳繡腿,都是為了少一點人工整理。
為什麼流程比模型名字更重要
很多人看到的是 Claude Opus 4.7。真正值錢的是工作流。資安團隊平常卡在 triage、誤報、工程師和稽核之間的交接。工具如果不能把結果整理好,就只是另一個待辦清單製造機。
Claude Security 的設計重點,是把結果變成能直接處理的資料。它不是只丟一個分數給你。它會把理由、影響範圍、修補方向一起給你。這樣工程師比較能判斷要不要修,也比較能跟主管或稽核講清楚。
我覺得 Anthropic 這招很務實。很多安全工具都先叫你接 API、寫 agent、配 webhook,最後還沒看到價值。這次它把入口放在 Claude.ai 側欄,意思很明顯,就是先讓你用,再談整合。
“If your organization uses Claude, you can start scanning today,” Anthropic said in a company statement.
這句話很直白,也很像 Anthropic 的打法。它不是在賣一個研究展示,而是在賣一個企業功能。對台灣團隊來說,這種路線比空談模型能力更有感,因為大家真的缺的是可落地的流程。
和其他 AI 資安路線怎麼比
Anthropic 這波不是孤軍作戰。它最近還推出 Project Glasswing 和 Claude Mythos Preview。官方還說 Mythos 在測試中找出數千個 zero-day vulnerabilities。這代表它不是只想做聊天機器人。
另一邊,OpenAI 也在推 GPT-5.4-Cyber,還擴大 Trusted Access for Cyber。換句話說,兩大陣營都在搶企業資安入口,只是切法不同。
Anthropic 的差異點,在於它比較像產品整合。OpenAI 比較像模型與計畫並進。前者強調直接可用,後者強調特定任務能力。企業買單時,通常會先問一件事:哪個比較少整合成本?
- Claude Security 已在 Enterprise 開放公測
- Team 和 Max 之後才會跟進
- OpenAI 走的是 cyber 專用模型與存取計畫
- Anthropic 說 Mythos 測到數千個 zero-days
還有一個訊號不能漏看。Anthropic 說 Opus 4.7 會被整合進 CrowdStrike、Microsoft Security、Palo Alto Networks、SentinelOne、Wiz 等工具。這表示 Claude 的安全能力,想同時走直售和嵌入式兩條路。
數字放一起看,差異更清楚
如果只看新聞稿,大家會覺得都差不多。把數字攤開來看,差異就出來了。Anthropic 現在先開的是 Enterprise 公測,Team 和 Max 還在後面,這代表它先鎖定最願意付錢的客群。
再看功能面。它強調 scheduled scans、targeted scans、confidence ratings、CSV/Jira/Slack 匯出。這些功能不是最炫,但很貼近企業日常。企業要的是能接流程,不是只會 demo。
下面這張表,能快速看出這次更新的重點。你會發現,Anthropic 的主軸不是單點偵測,而是把掃描、驗證、輸出串成一條線。
| 比較項目 | Claude Security | 常見傳統掃描工具 | 差別 |
|---|---|---|---|
| 啟用方式 | Claude 內建入口 | 獨立平台或 CI 外掛 | 前者上手較快 |
| 結果呈現 | 說明 + 信心分數 + 修補建議 | 多半只給 rule 命中 | 前者較好 triage |
| 掃描節奏 | 排程 + 指定目錄 | 多半靠手動或 pipeline | 前者更彈性 |
| 輸出整合 | Slack、Jira、webhooks | 看產品而定 | 前者較容易接團隊流程 |
我會把它看成一種「少裝一層工具」的策略。對中大型團隊來說,少一層整合,就少一層維運。這種東西很無聊,但真的省時間。
這波更新背後的產業脈絡
AI 資安不是新題目,但今年的節奏很密。模型廠商開始直接碰安全掃描、漏洞研究、修補建議。這代表 LLM 不再只負責寫文案和寫 code,還開始碰更敏感的企業流程。
對台灣開發者來說,這件事有兩個現實面。第一,很多公司已經在用 Claude、GPT 或其他 LLM。第二,資安團隊通常人少事多。只要工具能少掉一些人工 triage,就有機會進流程。
但別太快高潮。AI 掃描再強,也還是會有誤報。尤其是大型 monorepo、老舊依賴、魔改過的內部框架,這些東西最愛讓模型和規則引擎一起翻車。最後還是得靠人做決策。
接下來該怎麼看
我覺得接下來要盯三件事。第一,誤報率能不能壓住。第二,修補建議能不能真的能改。第三,匯出的結果能不能直接進團隊流程,不要再手工搬資料。
如果 Anthropic 能把這三件事做好,Claude Security 就不只是多一個功能,而是會變成企業採購時很實際的選項。反過來說,如果結果還是太吵,最後多半只會留在試用名單。
對企業來說,最值得做的事很簡單:拿一個有歷史包袱的 repo 來測。別拿乾淨 demo。看它能不能抓到真問題,也看它會不會把你洗版。這才是答案。