AI在发现漏洞方面已经相当出色，但在解决漏洞方面仍有不足。Anthropic公司上周宣传了Claude Code在发现软件漏洞和提出补丁方面的改进能力，但安全研究人员认为这还远远不够。

这家AI公司将其研究预览功能称为Claude Code Security，描述为帮助安全团队发现和修复可能被忽视的缺陷的工具。

"这是网络安全的关键时刻，"该公司表示。"考虑到模型在发现长期隐藏的错误和安全问题方面变得如此有效，我们预计在不久的将来，世界上相当大一部分代码将被AI扫描。"

为了突出Claude Code Security的漏洞搜寻潜力，该公司指出其红队使用Claude Opus 4.6在生产环境的开源代码库中发现了"超过500个漏洞"。

曾在微软和Palo Alto Networks担任安全研究员的隐形创业公司创始人Guy Azari告诉记者："在他们报告的500个漏洞中，只有2到3个漏洞被修复了。如果他们没有修复这些漏洞，那意味着你什么也没做对。"

Azari指出，缺乏通用漏洞披露(CVE)分配证明了安全流程仍不完整。他说，发现漏洞从来不是问题，并指出了他在微软安全响应中心运行漏洞管理时的经历。

"我们过去整天都在接收报告，"他说。"当AI被引入后，报告数量增加了100到200倍，并带来了很多噪音，因为AI假设这些都是漏洞，但没有一个单位能够真正显示实际价值或实际影响。如果没有这些，你可能不会去修复它。"

据Azari称，2025年，国家漏洞数据库积压了大约30,000个等待分析的CVE条目，近三分之二的报告开源漏洞缺乏NVD严重性评分。他说，开源维护者已经不堪重负，并指出curl项目关闭了其漏洞赏金计划，以阻止来自AI和人员的劣质报告。

"curl的维护者大约两个月前关闭了他们的计划，因为他们收到了太多误报，无法处理这种负荷，"他解释道。"所以Claude可能没有通过给他们带来更多问题来帮助他们。但这些问题没有经过验证，不够具体。这不是修复。这更像是放大崩溃。"

Anthropic拒绝正式置评，但该公司的红队帖子表明，其研究人员正在与开源维护者合作解决已识别的漏洞。因此，关于发现内容的进一步细节可能会及时浮出水面。

安全公司Socket的CEO Feross Aboukhadijeh在邮件中告诉记者，CVE只是协调披露的一部分，所以不应该立即期待CVE发布。

"我们毫不怀疑Anthropic的团队发现了500多个可信的漏洞候选项，"Aboukhadijeh说。"这与我们在整个行业看到的情况一致，因为模型在检测易受攻击代码方面变得越来越好。随着大型模型在探索代码库和跨组件推理方面变得越来越好，发现变得大幅便宜。"

"更困难的部分不再是发现问题。而是之后发生的一切。"

"将漏洞候选项转化为经过验证的、可重现的发现，让维护者和客户能够实际采取行动需要时间：确认受影响的版本、评估现实世界的影响、与维护者协调，以及开发与项目架构一致的补丁。"

Aboukhadijeh预计，强大的、安全优化的AI工具的普及将为安全团队带来越来越多的补丁、升级和紧急修复，需要应用到代码库中。他预计，安全性将受到维护者优先排序、测试和重构能力的约束。

Socket试图解决这个问题的方法之一是通过认证补丁，它包括对现有依赖项的直接更改，作为将依赖项更新到修补版本的替代方案，后者可能因库版本兼容性冲突而引入问题。

"我们正在接近披露将很快超过修复能力的时刻，"他说。"竞争优势不会属于能够产生最多发现的人。它将属于能够将发现转化为安全、优先级化、低干扰变更的人。"

Q&A

Q1：Claude Code Security是什么功能？

A：Claude Code Security是Anthropic公司推出的研究预览功能，旨在帮助安全团队发现和修复可能被忽视的软件漏洞。该功能使用Claude Code的改进能力来识别软件中的安全缺陷并提出修补建议。

Q2：为什么发现500个漏洞但只修复了2-3个？

A：安全研究人员指出，发现漏洞只是第一步，真正的挑战在于后续工作。将漏洞候选项转化为经过验证、可重现的发现需要时间，包括确认受影响版本、评估实际影响、与维护者协调以及开发合适的补丁。开源维护者已经不堪重负，无法处理大量AI生成的漏洞报告。

Q3：AI在网络安全领域面临什么挑战？

A：主要挑战是AI虽然能大量发现漏洞，但修复能力不足。AI生成的漏洞报告增加了100-200倍，但很多是误报或缺乏实际价值评估。国家漏洞数据库积压了约30,000个待分析条目，而开源项目维护者因无法处理大量报告而关闭漏洞赏金计划。