Anthropic a lancé Claude Security : un service d’AI repère les vulnérabilités dans le code et propose des correctifs

30 апреля 2026 года Anthropic открыла публичную бету Claude Security — инструмента для поиска уязвимостей прямо в кодовой базе компании. Сервис работает на модели Claude Opus 4.7, сам анализирует репозиторий, проверяет находки и подсказывает, что имеет смысл исправлять в первую очередь.

Кому и зачем доступен

Claude Security, который раньше назывался Claude Code Security, теперь доступен клиентам тарифа Claude Enterprise. По сути это попытка превратить сильную модель для безопасников в прикладной рабочий инструмент: без отдельной API-интеграции, без кастомной сборки агентов и без ручной склейки пайплайна из нескольких сервисов. Если компания уже использует Claude, она может включить новый режим через админку и начать сканирование репозиториев почти сразу.

Для Team и Max доступ обещают позже. Для Anthropic это не просто очередная AI-функция в IDE. Компания прямо связывает запуск с ускорением киберугроз: модели всё быстрее находят слабые места в ПО, а значит защите тоже нужен новый темп.

Поэтому продукт подают не как замену AppSec-команде, а как способ сократить путь от обнаружения проблемы до готового патча. В корпоративной среде именно эта экономия времени обычно и решает, попадёт баг в релиз или нет.

Как работает анализ

Claude Security можно открыть из боковой панели Claude или через отдельный security-интерфейс. Пользователь выбирает репозиторий, ветку или конкретную директорию, после чего модель начинает сканирование. В отличие от классических rule-based сканеров, Anthropic делает ставку на контекстный разбор: система отслеживает связи между модулями, смотрит, как проходят данные через код, и пытается понять реальную логику приложения, а не просто совпадение по сигнатурам.

Такой подход особенно важен для логических ошибок и проблем с доступом. На выходе команда получает не только список подозрительных мест, но и более практичную упаковку результата. Claude показывает, насколько уверен в находке, насколько она критична, какой может быть ущерб и как воспроизвести проблему.

После этого он формирует инструкции для точечного исправления, а при необходимости открывает задачу в Claude Code on the Web, где патч можно доработать уже в контексте конкретного файла и связанного кода.

«ИИ сжимает время между обнаружением уязвимости и её эксплуатацией», — так

Anthropic объясняет ставку на такие инструменты.

Что добавили после превью

Anthropic пишет, что за два месяца превью Claude Security протестировали сотни организаций. По итогам этого периода компания допилила не витринные функции, а вещи, которые нужны командам безопасности в ежедневной работе. Главный вывод разработчиков простой: ценность даёт не сам факт сканирования, а скорость, с которой находка превращается в подтверждённую задачу и затем в реальное исправление. Поэтому релиз сфокусирован именно на эксплуатационных деталях.

• Плановые сканы по расписанию вместо разовых проверок Точечный запуск по директории внутри репозитория Снижение ложных срабатываний через многоэтапную валидацию находок Экспорт результатов в CSV и Markdown для аудита и трекинга Отправка результатов в Slack, Jira и другие системы через webhooks Anthropic отдельно подчёркивает, что инструмент умеет хранить причины отклонения находок, чтобы следующая проверка не возвращала уже разобранные кейсы без контекста. Это важно для больших компаний, где triage часто размазан между безопасниками, разработчиками и платформенными командами. Параллельно компания расширяет сеть внедрения: возможности Opus 4.7 уже встраиваются в продукты CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendAI и Wiz, а Accenture, BCG, Deloitte, Infosys и PwC помогают запускать такие сценарии в корпоративных процессах.

Что это значит

Anthropic двигает рынок к модели, где AI в безопасности отвечает не только за поиск бага, но и за приоритизацию, объяснение риска и подготовку исправления. Если качество детекции действительно окажется высоким, крупные команды смогут быстрее закрывать сложные логические уязвимости, которые обычные статические сканеры годами пропускают, а значит окно между обнаружением проблемы и её устранением станет заметно короче. Для больших продуктовых команд это уже не эксперимент, а потенциальная часть стандартного secure development-процесса.