Anthropic推出AI代码安全检测工具 发现超500个漏洞但修复进展缓慢
Anthropic公司于上周推出Claude Code Security研究预览功能,该功能基于其Claude Opus 4.6模型,旨在自动检测软件代码中的安全漏洞。该公司声称,其红队已在生产环境中多个开源代码库中发现超过500个漏洞。
然而,安全专家对实际修复进度表示担忧。前微软与Palo Alto Networks安全研究员Guy Azari向The Register表示,截至目前,仅两到三个漏洞被成功修复,且无一获得CVE(通用漏洞披露)编号。国家漏洞数据库(NVD)在2025年已积压约3万条待分析的CVE条目,近三分之二的开源漏洞尚无严重性评分。
开源项目curl因不堪重负,已关闭其漏洞悬赏计划。项目维护者难以应对来自AI工具和人类提交的大量低质量报告。安全公司Socket首席执行官Feross Aboukhadijeh指出,尽管漏洞发现成本显着降低,但验证漏洞、与项目维护者协调以及开发与系统架构一致的补丁,仍需大量人工投入,进展缓慢。
该事件凸显AI在安全检测领域的潜力,同时揭示当前软件安全生态中修复流程的瓶颈与人力依赖问题。
编辑点评
此次事件揭示了AI在软件安全领域的双刃剑效应:一方面,AI大幅提升了漏洞发现的效率,使自动化红队成为可能;另一方面,漏洞修复、验证与协调环节仍高度依赖人工,形成‘发现易、修复难’的结构性矛盾。这不仅暴露开源生态维护者资源不足的问题,也反映出全球软件供应链安全体系的脆弱性。随着AI工具普及,低质量漏洞报告的泛滥可能进一步加重维护者负担,甚至引发‘报告疲劳’。未来,构建自动化漏洞验证与补丁生成机制,或成为提升全球软件安全水平的关键。从地缘政治角度看,软件供应链安全已成为数字主权竞争的一部分,各国政府与企业需加快建立标准化、自动化的漏洞响应体系,以应对日益复杂的数字威胁。