Claude Security 公開ベータ版：コードベースをスキャン、自身の調査結果を検証、パッチを提案

Anthropicは本日、エンタープライズ顧客向けにClaude Securityをパブリックベータ版としてリリースしました。ルールベースのパターンマッチング（高速で低コストだが、偽陽性が大量に出る）ではなく、セキュリティ研究者のようにコードを推論します。Gitの履歴を読み、ファイル間のデータフローを追跡し、ビジネスロジックを理解します。その目標は、コンテキストがあって初めて意味を持つ脆弱性を捉えることであり、パターンマッチャーでは構造的に発見できないものです。

主な機能

• 深刻な問題をスキャン：メモリ破損、インジェクション欠陥、認証バイパス、複雑な論理エラー
• 発見結果を内部で敵対的自己検証により検証してから提示 — Claudeが自身の結果に挑戦
• 発見ごとに具体的なパッチを提案し、コードの構造とスタイルを維持
• 発見結果をSlack、Jira、またはWebhook経由で任意のシステムにプッシュ
• スキャンを特定のディレクトリに制限したり、スケジュール実行が可能

重要な設計上の決定

注目すべきアーキテクチャ：すべての発見結果は、提示される前に敵対的自己検証ステップを経ます。単なる「AIによるバグ発見」ではなく、「AIが報告前に自分自身と議論する」というものです。これにより、従来のスキャナーと比較してシグナル対ノイズ比が大幅に向上します。

人間の制御は維持

すべてのパッチは、マージ前にレビューと承認が必要です。Claude Securityは、Anthropicが自身のコードベースを保護するために使用しているのと同じモデルに基づいています。これは、社内の信頼の正直なシグナルです。

利用可能性

現在はエンタープライズ限定。TeamおよびMaxプランは後日提供予定です。これは初期段階であり、重要なシステムに対するAI生成パッチは慎重なレビューが必要ですが、方向性（結果を提示する前に自身の推論を検証するAI）はセキュリティツールとして正しいものです。