Thought Leadership
Anthropic startet eine Research-Preview von Claude Code Security. Das Tool scannt Codebases auf Schwachstellen und schlägt Patches vor, die Entwickler manuell freigeben müssen. An der Börse gerieten Cybersecurity-Werte daraufhin ins Minus.
Anthropic hat Claude Code Security angekündigt, eine neue Funktion innerhalb von Claude Code. Das Tool soll Sicherheitslücken in Software-Projekten automatisch aufspüren und Lösungsvorschläge liefern. Die Research-Preview steht zunächst Enterprise- und Team-Kunden zur Verfügung, Open-Source-Maintainer können bevorzugten Zugang beantragen.
Cybersecurity-Aktien unter Druck
Die Ankündigung sorgte an der Börse für Bewegung. Cybersecurity-Werte gerieten am Freitag ins Minus: CrowdStrike und Cloudflare verloren jeweils rund 6 Prozent, Datadog fiel um etwa 3 Prozent, Fortinet gab knapp 2 Prozent nach. Ob ein direkter Zusammenhang mit der Anthropic-Ankündigung besteht, ist unklar. Anthropic selbst ist nicht börsennotiert, wird aber von Amazon und Google finanziert.
Zu viele Lücken, zu wenig Personal
Sicherheitsteams stehen vor einem strukturellen Problem. Anthropic beschreibt es so: “Zu viele Software-Schwachstellen und nicht genug Personal, um sie zu beheben.” Im Laufenden Jahr könnte es bereits einen Rekord an neuen CVEs geben. Klassische statische Analyse-Tools helfen dabei nur begrenzt, weil sie regelbasiert arbeiten und vor allem bekannte Muster erkennen. Komplexere Schwachstellen in der Geschäftslogik oder fehlerhaft implementierte Zugriffskontrollen fallen dabei häufig durchs Raster.
Wie das Tool funktioniert
Claude Code Security analysiert Code nicht nach festen Regeln, sondern liest und denkt laut Anthropic “wie ein menschlicher Security-Researcher”: Das System versteht, wie Komponenten zusammenspielen, verfolgt Datenpfade durch die Anwendung und soll so auch kontextabhängige Schwachstellen erkennen.
Gefundene Probleme durchlaufen einen mehrstufigen Verifikationsprozess. Claude überprüft jeden Befund nochmals eigenständig, um False Positives herauszufiltern. Die validierten Ergebnisse landen in einem Dashboard, wo Entwickler Patches begutachten und freigeben können. Anthropic betont: “Nichts wird ohne menschliche Freigabe angewendet.”
500 Lücken in Open-Source-Projekten
Anthropic gibt an, das System bereits intensiv getestet zu haben. Mit Claude Opus 4.6 habe das interne Frontier Red Team über 500 Sicherheitslücken in produktiven Open-Source-Projekten gefunden, “Bugs, die trotz jahrelanger Überprüfung durch Experten jahrzehntelang unentdeckt geblieben waren.” Die verantwortungsvolle Offenlegung gegenüber den betroffenen Projekten laufe derzeit noch.
KI gegen KI
Anthropic spricht offen über das Spannungsfeld: “Die gleichen Fähigkeiten, die Verteidigern helfen, Schwachstellen zu finden und zu beheben, könnten Angreifern helfen, sie auszunutzen.” Claude Code Security sei explizit darauf ausgerichtet, diese Fähigkeiten in die Hände der Verteidiger zu legen. Angreifer würden KI nutzen, um ausnutzbare Schwachstellen schneller als je zuvor zu finden. Wer als Verteidiger schnell handele, könne dieselben Lücken zuerst patchen.
Die eingeschränkte Research-Preview soll laut Anthropic dazu dienen, das Tool gemeinsam mit Early Adoptern weiterzuentwickeln und einen verantwortungsvollen Einsatz sicherzustellen.
