2026年2月20日、Anthropic が Claude Code Security を発表した。コードベースのセキュリティ脆弱性を検出し、修正パッチの候補を提示する機能で、Enterprise・Team ユーザー向けに限定研究プレビューとして提供されている。
既存のセキュリティスキャナーの多くはパターンマッチング、つまり「このコードは既知の脆弱なパターンに似ているか?」という照合ベースのアプローチを取っている。
Claude Code Security はそこを変えた。コンポーネント間のやり取りやデータフローを推論しながら分析する、つまり人間のセキュリティ研究者に近い考え方でコードを読む。「このデータはどこから来て、どこに流れ、どんな処理を経るか」を追うことで、パターンマッチングでは見つけにくい文脈依存の脆弱性も検出できると思われる。
脆弱性スキャナーの実用上の最大の問題はフォールスポジティブ(誤検知)の多さだ。対策として Claude Code Security は多段階の検証プロセスを持ち、各発見に対して深刻度と信頼度のレーティングを付ける。「これは確実」「これは要確認」という区別が入るのは、実際に使う上で大事なポイントだ。
提示されるパッチはあくまで「候補」であり、実際に適用するかどうかは人間が判断する。自動でコードを書き換えることはない設計になっている。この点は重要で、AIが自律的にセキュリティ修正を入れてしまうリスクを避けている。
現時点では:
まだ広く開放されているわけではないが、OSSコミュニティへの配慮は注目ポイントだ。
claude.com からブラウザ経由で Claude Code を使える「Claude Code on the Web」と組み合わせると、ローカル環境なしにセキュリティスキャンをかけられる流れも〜と思われる。現時点では Pro/Max/Team/Enterprise ユーザーが対象。
まだ研究プレビュー段階なので機能の幅は限られているが、「LLMがコードフローを理解して脆弱性を見つける」というアプローチは、これまでのツールとは方向性が異なる。Enterprise 環境で既存の SAST ツールと並列運用してみるのが最初の試し方として合理的だろう。