コード脆弱性スキャンを AI で行う「Claude Security」がパブリックベータとして公開された(現在は Claude Enterprise 向け、Team・Max は近日対応予定)。2月から研究プレビューとして一部組織が利用していたが、今回から広く展開される。
Claude Security は コードベース全体をスキャンして脆弱性を検出し、修正候補を提案 するツールだ。従来のルールベーススキャナーとの最大の違いは「コードを読む方法」にある。
一般的な SAST(静的解析)ツールはパターンマッチングでの検出が主体。Claude Security は人間のセキュリティリサーチャーのように コンポーネント間の相互作用やデータフロー を理解した上で判断する。複数ファイルにまたがる脆弱性や、コンテキスト依存の問題を発見しやすい。
検出結果を外部に出す前に Claude 自身が「本当にこれは脆弱性か?」と再チェックする「敵対的検証パス」が入っている。誤検知の多さがスキャナー疲れを引き起こす問題への対策として設計されたと思われる。
2月のリサーチプレビュー段階で、オープンソース本番コードベースから 500 件以上の未発見脆弱性 を検出。これらは専門家のレビューや従来スキャンをくぐり抜けて長年存在していたものだという。数百の組織が利用し、本番コードの脆弱性修正に活用されてきた。
発見した脆弱性と修正候補はあくまで「提案」であり、適用するかどうかは開発者が判断する。Claude が問題と解決策を示し、最終決定は人間が行う——という設計になっている。
CrowdStrike、Microsoft Security、Palo Alto Networks、SentinelOne、TrendAI、Wiz との統合が発表されており、既存のセキュリティワークフローに組み込みやすくなる見込み。
ルールベースのスキャナーが見逃してきた複雑な脆弱性に AI の推論力を当てるアプローチで、誤検知対策も組み込まれている点が注目に値する。Enterprise ユーザーはまず試してみる価値があるだろう。Team・Max ユーザーは公開待ちだが、アーキテクチャの理解だけでも参考になる。