AI确实很擅长揪出软件漏洞,可修复能力还差点火候。Anthropic公司最近吹嘘Claude Code在查错和补洞上有了大改进,可研究人员觉得这事儿还没完。他们管自家这套东西叫Claude Code Security,说是能帮团队把那些容易被忽略的问题给揪出来。公司放话了,"现在就是网络安全的关键时期。"既然模型在挖长期藏着的问题上这么厉害,"以后世界上很多代码都得让AI扫一遍。"为了让大家看看这个功能多牛,Anthropic红队拿Claude Opus 4.6去翻生产环境的开源代码库,"结果翻出超过500个漏洞。" 曾在微软和Palo Alto Networks干过的Guy Azari吐槽说,"在他们说的那500个里,"才修了2到3个。"没修的话,"你忙活了半天等于白干。"他指出没配CVE号就证明流程有问题,"发现漏洞从来都不难。"想起以前在微软管漏洞时的场景,"我们以前整天都在收报告。"现在AI来了,"报告数量翻了100到200倍。"但很多都是噪音,"因为AI只管报个bug,"却没人能证明这真的有影响。" Azari还说2025年国家漏洞数据库那边积压了30,000个待分析的条目,"近三分之二的开源漏洞连严重性评分都没有。"开源维护者都快忙死了,"像curl项目两个月前就关了漏洞赏金计划。"因为他们收的假报告太多了,"根本处理不过来。"Azari觉得这倒不是Claude帮了忙,"反而是把问题放大了。"Anthropic没正面回应这事,"但红队的帖子显示他们正在跟维护者一块儿修bug。" Socket的CEO Feross Aboukhadijeh发邮件解释说CVE只是协调披露的一部分,"别指望马上就能看见CVE号。"他对Anthropic找出的500多个候选项没怀疑,"这跟咱们在业界看到的情况一样。"模型在查脆弱代码上越来越准,"探索代码库的能力也变强了。""最难的活儿不在发现问题,"而在之后怎么办。"把候选转化成可靠的发现,"让维护者能动手修复这得花时间。"得确认哪个版本受影响、算实际影响、跟维护者商量、"还得编个补丁跟项目架构搭调。"Aboukhadijeh觉得以后这种强工具普及了,"安全团队得忙着到处打补丁。"维护者那边的优先排序和测试能力才是瓶颈。Socket的办法之一是搞认证补丁,"就是直接改现有依赖,"代替升级到新版本。"这样能省掉很多兼容性的麻烦。"他说,"马上就要到披露赶不上修复的时候了。""真正的竞争优势不在谁找得多,"而在谁能把发现变成安全、优先级高、干扰小的变更。" AQ1:Claude Code Security是什么?这是Anthropic公司搞的一个研究预览功能,专门用来帮安全团队找漏洞并补漏洞。主要是利用Claude Code的能力去发现软件里的安全缺陷并给出修补建议。 AQ2:为啥查出500个漏洞只修了2-3个?研究人员说这是后半场的事。把漏洞候选变成经过验证的发现需要不少功夫,比如确定受影响版本、评估影响、跟维护者协调、"还要开发适合的补丁。"开源维护者忙不过来没法处理AI报的那么多报告。 AQ3:AI在网络安全里遇着啥难处了?最大的难处就是虽然AI找的多但修不好。报告数量翻了几百倍全是误报或没评估价值的东西。"国家漏洞数据库积压了30,000个待分析条目。"而开源项目因为收太多假报告没法处理所以关掉了漏洞赏金计划。