Anthropicが新たに発表した「Claude Code Security」は、ソフトウェア開発におけるコードの脆弱性を自動的に検出・修正提案するAIベースのセキュリティツールである。従来の静的解析ツールが既知の脆弱性パターンとコードを照合するルールベースの手法を採っていたのに対し、本ツールは同社の最新モデルである「Claude Opus 4.6」を基盤とし、コードのコンポーネント間の相互作用やデータの流れを意味的に理解し推論する点が特徴である。これにより、ビジネスロジックの欠陥やアクセス制御の不備といった、文脈に依存する複雑な脆弱性を特定することが可能となった。


　AI特有の課題である誤検知を防ぐため、検出された脆弱性に対して多段階の自己検証プロセスを実施する仕組みが組み込まれている。発見した問題に対してシステム自らが反証を試みることで、最終的に信頼度評価と深刻度を付与した上で開発者に報告する。具体的な修正コードも提案されるが、パッチの適用には必ず人間の承認を必要とするよう設計されており、開発者の最終判断を重視している。

　Anthropicの専門調査チーム「Frontier Red Team」による事前のテストでは、標準的なツール環境下でオープンソースのコードベースから500件以上の未知の重大な脆弱性を発見した。この中には、既存のテスト手法であるファジングや専門家の手動解析を数十年にわたってすり抜けてきた、GhostscriptやCGIFなどのプロジェクトに潜むバグも含まれている。

　本機能は、開発者が日常的に使用するターミナル上で「/security-review」コマンドを実行することでオンデマンドの分析が行えるほか、GitHub Actionsと統合してプルリクエスト作成時に自動でセキュリティレビューを実行することも可能である。検出対象には、SQLインジェクション、クロスサイトスクリプティング、認証の欠陥、不安全なデータ処理、依存関係の脆弱性などが含まれる。



　現在「Claude Code Security」は、ClaudeのEnterpriseプランおよびTeamプランの顧客向けに限定的なリサーチプレビュー版として提供されている。さらに、インターネットの基盤技術を支えるオープンソースプロジェクトのメンテナーに対しては、無料の優先アクセス権が付与されている。