Claude Code adiciona recursos de cibersegurança

 (anthropic.com)
4 pontos por GN⁺ 2026-02-21 | 1 comentários | Compartilhar no WhatsApp
  • Claude Code Security é um recurso de segurança baseado em IA que detecta vulnerabilidades em bases de código e fornece sugestões de patch para revisão humana
  • Detecta vulnerabilidades complexas que ferramentas de análise estática existentes deixam passar, rastreando interações no código e fluxo de dados como um pesquisador humano
  • Todos os resultados passam por validação em várias etapas e avaliação de severidade antes de serem exibidos no dashboard, e não são corrigidos automaticamente sem aprovação do desenvolvedor
  • A Anthropic disponibilizou o recurso como uma prévia de pesquisa limitada para clientes Enterprise e Team e mantenedores de código aberto
  • O objetivo é elevar o nível de segurança em toda a indústria, em preparação para uma era em que a IA poderá encontrar vulnerabilidades mais rápido do que os atacantes

Visão geral do Claude Code Security

  • Claude Code Security é um novo recurso integrado à versão web do Claude Code que faz varredura em bases de código para detectar vulnerabilidades de segurança e sugerir patches
    • É oferecido como uma prévia de pesquisa e pressupõe revisão humana
  • Foi projetado como uma ferramenta para resolver os problemas de falta de pessoal e excesso de vulnerabilidades enfrentados por equipes de segurança existentes
  • Ferramentas de análise tradicionais se concentram em padrões conhecidos, mas o Claude consegue detectar até vulnerabilidades novas e dependentes de contexto

Como funciona

  • A análise estática tradicional detecta padrões conhecidos de vulnerabilidade com base em regras, mas tende a deixar passar problemas como erros de lógica de negócios ou falhas de controle de acesso
  • O Claude Code Security captura vulnerabilidades complexas ao entender o significado do código e raciocinar como um pesquisador humano
    • Rastreia interações entre componentes e o fluxo de dados
  • Os resultados da detecção passam por um processo de validação em várias etapas para minimizar falsos positivos
    • O Claude revisa os próprios resultados e atribui uma classificação de severidade
  • Os resultados validados são exibidos em um dashboard, onde a equipe pode revisar e aprovar
    • Cada item inclui uma pontuação de confiança, e nenhuma correção é aplicada sem aprovação humana

Base de pesquisa em cibersegurança do Claude

  • O Claude Code Security foi desenvolvido com base em mais de um ano de pesquisa de segurança do Claude
  • O Frontier Red Team da Anthropic colocou o Claude para participar de competições Capture-the-Flag e realizou experimentos de defesa de infraestrutura com IA em colaboração com o Pacific Northwest National Laboratory
  • Usando o modelo mais recente, Claude Opus 4.6, ele encontrou mais de 500 vulnerabilidades em códigos open source
    • Incluindo bugs que permaneceram mesmo após décadas de revisão por especialistas
    • Atualmente, a empresa está conduzindo um processo de divulgação responsável junto com os mantenedores
  • A Anthropic também já usa o Claude na segurança do próprio código interno e desenvolveu esse recurso para oferecer a mesma capacidade defensiva ao público externo

Perspectivas futuras

  • Está próximo o momento em que a IA poderá escanear a maior parte das bases de código do mundo
    • Modelos de IA podem detectar com eficiência bugs ocultos por longos períodos
  • Atacantes também podem usar IA para encontrar vulnerabilidades rapidamente, mas o risco pode ser reduzido se os defensores corrigirem de forma proativa
  • O Claude Code Security é apresentado como um passo rumo a bases de código mais seguras e padrões de segurança mais altos em toda a indústria

Participação e acesso

  • Disponível como prévia de pesquisa para clientes Enterprise e Team
    • Os participantes podem colaborar diretamente com a equipe da Anthropic para melhorar a ferramenta
  • Mantenedores de código aberto podem solicitar acesso gratuito e rápido
  • Mais informações estão disponíveis em claude.com/solutions/claude-code-security

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-21
Opiniões do Hacker News

  • Não surpreende que a Anthropic tenha lançado um recurso de detecção de vulnerabilidades
    Isso porque a OpenAI já apresentou o Aardvark e o Google anunciou o BigSleep
    Acho que o ponto principal é escala e precisão. A Anthropic diz que encontrou 500 vulnerabilidades de “alta gravidade” com o Opus 4.6, mas fica a dúvida se elas são realmente tão graves. O BigSleep encontrou cerca de 20, e o Aardvark não divulgou números
    Quando fundei a Semgrep, achei marcante que, na competição DARPA AIxCC, foi exigido dos participantes de detecção de vulnerabilidades com LLM a divulgação de custo por vulnerabilidade e da matriz de confusão. Sem esses dados, é difícil saber qual modelo realmente está à frente
    Se você der a agentes de segurança com LLM acesso a ferramentas como Semgrep e CodeQL, a taxa de falsos positivos cai bastante. No futuro, imagino humanos atuando como gerentes de AppSec, administrando esses agentes de engenheiros de segurança virtuais

    • O maior problema de ferramentas SAST como o Semgrep é o falso positivo. O desenvolvedor só quer os 0,1% dos resultados que realmente levam a um problema real, mas a abordagem de correspondência de padrões gera ruído demais
      Eu também já usei a combinação de pattern matching + LLM, e funcionou bem. Mas isso só se aplica ao SAST; áreas como SCA ou imagens de contêiner, que respondem por 90% do ruído para times de segurança, continuam difíceis de resolver
    • Esse tipo de recurso pode funcionar bem ao escanear um repositório pequeno uma vez, mas, na realidade de mudanças frequentes no código, o custo de reescaneamento é alto demais. Faltam fluxos de trabalho reais, como criação de PR, resolução de conflitos e encontrar revisores
      Como pesquisa é interessante, mas como ferramenta prática tem limitações
    • Também estou seguindo uma abordagem parecida. Expandi uma ferramenta interna focada em segurança, performance e SEO de sites para um modelo baseado em agentes, e os resultados foram surpreendentes
      É um serviço chamado SquirrelScan, no qual o agente ajusta dinamicamente as configurações com base em regras escritas por humanos para eliminar falsos positivos e fazer validações

  • Teve uma piada do tipo: “Anakin: vou salvar o mundo com um scanner de vulnerabilidades por IA”
    A Padme perguntaria algo como “Então você está escaneando para corrigir essas vulnerabilidades, né?”, satirizando o propósito de scanners de IA

    • Acho que é por isso que esse recurso foi limitado a solicitação de acesso apenas para times e empresas.
      Como alternativa open source, existe o DeepAudit
    • Há preocupação de que usuários mal-intencionados escaneiem em massa projetos open source ou pacotes npm para encontrar zero-days
      Espero que a Anthropic tenha um sistema de alerta antecipado para detectar padrões anormais de uso
    • Ironicamente, os laboratórios estão lançando os toolkits de hacking mais poderosos, mas as ações de empresas de defesa em cibersegurança continuam caindo. Não entendo a lógica do mercado
    • Também houve quem dissesse que não entendeu bem a piada

  • Do ponto de vista de quem opera uma empresa de auditoria de segurança, já dá para sentir as grandes empresas de LLM entrando também no mercado de auditoria
    Serviços baseados em IA como o nosso, zkao.io, também sofrem pressão competitiva
    Acho que o futuro pode seguir dois caminhos.
    Um é um mundo em que auditores humanos e desenvolvedores desaparecem; o outro é um mercado de nicho em que especialização e sensibilidade humanas continuam sendo necessárias
    Empresas sérias ainda vão querer colaborar com pessoas, e há uma boa chance de o modelo SaaS + suporte humano permanecer
    Já os ‘vibe coders’ vão usar ferramentas como o Claude Code Security, e a qualidade será de nível ‘vibe coding’ — boa o bastante, mas não perfeita
    Realisticamente, acho esse segundo cenário mais provável. Ferramentas assim deixam equipes pequenas e especializadas de auditoria como a nossa ainda mais fortes

    • Correção ortográfica: o certo é “cease”, não “seize”
    • Desenvolvedores não vão desaparecer. Eles só vão evoluir para uma nova forma de desenvolvedor. Mas o futuro dos auditores parece sombrio

  • Na explicação da Anthropic, a parte que diz que “Claude Code Security lê e raciocina sobre o código como um pesquisador humano” é interessante
    Como nosso time também vem combinando análise estática e IA, acho que essa abordagem aponta para a direção evolutiva da automação de segurança

    • Mas essa frase não é verdadeira. No fim das contas, LLM é uma máquina de correspondência de padrões. Pesquisadores humanos fazem mais do que simples pattern matching
      A afirmação de que “raciocina como humano” parece marketing exagerado

  • O Claude Code Opus 4.5 registrou cerca de 71% de precisão no OpenSSF CVE Benchmark
    Nós usamos SAST como filtro inicial e depois deixamos o LLM aproveitar artefatos de análise estática, como grafos de fluxo de dados e grafos de dependência
    Esse método foi muito mais eficaz do que simplesmente mandar o modelo “agir como um pesquisador de segurança”. Quando o novo recurso for lançado, vamos atualizar o benchmark

  • Os produtos concorrentes foram decepcionantes. A maioria só redetectava problemas que ferramentas tradicionais de análise estática já encontram, e havia muitos falsos positivos na varredura com IA
    Espero resultados melhores desta vez

  • Muita gente é cética sobre se a IA consegue ter o pensamento criativo de um engenheiro de segurança sênior, mas acho que essa discussão perde o ponto principal
    O valor real dessas ferramentas está em automatizar trabalho repetitivo de segurança.
    Problemas simples, como ausência de validação de entrada ou uso de componentes vulneráveis, não precisam necessariamente passar por profissionais de alto nível
    Espero que esse tipo de ferramenta vire um assistente que reduz o trabalho braçal das equipes de segurança

    • LLMs, especialmente o Claude, de fato mostram capacidade de nível de engenheiro de segurança. Nossa startup está criando um agente para testes de invasão agressivos, e em poucas horas ele encontra vulnerabilidades estranhas que humanos deixam passar
    • Entre pesquisadores de vulnerabilidades, na verdade há bastante otimismo discreto. Há muito mais especialistas experimentando em silêncio e vendo potencial do que gente cética falando publicamente
    • Como pentester em uma empresa da Fortune 500, concordo com essa avaliação. A maioria dos achados internos é de nível ‘boas práticas’, então, se um agente puder automatizar isso, a eficiência melhora muito
      A colaboração entre humanos e agentes parece ser o futuro da operação de times de segurança
    • Nós também testamos o Claude Opus 4.6, e a taxa de falsos positivos ficou abaixo de 50%, o que foi muito impressionante

  • Eu estava torrando um monte de tokens do Claude para criar um sistema de defesa contra bots de IA, então achei que a Anthropic tinha percebido isso

    • Nós também estamos desenvolvendo nosso próprio sistema há alguns anos. Pode ser útil dar uma olhada no Tirreno, feito diretamente por engenheiros