Claude Code 自动化安全审查功能将“漏洞”误报为“安全”

Anthropic 最近在其 AI 编程助手 Claude Code 中推出了自动化安全审查功能，允许开发者使用 /security‑review 命令检测代码中的安全漏洞，包括 XSS（跨站脚本）、授权绕过、SQL 注入以及依赖性漏洞等。

根据 Checkmarx 的评估，这一 AI 驱动的安全审查能够发现一些传统静态分析工具容易忽略的问题，提高了代码安全检测的效率。然而，研究者也指出，这类工具并非完美。Claude Code 在处理使用 Python 数据分析库 pandas 的远程代码执行漏洞时未能准确识别，甚至将其误报为“安全”。

此外，自动化安全审查可能带来新的风险，包括在执行代码检测过程中可能触发系统漏洞或导致不稳定。研究者提醒，虽然 AI 安全审查能够节省时间和人力，但仍需要与严格的人类审查和综合防护机制结合，才能真正保障软件安全。