Claude Code 自动化安全审查功能将“漏洞”误报为“安全”

anthropic 近期为其 ai 编程助手 claude code 推出了全新的自动化安全审查功能，开发者可通过

/security‑review

指令扫描代码中潜在的安全问题，涵盖 xss（跨站脚本）、权限绕过、sql 注入以及第三方依赖漏洞等多种常见风险。

据 Checkmarx 的测试结果显示，这项由人工智能驱动的安全检测能力能够识别出部分传统静态分析工具难以捕捉的隐患，显著提升了代码审计的效率。不过，研究人员也指出其存在局限性。例如，在面对利用 Python 数据分析库 pandas 的远程代码执行漏洞时，Claude Code 未能正确识别风险，反而将其判定为“无安全问题”。

更值得注意的是，此类自动化审查机制本身也可能引入新风险，比如在分析过程中意外触发被测系统的漏洞，导致程序崩溃或系统不稳定。专家强调，尽管 AI 辅助审查有助于减少人工负担并加快开发流程，但要实现真正的软件安全保障，仍需结合严谨的人工代码评审与多层次的安全防护体系。

源码地址：点击下载