北京
凌晨三點,你的代碼剛合并到主分支。CI流水線跑完,綠色對勾亮起——但真正的漏洞可能還沒被發現。Anthropic最近把安全掃描工具從封閉測試放了出來,讓大模型直接鉆進代碼庫找安全問題。
從封閉到公開:產品時間線
這款工具最初是內部項目,只對特定企業開放測試。這次正式推出,意味著任何使用該公司AI的開發者都能調用這個功能。
工具的核心邏輯不復雜:把代碼倉庫丟給模型,讓它扮演安全審計員的角色。系統會逐行掃描,標記潛在漏洞——從SQL注入到權限繞過,再到依賴項里的已知缺陷。
但和傳統的靜態分析工具(SAST)不同,它的優勢在于"理解上下文"。同樣的函數調用,在普通CRUD接口里沒問題,放在支付模塊可能就是高危操作。規則引擎很難捕捉這種語義層面的風險,而大模型可以。
技術實現:怎么做到的
公司沒有公開完整的技術細節,但從產品形態能反推一二。
首先是代碼表征。模型需要把整段代碼庫壓縮成可處理的上下文,這涉及代碼切片和依賴圖譜構建。然后是漏洞知識庫——系統顯然被訓練過識別CWE(常見缺陷枚舉)里的典型模式,但更重要的是它能關聯業務邏輯。
一個值得注意的設計是"可解釋性輸出"。系統不只是標記漏洞,還會寫出自然語言說明:為什么這里有問題、利用路徑是什么、怎么修復。這對安全團隊做triage(分級處置)很友好。
目前支持的語言包括Python、JavaScript/TypeScript、Go、Java和Rust。覆蓋范圍不算全,但已經踩中了企業級開發的主流技術棧。
競爭格局:誰在搶這塊蛋糕
代碼安全市場早就不是藍海。GitHub的Copilot Security、Snyk的AI功能、亞馬遜CodeWhisperer的安全掃描——大廠都在往這個方向擠。
這款工具的差異化牌打在哪里?
一是"原生集成"。作為AI生態的一部分,它不需要額外配置,對話式界面降低了使用門檻。二是"深度推理"。該公司一向強調其模型的長上下文和邏輯能力,這在分析跨文件調用鏈時確實有用。
但短板也明顯:成本。大模型掃描比傳統工具慢得多,按token計費的模式在大代碼庫上可能價格感人。企業客戶得算筆賬——省下來的人工時能不能覆蓋算力開銷。
關鍵數據與落地信號
封閉測試期間,公司沒有公布具體的漏洞檢出率或誤報率數字。但產品能走到公開階段,說明至少核心客戶(據說是幾家金融科技公司)的反饋過關。
一個細節:該工具目前定位為"輔助工具",而非替代人工審計。輸出結果需要安全工程師復核,最終修復決策權在人手里。這種設計既規避了責任風險,也符合當前AI能力的實際邊界。
定價方面,公司把它打包進企業訂閱,不單獨售賣。這意味著使用門檻是"已經是企業用戶",而非按需付費的靈活模式。
為什么這件事值得盯緊
代碼安全工具的AI化,本質是"安全左移"的極端版本。傳統DevSecOps把掃描環節塞進CI/CD,AI工具則試圖把安全能力前置到編碼瞬間——甚至在你寫代碼的同時,模型就在側邊欄標紅風險。
這對開發流程的沖擊是真實的。安全團隊從"事后審計"變成"實時協作者",開發者的認知負荷會增加,但漏洞修復成本會指數級下降。
更底層的趨勢是:大模型正在吃掉所有"需要閱讀大量文本并做出判斷"的工具類別。代碼只是開始,配置文件、基礎設施即代碼(IaC)、甚至安全運營中心的告警日志,都是潛在目標。
該工具的公開,標志著這家公司從"對話式AI"向"垂直工具鏈"的擴張。它不再滿足于做你聊天的對象,而是要嵌入你的工作流、接管具體的職能模塊。
這個產品的成敗,將驗證一個假設:大模型的商業化終點,到底是通用平臺還是場景插件?這家公司顯然在押注后者。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
