Anthropic瞄准DevSecOps推出Claude Code更新，AI竞争对手加紧布局

随着GPT-5即将面世和Meta加大AI人才招聘力度，Anthropic通过其新的安全功能旨在日益拥挤的生成式AI编码领域让Claude脱颖而出。

Anthropic在其Claude Code产品中引入了自动化安全审查功能，旨在帮助开发者在软件开发过程中更早地识别和修复漏洞。此次更新包括GitHub Actions集成和新的“/security-review”命令，允许开发者提示Claude扫描代码中的安全问题并推荐修复方案。

此次发布紧随Anthropic推出其迄今为止最先进的AI模型Claude Opus 4.1之后，该公司称该模型在处理编码任务方面有重大改进。

这一举措凸显了AI领域日益激烈的竞争，包括OpenAI准备发布GPT-5，以及Meta通过数百万美元的报价加大顶尖人才的招聘力度。

与此同时，AI工具在开发者中的使用率也在上升。2025年Stack Overflow调查显示，84%的受访者表示他们正在使用或计划在开发工作流中使用AI，高于2024年的76%。然而，对AI生成输出的信任度仍然参差不齐：33%的开发者信任这些工具的准确性，46%表示不信任，仅3%对结果高度信任。

重新思考代码安全

Anthropic表示，新的“/security-review”命令允许开发者在提交代码前从终端运行临时安全扫描。“在Claude Code中运行该命令，Claude将搜索代码库中的潜在漏洞，并提供所发现问题的详细解释，”公司在声明中称。该命令使用专注于安全的提示来检测常见漏洞模式，包括SQL注入风险、跨站脚本（XSS）缺陷、认证和授权问题、不安全的数据处理以及依赖相关弱点。

开发者还可以指示Claude Code对其发现的问题应用修复，将安全审查保留在内部开发循环中，并在开发过程早期解决问题。

分析师表示，此功能标志着生成式AI辅助软件开发向更高问责制的转变。与传统静态分析工具通常产生大量误报不同，Claude利用其大上下文窗口来理解跨文件和架构层的代码。它还为每个标记的问题提供可解释的推理，而不仅仅是二进制警报。

“这使得发现更智能、置信度更高，”Greyhound Research首席分析师兼CEO Sanchit Vir Gogia表示。“随着生成式AI驱动的开发（通常称为‘氛围编码’）增加代码速度和复杂性，这一点尤其相关。要真正重塑企业DevSecOps，Claude必须证明其在庞大代码库、定制威胁模型和不同合规要求下的可扩展弹性。”

Claude的自动化审查还可以帮助团队简化早期安全，而不过度负担人类专家。“Claude的安全代码审查功能可以通过自动化管道中最耗时的方面（即手动安全审查）来有意义地增强企业DevSecOps工作流，”Everest Group高级分析师Oishi Mazumder表示。“通过允许开发者在开发过程中使用自然语言提示启动审查，它加速了左移安全实践，并将安全更早地嵌入SDLC。”

管道就绪的安全检查

Anthropic表示，其新的Claude Code GitHub Action通过分析每个拉取请求来改进自动化安全审查。该工具自动运行，扫描代码变更中的漏洞，并应用可自定义规则以减少误报和过滤已知问题。然后，它直接在拉取请求中发布带有推荐修复的内联评论。

该功能旨在标准化跨开发团队的安全审查，并防止不安全代码进入生产环境。根据Anthropic，它与现有CI/CD管道集成，并可配置为遵循组织的安全策略。

分析师表示，这代表了生成式AI在软件开发中使用方式的转变。像Claude这样的工具不再仅仅充当编码助手，而是开始承担安全执行和治理的角色。

“GitHub Copilot仍然是受欢迎的AI结对编程工具，并且最近才添加了拉取请求级安全建议，”Gogia说。“Microsoft Security Copilot在遥测丰富的SOC环境中虽然强大，但仍缺乏与开发工具的深度集成。Google的Gemini Code Assist提供强大的代码摘要和质量改进，但其在漏洞检测方面的深度在高度监管环境中仍未经过测试。”

企业的收益与风险

虽然AI辅助代码审查可以提高效率，但分析师警告称，它们也引入了企业团队必须仔细管理的新风险。

“企业AI安全工具的最大风险在于将流畅性与准确性混淆，”Gogia指出。“像其他基于LLM的工具一样，Claude Code可以提供表达良好但事实不正确的结论。这可能产生虚假的安全感，破坏既定的审查协议。”

要充分实现Claude Code的价值，企业需要将其输出嵌入结构化的SDLC控制中，包括合规性检查、手动监督和审计就绪的文档。