Claude Security ist eine in Claude integrierte Funktion, die Codebasen auf Sicherheitslücken scannt und gezielte Patches zur Überprüfung durch Menschen vorschlägt. Sie hilft Teams, Probleme zu finden und zu beheben, die traditionelle Methoden oft übersehen.
Claude Security befindet sich jetzt in der Forschungsvorschau.
Claude Security ermöglicht Ihnen:
Scannen Sie Ihren Code parallel — Claude Security versteht den Kontext, verfolgt Datenflüsse über Dateien hinweg und identifiziert komplexe, mehrteilige Anfälligkeitsmuster, die traditionelle Scanner möglicherweise nicht erkennen.
Überprüfen Sie die Ergebnisse — Jedes Ergebnis durchläuft eine mehrstufige Überprüfung, wobei Claude seine eigenen Ergebnisse in Frage stellt, bevor sie angezeigt werden. Das Ergebnis: mehr echte Probleme gemeldet und weniger Fehlalarme.
Überprüfen und patchen — Wechseln Sie direkt von einem Ergebnis zu einer Claude Code-Sitzung, um den vorgeschlagenen Fix zu überprüfen. Beheben Sie Anfälligkeiten schnell, anstatt einen Rückstand aufzubauen.
Informationen zum Einstieg finden Sie im Leitfaden für den Einstieg.
Findingstypen
Jedes Finding fällt in eine der folgenden Kategorien.
Kategorien
Domäne | Kategorie | Was ist das |
Injection | SQL-Injection | Nicht vertrauenswürdige Eingabe ändert die Abfragestruktur, nicht nur gebundene Werte |
Injection | Command Injection | Nicht vertrauenswürdige Eingabe erreicht einen Shell- oder Exec-Aufruf |
Injection | Code Injection | Angreifer-Eingabe wird als Code analysiert oder ausgeführt |
Injection | Cross-Site-Scripting (XSS) | Eingabe wird ohne kontextgerechtes Escaping in HTML/JS gerendert |
Injection | XXE | XML-Parser löst externe Entitäten aus nicht vertrauenswürdiger Eingabe auf |
Injection | ReDoS / algorithmische Komplexität | Super-linearer Regex oder Algorithmus bei angreiferkontrollierter Eingabe |
Pfad & Netzwerk | Pfadtraversal | Benutzereingabe überschreitet eine beabsichtigte Dateisystemgrenze |
Pfad & Netzwerk | SSRF | Benutzereingabe steuert Anfrage-Host oder Protokoll |
Pfad & Netzwerk | Offene Umleitung | Benutzergesteuerte URL erreicht eine Umleitung ohne Whitelist |
Auth & Zugriff | Authentifizierungsumgehung | Erreichbarer Codepfad überspringt eine Authentifizierungsprüfung |
Auth & Zugriff | Privilegienerweiterung | Normaler Benutzer erhält Admin-Funktion |
Auth & Zugriff | IDOR / BOLA | Objektreferenz vom Client ohne Eigentumsüberprüfung vertraut |
Auth & Zugriff | CSRF | Zustandsändernde Anfrage akzeptiert Cross-Origin-Trigger ohne Schutz |
Auth & Zugriff | Racebedingung | TOCTOU oder gleichzeitiger Zugriff bricht eine Sicherheitsinvariante |
Speichersicherheit | Pufferüberlauf | Eingabegrößendaten in unabhängig dimensioniertem Container geschrieben |
Speichersicherheit | Use-after-free | Freigegebener Speicher über einen aktiven Zeiger erreichbar |
Speichersicherheit | Ganzzahlüberlauf | Arithmetik auf nicht vertrauenswürdiger Eingabe umgeht eine Sicherheitsprüfung |
Speichersicherheit | Unsichere Solidität |
|
Kryptographie | Timing-Seitenkanal | Geheimabhängiger Vergleich oder Verzweigung für Angreifer sichtbar |
Kryptographie | Algorithmusverwechslung | Missbrauch über Primitive hinweg (z. B. JWT |
Kryptographie | Schwache Primitive | MD5, SHA-1, DES, ECB usw. in Sicherheitskontext verwendet |
Deserialisierung | Willkürliche Typinstanziierung | Von Angreifer kontrollierte Daten steuern Objektkonstruktion |
Protokoll & Codierung | Cache-Sicherheit | Cache ohne alle autorisierungsbestimmenden Eingaben verschlüsselt |
Protokoll & Codierung | Codierungsverwechslung | Parser stimmen schichtenübergreifend nicht überein (Unicode, URL, HTML) |
Protokoll & Codierung | Längenpräfix-Vertrauen | Deklarierte Länge ohne Bereichsprüfung vertraut |
Schweregrade
Der Schweregrad wird pro Befund basierend auf der Ausnutzbarkeit in Ihrer Codebasis zugewiesen, nicht der Kategorie selbst – daher kann dieselbe Kategorie in verschiedenen Repos unterschiedliche Schweregrade haben.
Schweregrad | Kriterien | Typisches Beispiel |
Hoch | Ausnutzbar durch einen nicht authentifizierten Remote-Angreifer gegen eine Standardbereitstellung ohne sinnvolle Vorbedingungen | Nicht authentifizierte Befehlsinjektion in einem öffentlichen API-Endpunkt |
Mittel | Ausnutzbar hinter Authentifizierung oder benötigt 1-2 realistische Vorbedingungen (spezifische Rolle, bekannte Kennung, Benutzerinteraktion) | SQL-Injection hinter Authentifizierung, die Kenntnisse des Tabellenschemas erfordert |
Niedrig | Erfordert 3+ Vorbedingungen, nur lokalen Zugriff oder fehlende konkrete demonstrierte Angriffspfad | Timing-Seitenkanal, der Netzwerknähe und Tausende von Anfragen erfordert |
Struktur der Erkenntnisse
Jeder Scan-Fund enthält die folgenden Felder:
Feld | Typ | Beschreibung |
| string | Beschreibt das Problem |
| string | Angreifer-Fähigkeit |
| string | Pfad relativ zum Repository zur primären anfälligen Quelldatei |
| int | Primäre Zeile, in der das Problem auftritt |
| string | Vollständige technische Beschreibung der Sicherheitslücke, des Datenflusses und warum sie ausnutzbar ist |
| string | Konkretes End-to-End-Exploit, das eine bestimmte Eingabe auf eine bestimmte Auswirkung abbildet |
| string[] | Jede Bedingung, die erfüllt sein muss, damit der Exploit erfolgreich ist. Eine leere Liste bedeutet, dass das Problem gegen jede Standardbereitstellung ausnutzbar ist. |
| string | Angriffskategorie, z. B. |
| enum |
|
| float | 0,0–1,0, spiegelt die Erkennungszuverlässigkeit wider |
| string | Ergebnisorientierte Behebung |
Häufig gestellte Fragen
Modellauswahl — Der Zugriff auf Mythos ist auf eine kleine Gruppe genehmigter Kunden beschränkt.
Scandauer — Die Scandauer variiert je nach Repository und den Aktionen des Agenten.
Schweregrad-Konfiguration — Der Schweregrad ist derzeit nicht konfigurierbar.
Nicht-GitHub-Repositories — Derzeit können nur auf GitHub gehostete Repositories gescannt werden.
Scan-Determinismus — Scans sind nicht deterministisch, daher kann ein echtes Problem möglicherweise nicht in jedem Scan auftauchen. Neue Erkenntnisse werden in der Konsole als „neu" gekennzeichnet."
Umfang der Nutzung
Sie dürfen Claude Security nur zum Scannen von Code verwenden, den Ihr Unternehmen besitzt und für den Ihr Unternehmen alle erforderlichen Rechte zum Scannen hält. Sie dürfen Claude Security nicht zum Scannen von Code verwenden, der Dritten gehört oder von diesen lizenziert ist, einschließlich, aber nicht beschränkt auf Open-Source-Projekte oder Repositories außerhalb der Codebase(n) Ihres Unternehmens.