Übersicht
Claude Security ist eine in Claude.ai integrierte Funktion, die Codebases auf Sicherheitslücken scannt und gezielte Patches zur Überprüfung durch Menschen vorschlägt. Sie hilft Teams, Probleme zu finden und zu beheben, die traditionelle Methoden oft übersehen.
Claude Security ist jetzt in der öffentlichen Beta für Benutzer mit Max-, Team- und Enterprise-Plänen verfügbar.
Claude Security ermöglicht Ihnen:
Scannen Sie Ihren Code parallel — Claude Security versteht den Kontext, verfolgt Datenflüsse über Dateien hinweg und identifiziert komplexe, mehrteilige Anfälligkeitsmuster, die traditionelle Scanner möglicherweise nicht erkennen.
Validieren Sie Ergebnisse — Jedes Ergebnis durchläuft eine mehrstufige Überprüfung, wobei Claude seine eigenen Ergebnisse in Frage stellt, bevor sie angezeigt werden. Das Ergebnis: mehr echte Probleme werden gemeldet und weniger Fehlalarme.
Überprüfen und patchen — Wechseln Sie nahtlos von einem Ergebnis zu einer Claude Code-Sitzung, um den vorgeschlagenen Fix zu überprüfen. Beheben Sie Anfälligkeiten schnell, anstatt einen Rückstand aufzubauen.
Erfahren Sie hier, wie Sie anfangen und wie führende Unternehmen das Tool nutzen: Erste Schritte mit Claude Security.
Arten von Ergebnissen
Ergebnisse fallen in die folgenden Beispielkategorien.
Injection (SQL, Command, Code, XSS): Nicht vertrauenswürdige Eingaben ändern die Abfragestruktur oder werden ausgeführt. Z. B. ' OR 1=1--, ; rm -rf /, <script> in einem Kommentar.
Injection (XXE, ReDoS): Parser oder Regex werden durch manipulierte Eingaben missbraucht. Z. B. XML <!ENTITY> liest /etc/passwd.
Pfad & Netzwerk (Pfaddurchlauf, SSRF, Offene Umleitung): Eingaben steuern Dateipfade, Anfrageziele oder Umleitungen. Z. B. ../../etc/passwd, Abrufen von http://169.254.169.254/.
Auth & Zugriff (AuthN-Umgehung, PrivEsc, IDOR/BOLA, CSRF, Race): Zugriffsprüfungen fehlen, sind übersprungbar oder anfällig für Racebedingungen. Z. B. GET /orders/123 gibt die Bestellung einer anderen Person zurück.
Speichersicherheit (Puffer-/Ganzzahlüberlauf, UAF, unsicherer Missbrauch): Eingaben schreiben über Grenzen hinaus, wickeln Arithmetik um oder treffen freigegebenen Speicher. Hauptsächlich C/C++/Rust unsicher.
Kryptographie (Timing-Lecks, Algorithmusverwirrung, schwache Primitive): Geheimnisabhängige Verzweigungen, JWT alg=none oder MD5/SHA-1/DES/ECB in Sicherheitspfaden.
Deserialisierung (Beliebige Typinstanziierung): Nicht vertrauenswürdige Bytes steuern die Objektkonstruktion — pickle, Java readObject, YAML load. Oft gleich RCE.
Protokoll & Codierung (Cache-Sicherheit, Codierungsverwirrung, Längenpräfix-Vertrauen): Ebenen sind sich uneinig oder vertrauen deklarierten Größen. Z. B. Cache-Vergiftung über Host-Header.
Schweregrade
Der Schweregrad wird pro Ergebnis basierend auf der Ausnutzbarkeit in Ihrer Codebase zugewiesen, nicht auf der Kategorie selbst – daher kann die gleiche Kategorie in verschiedenen Repositories unterschiedliche Schweregrade haben.
Schweregrad | Kriterien | Typisches Beispiel |
Hoch | Ausnutzbar durch einen nicht authentifizierten Remote-Angreifer gegen eine Standardbereitstellung ohne sinnvolle Vorbedingungen | Nicht authentifizierte Befehlsinjektion in einem öffentlichen API-Endpunkt |
Mittel | Ausnutzbar hinter Authentifizierung oder benötigt 1–2 realistische Vorbedingungen (spezifische Rolle, bekannte Kennung, Benutzerinteraktion) | SQL-Injektion hinter Auth, die Kenntnisse des Tabellenschemas erfordert |
Niedrig | Benötigt 3+ Vorbedingungen, nur lokalen Zugriff oder fehlt ein konkreter nachgewiesener Angriffspfad | Timing-Seitenkanal, der Netzwerknähe und Tausende von Anfragen erfordert |
Struktur von Ergebnissen
Jedes Ergebnis enthält die folgenden Felder:
Titel — kurzer beschreibender Name des Ergebnisses
Details — Beschreibung des Ergebnisses und warum es wichtig ist
Standort — Dateipfad und Zeilennummer, verlinkt zur Quelle
Auswirkung — was schief gehen könnte, wenn dies nicht behoben wird
Reproduktionsschritte — geordnete Liste von Schritten zum Reproduzieren oder Beobachten des Problems
Empfohlene Behebung — Anleitung zur Behebung
Schweregrad — HOCH / MITTEL / NIEDRIG
Status — Offen / Verworfen / Gelöst
Kategorie — Ergebnistyp
Repository — Repository-Kennung
Branch — Branch-Name, für den das Ergebnis erstellt wurde
Erstellungsdatum — Datum, an dem das Ergebnis erstellt wurde
Wird nur angezeigt, wenn das Ergebnis verworfen wurde:
Grund für Verwerfung
Verwerfungsnotiz — optional
Häufig gestellte Fragen
Scandauer — Die Scandauer variiert je nach Repository und den Aktionen des Agenten.
Schweregrad-Konfiguration — Derzeit ist der Schweregrad nicht konfigurierbar.
Nicht-GitHub-Repositories — Derzeit können nur auf GitHub gehostete Repositories gescannt werden.
Keine Zero Data Retention (Kein ZDR) — Anthropic kann Daten beibehalten, wenn dies gesetzlich erforderlich ist oder um Verstöße gegen die Nutzungsrichtlinie zu beheben.
Scan-Konsistenz — Scans sind von Natur aus stochastisch. Im Gegensatz zu traditionellen statischen Analysatoren verwendet Claude Security einen Agenten, der seine Analyse an jeden Durchlauf anpasst und über Code-Kontext nachdenkt, anstatt feste Mustererkennung anzuwenden. Dies ermöglicht die Tiefe der Analyse, die erforderlich ist, um Anfälligkeiten auf Logikebene zu erkennen.
Ergebnisse exportieren — Sie können Ergebnisse kopieren, als CSV oder Markdown herunterladen oder sie über projektspezifische Webhooks an Ihre eigenen Tracking- und Benachrichtigungssysteme übertragen. Siehe den Leitfaden „Erste Schritte"."
Feedback — Bitte teilen Sie Ihr Feedback über das In-Product-Feedback-Symbol auf der rechten Seite mit.
IP-Adressen für Github — Verwenden Sie den folgenden Anthropic-Leitfaden für IP-Adressen-Whitelisting: IP-Adressen.
Nutzungsumfang: Sie werden Claude Security nur zum Scannen von Code verwenden, den Sie oder Ihr Unternehmen besitzt und für den Sie oder Ihr Unternehmen alle erforderlichen Rechte zum Scannen haben. Sie werden Claude Security nicht zum Scannen von Code verwenden, der von Dritten besessen oder lizenziert ist, einschließlich, aber nicht beschränkt auf Open-Source-Projekte oder Repositories, die nicht in den Codebase(n) Ihres Unternehmens enthalten sind.