Claude Security es una capacidad integrada en Claude que escanea bases de código en busca de vulnerabilidades de seguridad y sugiere parches específicos para revisión humana. Ayuda a los equipos a encontrar y corregir problemas que los métodos tradicionales suelen pasar por alto.
Claude Security ahora está en vista previa de investigación.
Claude Security te permite:
Escanea tu código en paralelo — Claude Security comprende el contexto, rastrea flujos de datos entre archivos e identifica patrones de vulnerabilidad complejos y de múltiples componentes que los escáneres tradicionales podrían no detectar.
Valida hallazgos — Cada hallazgo pasa por verificación multietapa, con Claude cuestionando sus propios resultados antes de presentarlos. El resultado: más problemas reales reportados y menos falsos positivos.
Revisa y parcha — Pivota directamente desde un hallazgo a una sesión de Claude Code para revisar la corrección propuesta. Resuelve vulnerabilidades rápidamente en lugar de acumular un backlog.
Para comenzar, consulta la guía de introducción.
Tipos de hallazgos
Cada hallazgo cae en una de las categorías a continuación.
Categorías
Dominio | Categoría | Qué es |
Inyección | Inyección SQL | La entrada no confiable cambia la estructura de la consulta, no solo los valores vinculados |
Inyección | Inyección de comandos | La entrada no confiable llega a una llamada shell o exec |
Inyección | Inyección de código | La entrada del atacante se analiza o ejecuta como código |
Inyección | Cross-site scripting (XSS) | Entrada renderizada en HTML/JS sin escape apropiado para el contexto |
Inyección | XXE | El analizador XML resuelve entidades externas de entrada no confiable |
Inyección | ReDoS / complejidad algorítmica | Expresión regular o algoritmo superlineal en entrada controlada por el atacante |
Ruta y red | Traversal de ruta | La entrada del usuario escapa de un límite del sistema de archivos previsto |
Ruta y red | SSRF | La entrada del usuario controla el host o protocolo de la solicitud |
Ruta y red | Redirección abierta | URL controlada por el usuario llega a una redirección sin lista de permitidos |
Autenticación y acceso | Omisión de autenticación | Ruta de código accesible omite una verificación de autenticación |
Autenticación y acceso | Escalada de privilegios | Un usuario normal obtiene una capacidad solo para administrador |
Autenticación y acceso | IDOR / BOLA | Referencia de objeto confiada del cliente sin verificación de propiedad |
Autenticación y Acceso | CSRF | Solicitud que cambia estado acepta activadores de origen cruzado sin protección |
Autenticación y Acceso | Condición de carrera | TOCTOU o acceso concurrente rompe un invariante de seguridad |
Seguridad de Memoria | Desbordamiento de búfer | Datos de tamaño de entrada escritos en contenedor de tamaño independiente |
Seguridad de Memoria | Uso después de liberación | Memoria liberada accesible a través de un puntero activo |
Seguridad de Memoria | Desbordamiento de entero | Aritmética en entrada no confiable se desborda más allá de una verificación de seguridad |
Seguridad de Memoria | Solidez insegura |
|
Criptografía | Canal lateral de temporización | Comparación o rama dependiente de secreto observable para el atacante |
Criptografía | Confusión de algoritmo | Mal uso entre primitivas (p. ej. JWT |
Criptografía | Primitivas débiles | MD5, SHA-1, DES, ECB, etc. utilizados en contexto de seguridad |
Deserialización | Instanciación de tipo arbitrario | Datos controlados por atacante impulsan la construcción de objetos |
Protocolo y Codificación | Seguridad de caché | Caché codificado sin todas las entradas que determinan autoridad |
Protocolo y Codificación | Confusión de codificación | Los analizadores no coinciden entre capas (Unicode, URL, HTML) |
Protocolo y Codificación | Confianza de prefijo de longitud | Longitud declarada confiada sin verificación de límites |
Severidades
La severidad se asigna por hallazgo según la explotabilidad en tu base de código, no la categoría en sí—por lo que la misma categoría puede tener diferentes severidades en diferentes repositorios.
Severidad | Criterios | Ejemplo típico |
Alto | Explotable por un atacante remoto no autenticado contra una implementación predeterminada, sin precondiciones significativas | Inyección de comando no autenticada en un punto final de API público |
Medio | Explotable detrás de autenticación, o requiere 1-2 precondiciones realistas (rol específico, identificador conocido, interacción del usuario) | Inyección SQL detrás de autenticación que requiere conocimiento del esquema de tabla |
Bajo | Requiere 3+ precondiciones, acceso solo local, o carece de una ruta de ataque demostrada concretamente | Canal lateral de tiempo que requiere proximidad de red y miles de solicitudes |
Estructura de hallazgo
Cada hallazgo de escaneo incluye los siguientes campos:
Campo | Tipo | Descripción |
| cadena | Describe el problema |
| cadena | Capacidad del atacante |
| cadena | Ruta relativa al repositorio del archivo de código fuente vulnerable principal |
| int | Línea principal donde se origina el problema |
| cadena | Descripción técnica completa de la vulnerabilidad, flujo de datos y por qué es explotable |
| cadena | Explotación concreta de extremo a extremo que mapea una entrada específica a un impacto específico |
| cadena[] | Cada condición que debe cumplirse para que la explotación tenga éxito. Una lista vacía significa que el problema es explotable contra cualquier implementación predeterminada. |
| cadena | Categoría de ataque, p. ej. |
| enum |
|
| float | 0.0-1.0, refleja la confianza del hallazgo |
| cadena | Corrección basada en resultados |
Preguntas frecuentes
Selección de modelo — El acceso a Mythos se limita a un pequeño conjunto de clientes aprobados.
Duración del escaneo — El tiempo de escaneo varía según el repositorio y las acciones del agente.
Configuración de severidad — La severidad no es configurable hoy en día.
Repositorios que no son de GitHub — Solo se pueden escanear repositorios alojados en GitHub hoy en día.
Determinismo del escaneo — Los escaneos no son deterministas, por lo que un problema real puede no aparecer en cada escaneo. Los nuevos hallazgos se marcan como "nuevos" en la consola.
Alcance de uso
Solo puede usar Claude Security para escanear código que su empresa posee y para el cual su empresa tiene todos los derechos necesarios para escanear. No puede usar Claude Security para escanear código propiedad de terceros o licenciado por terceros, incluidos, entre otros, proyectos de código abierto o repositorios que no estén incluidos en la(s) base(s) de código de su empresa.