Descripción general
Claude Security es una capacidad integrada en Claude.ai que escanea bases de código en busca de vulnerabilidades de seguridad y sugiere parches específicos para revisión humana. Ayuda a los equipos a encontrar y corregir problemas que los métodos tradicionales a menudo pierden.
Claude Security ahora está disponible en versión beta pública para usuarios en planes Max, Team y Enterprise.
Claude Security te permite:
Escanear tu código en paralelo — Claude Security comprende el contexto, rastrea flujos de datos entre archivos e identifica patrones de vulnerabilidad complejos y de múltiples componentes que los escáneres tradicionales podrían no detectar.
Validar hallazgos — Cada hallazgo pasa por verificación multietapa, con Claude cuestionando sus propios resultados antes de presentarlos. El resultado: más problemas reales reportados y menos falsos positivos.
Revisar y parchar — Pasa sin problemas de un hallazgo a una sesión de Claude Code para revisar la corrección propuesta. Resuelve vulnerabilidades rápidamente en lugar de acumular un backlog.
Aprende cómo comenzar y cómo las empresas líderes utilizan la herramienta aquí: Introducción a Claude Security.
Tipos de hallazgos
Los hallazgos se dividen en estas categorías de ejemplo a continuación.
Inyección (SQL, Comando, Código, XSS): La entrada no confiable cambia la estructura de la consulta o se ejecuta. Por ejemplo, ' OR 1=1--, ; rm -rf /, <script> en un comentario.
Inyección (XXE, ReDoS): Los analizadores o expresiones regulares son abusados por entrada elaborada. Por ejemplo, XML <!ENTITY> leyendo /etc/passwd.
Ruta y Red (Traversal de ruta, SSRF, Redirección abierta): La entrada controla rutas de archivo, destinos de solicitud o redirecciones. Por ejemplo, ../../etc/passwd, obteniendo http://169.254.169.254/.
Autenticación y Acceso (Bypass de AuthN, PrivEsc, IDOR/BOLA, CSRF, Race): Faltan verificaciones de acceso, son omitibles o tienen condiciones de carrera. Por ejemplo, GET /orders/123 devuelve el pedido de otra persona.
Seguridad de Memoria (Desbordamiento de búfer/entero, UAF, mal uso inseguro): La entrada escribe más allá de los límites, envuelve aritmética o golpea memoria liberada. Principalmente C/C++/Rust inseguro.
Criptografía (Fugas de tiempo, confusión de algoritmos, primitivos débiles): Ramas dependientes de secretos, JWT alg=none, o MD5/SHA-1/DES/ECB en rutas de seguridad.
Deserialización (Instanciación de tipo arbitrario): Bytes no confiables impulsan la construcción de objetos — pickle, Java readObject, YAML load. A menudo equivale a RCE.
Protocolo y Codificación (Seguridad de caché, confusión de codificación, confianza en prefijo de longitud): Las capas no están de acuerdo o confían en tamaños declarados. Por ejemplo, envenenamiento de caché a través del encabezado Host.
Severidades
La severidad se asigna por hallazgo según la explotabilidad en tu base de código, no la categoría en sí misma, por lo que la misma categoría puede tener diferentes severidades en diferentes repositorios.
Severidad | Criterios | Ejemplo típico |
Alta | Explotable por un atacante remoto no autenticado contra una implementación predeterminada, sin precondiciones significativas | Inyección de comandos no autenticada en un punto final de API público |
Media | Explotable detrás de autenticación, o requiere 1–2 precondiciones realistas (rol específico, identificador conocido, interacción del usuario) | Inyección SQL detrás de autenticación que requiere conocimiento del esquema de tabla |
Baja | Requiere 3+ precondiciones, acceso solo local, o carece de una ruta de ataque demostrada concretamente | Canal lateral de tiempo que requiere proximidad de red y miles de solicitudes |
Estructura de hallazgo
Cada hallazgo contiene los siguientes campos:
Título — nombre descriptivo corto del hallazgo
Detalles — descripción de qué es el hallazgo y por qué importa
Ubicación — ruta de archivo y número de línea, vinculado a la fuente
Impacto — qué podría salir mal si esto no se aborda
Pasos de reproducción — lista ordenada de pasos para reproducir u observar el problema
Corrección recomendada — orientación sobre cómo resolverlo
Severidad — ALTA / MEDIA / BAJA
Estado — Abierto / Descartado / Resuelto
Categoría — tipo de hallazgo
Repositorio — identificador del repositorio
Rama — nombre de la rama contra la que se produjo el hallazgo
Fecha de creación — fecha en que se creó el hallazgo
Se muestra solo si el hallazgo fue descartado:
Motivo del descarte
Nota de descarte — opcional
Preguntas frecuentes
Duración del escaneo — El tiempo de escaneo varía según el repositorio y las acciones del agente.
Configuración de severidad — a partir de hoy, la severidad no es configurable.
Repositorios que no son de GitHub — Solo se pueden escanear repositorios alojados en GitHub hoy.
Sin retención de datos cero (Sin ZDR) — Anthropic puede retener datos cuando sea requerido por ley o para abordar violaciones de la Política de Uso.
Consistencia de escaneo — Los escaneos son estocásticos por diseño. A diferencia de los analizadores estáticos tradicionales, Claude Security utiliza un agente que adapta su análisis a cada ejecución, razonando sobre el contexto del código en lugar de aplicar coincidencias de patrones fijos. Esto permite la profundidad de análisis necesaria para detectar vulnerabilidades a nivel de lógica.
Exportar hallazgos — Puedes copiar hallazgos, descargarlos como CSV o Markdown, o enviarlos a tus propios sistemas de seguimiento y notificación a través de webhooks por proyecto. Consulta la guía de "introducción".
Comentarios — Por favor comparte tus comentarios usando el icono de comentarios en el producto en la derecha.
Direcciones IP para Github — Utiliza la siguiente guía de Anthropic para direcciones IP en lista blanca: Direcciones IP.
Alcance de uso: Solo usarás Claude Security para escanear código que tú o tu empresa poseen y para el cual tú o tu empresa tienen todos los derechos necesarios para escanear. No usarás Claude Security para escanear código propiedad de o licenciado de terceros, incluyendo pero no limitado a proyectos de código abierto o repositorios que no sean los incluidos en la(s) base(s) de código de tu empresa.