Claude Security é uma capacidade integrada ao Claude que verifica bases de código em busca de vulnerabilidades de segurança e sugere patches direcionados para revisão humana. Ajuda equipes a encontrar e corrigir problemas que métodos tradicionais frequentemente perdem.
Claude Security agora está em visualização de pesquisa.
Claude Security permite que você:
Verifique seu código em paralelo — Claude Security compreende o contexto, rastreia fluxos de dados entre arquivos e identifica padrões de vulnerabilidade complexos e multi-componentes que scanners tradicionais podem não detectar.
Valide descobertas — Cada descoberta passa por verificação em múltiplos estágios, com Claude desafiando seus próprios resultados antes de apresentá-los. O resultado: mais problemas reais relatados e menos falsos positivos.
Revise e corrija — Mude diretamente de uma descoberta para uma sessão Claude Code para revisar a correção proposta. Resolva vulnerabilidades rapidamente em vez de acumular um backlog.
Para começar, consulte o guia de introdução.
Tipos de descobertas
Cada descoberta se enquadra em uma das categorias abaixo.
Categorias
Domínio | Categoria | O que é |
Injeção | Injeção SQL | Entrada não confiável altera a estrutura da consulta, não apenas valores vinculados |
Injeção | Injeção de comando | Entrada não confiável atinge uma chamada shell ou exec |
Injeção | Injeção de código | Entrada do invasor é analisada ou executada como código |
Injeção | Cross-site scripting (XSS) | Entrada renderizada em HTML/JS sem escape apropriado ao contexto |
Injeção | XXE | Parser XML resolve entidades externas de entrada não confiável |
Injeção | ReDoS / complexidade algorítmica | Regex super-linear ou algoritmo em entrada controlada pelo invasor |
Caminho & Rede | Travessia de diretório | Entrada do usuário escapa de um limite de sistema de arquivos pretendido |
Caminho & Rede | SSRF | Entrada do usuário controla o host ou protocolo da solicitação |
Caminho & Rede | Redirecionamento aberto | URL controlada pelo usuário atinge um redirecionamento sem lista de permissões |
Autenticação & Acesso | Bypass de autenticação | Caminho de código acessível ignora uma verificação de autenticação |
Autenticação & Acesso | Escalação de privilégio | Usuário normal ganha capacidade exclusiva de administrador |
Autenticação & Acesso | IDOR / BOLA | Referência de objeto confiável do cliente sem verificação de propriedade |
Autenticação e Acesso | CSRF | Solicitação que altera estado aceita acionadores de origem cruzada sem proteção |
Autenticação e Acesso | Condição de corrida | TOCTOU ou acesso concorrente quebra um invariante de segurança |
Segurança de Memória | Estouro de buffer | Dados de tamanho de entrada escritos em contêiner de tamanho independente |
Segurança de Memória | Uso após liberação | Memória liberada acessível via ponteiro ativo |
Segurança de Memória | Estouro de inteiro | Aritmética em entrada não confiável ultrapassa uma verificação de segurança |
Segurança de Memória | Solidez insegura |
|
Criptografia | Canal lateral de temporização | Comparação ou ramificação dependente de segredo observável pelo atacante |
Criptografia | Confusão de algoritmo | Uso incorreto entre primitivos (ex: JWT |
Criptografia | Primitivos fracos | MD5, SHA-1, DES, ECB, etc. usados em contexto de segurança |
Desserialização | Instanciação de tipo arbitrário | Dados controlados pelo atacante orientam a construção de objetos |
Protocolo e Codificação | Segurança de cache | Cache codificado sem todas as entradas que determinam autoridade |
Protocolo e Codificação | Confusão de codificação | Analisadores discordam entre camadas (Unicode, URL, HTML) |
Protocolo e Codificação | Confiança em prefixo de comprimento | Comprimento declarado confiável sem verificação de limites |
Severidades
A severidade é atribuída por descoberta com base na exploração em sua base de código, não na categoria em si—portanto, a mesma categoria pode ter severidades diferentes em repositórios diferentes.
Severidade | Critérios | Exemplo típico |
Alto | Explorável por um atacante remoto não autenticado contra uma implantação padrão, sem pré-condições significativas | Injeção de comando não autenticada em um endpoint de API pública |
Médio | Explorável atrás de autenticação, ou requer 1-2 pré-condições realistas (função específica, identificador conhecido, interação do usuário) | Injeção SQL atrás de autenticação exigindo conhecimento do esquema de tabelas |
Baixo | Requer 3+ pré-condições, acesso apenas local ou carece de um caminho de ataque demonstrado concreto | Canal lateral de temporização exigindo proximidade de rede e milhares de requisições |
Estrutura de descoberta
Cada descoberta de varredura inclui os seguintes campos:
Campo | Tipo | Descrição |
| string | Descreve o problema |
| string | Capacidade do atacante |
| string | Caminho relativo ao repositório para o arquivo de código-fonte vulnerável primário |
| int | Linha primária onde o problema se origina |
| string | Descrição técnica completa da vulnerabilidade, fluxo de dados e por que é explorável |
| string | Mapeamento de exploração concreto de ponta a ponta de uma entrada específica para um impacto específico |
| string[] | Toda condição que deve ser atendida para que a exploração tenha sucesso. Uma lista vazia significa que o problema é explorável contra qualquer implantação padrão. |
| string | Categoria de ataque, por exemplo |
| enum |
|
| float | 0.0-1.0, reflete a confiança da descoberta |
| string | Correção baseada em resultado |
Perguntas frequentes
Seleção de modelo — O acesso ao Mythos é limitado a um pequeno conjunto de clientes aprovados.
Duração da varredura — O tempo de varredura varia com base no repositório e nas ações do agente.
Configuração de severidade — A severidade não é configurável atualmente.
Repositórios não-GitHub — Apenas repositórios hospedados no GitHub podem ser verificados atualmente.
Determinismo de varredura — As varreduras são não-determinísticas, portanto um problema real pode não aparecer em cada varredura. Novas descobertas são marcadas como "novas" no console.
Escopo de uso
Você pode usar Claude Security apenas para verificar código que sua empresa possui e para o qual sua empresa detém todos os direitos necessários para verificar. Você não pode usar Claude Security para verificar código de propriedade de terceiros ou licenciado por terceiros, incluindo, mas não limitado a projetos de código aberto ou repositórios que não estejam incluídos no(s) codebase(s) da sua empresa.