Visão geral
Claude Security é uma capacidade integrada ao Claude.ai que verifica bases de código em busca de vulnerabilidades de segurança e sugere patches direcionados para revisão humana. Ajuda equipes a encontrar e corrigir problemas que métodos tradicionais frequentemente perdem.
Claude Security agora está disponível em beta público para usuários nos planos Max, Team e Enterprise.
Claude Security permite que você:
Verifique seu código em paralelo — Claude Security compreende o contexto, rastreia fluxos de dados entre arquivos e identifica padrões de vulnerabilidade complexos e multi-componentes que scanners tradicionais podem não detectar.
Valide descobertas — Cada descoberta passa por verificação em múltiplos estágios, com Claude desafiando seus próprios resultados antes de apresentá-los. O resultado: mais problemas reais relatados e menos falsos positivos.
Revise e corrija — Mude perfeitamente de uma descoberta para uma sessão Claude Code para revisar a correção proposta. Resolva vulnerabilidades rapidamente em vez de acumular um backlog.
Saiba como começar e como empresas líderes usam a ferramenta aqui: Começando com Claude Security.
Tipos de descobertas
As descobertas se enquadram nessas categorias de exemplo abaixo.
Injeção (SQL, Comando, Código, XSS): Entrada não confiável altera a estrutura da consulta ou é executada. Ex.: ' OR 1=1--, ; rm -rf /, <script> em um comentário.
Injeção (XXE, ReDoS): Parsers ou regex abusados por entrada elaborada. Ex.: XML <!ENTITY> lendo /etc/passwd.
Caminho e Rede (Travessia de caminho, SSRF, Redirecionamento aberto): Entrada controla caminhos de arquivo, destinos de solicitação ou redirecionamentos. Ex.: ../../etc/passwd, buscando http://169.254.169.254/.
Autenticação e Acesso (Bypass de autenticação, PrivEsc, IDOR/BOLA, CSRF, Race): Verificações de acesso ausentes, contornáveis ou com condição de corrida. Ex.: GET /orders/123 retorna o pedido de outra pessoa.
Segurança de Memória (Estouro de buffer/inteiro, UAF, uso inseguro): Entrada escreve além dos limites, envolve aritmética ou atinge memória liberada. Principalmente C/C++/Rust inseguro.
Criptografia (Vazamentos de tempo, confusão de algoritmo, primitivos fracos): Ramificações dependentes de segredo, JWT alg=none, ou MD5/SHA-1/DES/ECB em caminhos de segurança.
Desserialização (Instanciação de tipo arbitrário): Bytes não confiáveis conduzem a construção de objetos — pickle, Java readObject, YAML load. Frequentemente equivale a RCE.
Protocolo e Codificação (Segurança de cache, confusão de codificação, confiança em prefixo de comprimento): Camadas discordam ou confiam em tamanhos declarados. Ex.: envenenamento de cache via cabeçalho Host.
Severidades
A severidade é atribuída por descoberta com base na exploração em sua base de código, não na categoria em si — portanto, a mesma categoria pode ter severidades diferentes em repositórios diferentes.
Severidade | Critérios | Exemplo típico |
Alta | Explorável por um atacante remoto não autenticado contra uma implantação padrão, sem pré-condições significativas | Injeção de comando não autenticada em um endpoint de API pública |
Média | Explorável atrás de autenticação, ou requer 1–2 pré-condições realistas (função específica, identificador conhecido, interação do usuário) | Injeção SQL atrás de autenticação exigindo conhecimento do esquema da tabela |
Baixa | Requer 3+ pré-condições, acesso apenas local, ou carece de um caminho de ataque demonstrado concreto | Canal lateral de tempo exigindo proximidade de rede e milhares de solicitações |
Estrutura de descoberta
Cada descoberta contém os seguintes campos:
Título — nome descritivo curto da descoberta
Detalhes — descrição do que é a descoberta e por que importa
Localização — caminho do arquivo e número da linha, vinculado à fonte
Impacto — o que pode dar errado se isso não for resolvido
Etapas de reprodução — lista ordenada de etapas para reproduzir ou observar o problema
Correção recomendada — orientação sobre como resolvê-lo
Severidade — ALTA / MÉDIA / BAIXA
Status — Aberto / Descartado / Resolvido
Categoria — tipo de descoberta
Repositório — identificador do repositório
Branch — nome da branch em que a descoberta foi produzida
Data de criação — data em que a descoberta foi criada
Mostrado apenas se a descoberta foi descartada:
Motivo do descarte
Nota de descarte — opcional
Perguntas frequentes
Duração da verificação — O tempo de verificação varia com base no repositório e nas ações do agente.
Configuração de severidade — até o momento, a severidade não é configurável.
Repositórios não-GitHub — Apenas repositórios hospedados no GitHub podem ser verificados hoje.
Sem Retenção de Dados Zero (Sem ZDR) — Anthropic pode reter dados quando exigido por lei ou para resolver violações da Política de Uso.
Consistência de verificação — As verificações são estocásticas por design. Ao contrário dos analisadores estáticos tradicionais, Claude Security usa um agente que adapta sua análise a cada execução, raciocinando sobre o contexto do código em vez de aplicar correspondências de padrão fixas. Isso permite a profundidade de análise necessária para detectar vulnerabilidades em nível de lógica.
Exportando descobertas — Você pode copiar descobertas, baixá-las como CSV ou Markdown, ou enviá-las para seus próprios sistemas de rastreamento e notificação via webhooks por projeto. Consulte o guia "começando".
Feedback — Compartilhe seu feedback usando o ícone de feedback no produto à direita.
Endereços IP para Github — Use o seguinte guia Anthropic para endereços IP de lista de permissões: Endereços IP.
Escopo de uso: Você usará Claude Security apenas para verificar código que você ou sua empresa possui e para o qual você ou sua empresa detém todos os direitos necessários para verificar. Você não usará Claude Security para verificar código de propriedade de ou licenciado de terceiros, incluindo, mas não limitado a projetos de código aberto ou repositórios diferentes daqueles incluídos na(s) base(s) de código da sua empresa.