使用 Claude Security | Anthropic Help Center

概述

Claude Security 是內建於 Claude.ai 的功能，可掃描程式碼庫中的安全漏洞，並建議針對性的修補程式供人工審查。它幫助團隊找到並修復傳統方法經常遺漏的問題。

Claude Security 現已向 Max、Team 和 Enterprise 方案的使用者開放公開測試版。

Claude Security 可讓您：

了解如何開始使用以及領先企業如何使用此工具，請參閱此處：Claude Security 入門。

發現分為以下示例類別。

注入（SQL、命令、程式碼、XSS）：不受信任的輸入改變查詢結構或被執行。例如，' OR 1=1--、; rm -rf /、<script> 在註解中。

注入（XXE、ReDoS）：解析器或正規表達式被精心設計的輸入濫用。例如，XML <!ENTITY> 讀取 /etc/passwd。

路徑和網路（路徑遍歷、SSRF、開放重定向）：輸入控制檔案路徑、請求目的地或重定向。例如，../../etc/passwd、擷取 http://169.254.169.254/。

驗證和存取（驗證繞過、權限提升、IDOR/BOLA、CSRF、競態）：存取檢查遺漏、可跳過或存在競態。例如，GET /orders/123 傳回他人的訂單。

記憶體安全（緩衝區/整數溢位、UAF、不安全誤用）：輸入寫入超出邊界、環繞算術或命中已釋放的記憶體。主要是 C/C++/Rust 不安全。

密碼學（時序洩漏、演算法混淆、弱基元）：依賴祕密的分支、JWT alg=none 或安全路徑中的 MD5/SHA-1/DES/ECB。

反序列化（任意型別實例化）：不受信任的位元組驅動物件構造 — pickle、Java readObject、YAML load。通常等於 RCE。

協議和編碼（快取安全、編碼混淆、長度前綴信任）：層級不一致或信任宣告的大小。例如，透過 Host 標頭進行快取中毒。

嚴重程度根據發現在您的程式碼庫中的可利用性分配，而不是類別本身 — 因此相同的類別在不同的儲存庫中可能會落在不同的嚴重程度。

嚴重程度	標準	典型示例
高	未經驗證的遠端攻擊者可針對預設部署進行利用，無需有意義的前置條件	公開 API 端點中未經驗證的命令注入
中	可在驗證後利用，或需要 1-2 個現實前置條件（特定角色、已知識別碼、使用者互動）	需要了解表格結構的驗證後 SQL 注入
低	需要 3 個以上前置條件、僅限本機存取或缺乏具體的已證實攻擊路徑	需要網路鄰近性和數千個請求的時序側通道

每項發現包含以下欄位：

掃描長度 — 掃描時間因儲存庫和代理程式的操作而異。
嚴重程度設定 — 截至今日，嚴重程度不可設定。
非 GitHub 儲存庫 — 目前只能掃描託管在 GitHub 上的儲存庫。
無零資料保留（無 ZDR） — Anthropic 可能會在法律要求或解決使用政策違規時保留資料。
掃描一致性 — 掃描在設計上是隨機的。與傳統靜態分析器不同，Claude Security 使用代理程式，該代理程式會根據每次執行調整其分析，對程式碼上下文進行推理，而不是應用固定的模式匹配。這使得能夠進行深度分析，以捕捉邏輯級漏洞。
匯出發現 — 您可以複製發現、將其下載為 CSV 或 Markdown，或透過每個專案的 Webhook 將其推送到您自己的追蹤和通知系統。請參閱「入門」指南。
意見反應 — 請使用右側的產品內意見反應圖示分享您的意見反應。
Github 的 IP 位址 — 使用以下 Anthropic 指南進行 IP 位址允許清單：IP 位址。

使用範圍：您只能使用 Claude Security 掃描您或您的公司擁有的程式碼，以及您或您的公司擁有掃描所有必要權利的程式碼。您不得使用 Claude Security 掃描由第三方擁有或授權的程式碼，包括但不限於開放原始碼專案或您公司程式碼庫以外的儲存庫。