Claude Code Security ist da! In einer Ära, in der KI Schwachstellen in der Codebasis findet und sogar Korrekturvorschläge macht.
Inhaltsverzeichnis
Am 20. Februar 2026 kündigte Anthropic „Claude Code Security“ an. Dabei handelt es sich um eine in die Web-Version von Claude Code integrierte Sicherheits-Scan-Funktion, die Schwachstellen in Codebasen erkennt und sogar Korrektur-Patches vorschlägt.
Zum jetzigen Zeitpunkt befindet sich die Funktion in der Phase der Research Preview (eingeschränkte Veröffentlichung), aber für Ingenieure dürfte dies eine äußerst interessante Ankündigung sein. In diesem Artikel fassen wir die Merkmale von Claude Code Security und die Unterschiede zu herkömmlichen Tools auf der Grundlage der offiziellen Ankündigung und zugehöriger Informationen zusammen.
Dieser Artikel ist ein Erläuterungsbericht, der auf Informationen aus dem offiziellen Blog von Anthropic und zugehörigen technischen Berichten basiert und aus der Perspektive des Autors neu zusammengestellt wurde.
Herausforderungen für Sicherheitsteams
Schauen wir uns zunächst die Probleme an, die diese Funktion zu lösen versucht.
Jeder, der schon einmal mit Softwaresicherheit zu tun hatte, wird wissen, dass es im Vergleich zur Anzahl der Schwachstellen einen massiven Mangel an Fachkräften gibt, die diese prüfen und beheben können. Bestehende statische Analysetools (SAST) sind zwar nützlich, basieren aber grundsätzlich auf dem Abgleich mit „bekannten Mustern“. Während sie routinemäßige Probleme wie die Speicherung von Passwörtern im Klartext oder die Verwendung veralteter Verschlüsselungsmethoden finden können, ist es derzeit schwierig, Schwachstellen zu erkennen, die ein Verständnis des Kontexts erfordern, wie etwa Mängel in der Geschäftslogik oder Lücken in der Zugriffskontrolle.
Hier setzt Claude Code Security an, indem es die Schlussfolgerungsfähigkeit von KI nutzt.
Funktionsweise von Claude Code Security
„Lesen und Nachdenken“ statt Musterabgleich
Während herkömmliche statische Analysetools mit regelbasiertem Musterabgleich arbeiten, verfolgt Claude Code Security den Ansatz, Code „wie ein menschlicher Sicherheitsforscher zu lesen und Schlussfolgerungen zu ziehen“.
Konkret geschieht Folgendes:
- Interaktionen zwischen Komponenten verstehen — Verfolgt den Datenfluss nicht nur innerhalb einer einzelnen Datei, sondern über mehrere Dateien hinweg.
- Datenfluss verfolgen — Erfasst, wo und wie Benutzereingaben verarbeitet werden und wo sie letztendlich ankommen.
- Komplexe Schwachstellen erkennen — Findet Fälle, in denen einzelne Codefragmente unproblematisch sind, ihre Kombination jedoch eine Schwachstelle darstellt.
Das bedeutet, dass das Tool nicht einfach anhand von regulären Ausdrücken oder Regeltabellen entscheidet, dass „diese Schreibweise schlecht ist“, sondern Probleme auf der Grundlage des Verständnisses der Absicht und des Verhaltens des Codes aufzeigt.
Reduzierung von Fehlalarmen durch Selbstverifizierung
Einer der stressigsten Aspekte bei der Verwendung von Sicherheitstools ist wohl die Zeit, die für die Bearbeitung einer großen Anzahl von Fehlalarmen (False Positives) aufgewendet werden muss.
Claude Code Security bietet auch hierfür eine Lösung. Nach der Erkennung einer Schwachstelle wird ein mehrstufiger Verifizierungsprozess durchgeführt. Das System versucht, seine eigenen Entdeckungen zu widerlegen („Ist das wirklich eine Schwachstelle?“), filtert Ergebnisse mit geringer Wahrscheinlichkeit heraus und meldet sie erst dann dem Analysten.
Jedes Erkennungsergebnis wird mit einer Bewertung für den Schweregrad (Severity) und das Vertrauen (Confidence) versehen, sodass Teams Prioritäten bei der Behebung setzen können.
Vorschlag von Korrektur-Patches und menschliche Überprüfung
Die Erkennungsergebnisse werden im Dashboard von Claude Code Security angezeigt. Dort können Teams die Details der Schwachstellen einsehen und die von Claude vorgeschlagenen Korrektur-Patches prüfen und genehmigen.
Wichtig ist hierbei, dass Korrekturen erst nach menschlicher Genehmigung angewendet werden. Claude identifiziert Probleme und schlägt Lösungen vor, aber die endgültige Entscheidung trifft der Entwickler. Dass sicherheitsrelevante Änderungen nicht vollständig automatisiert werden, halte ich zum jetzigen Zeitpunkt für ein kluges Design.
Wie weit ist die Fähigkeit der KI zur Entdeckung von Schwachstellen bereits fortgeschritten?
Hinter Claude Code Security steht die Cybersicherheitsforschung, an der Anthropic seit über einem Jahr arbeitet.
In einer Studie mit Claude Opus 4.6, das erst Anfang Februar 2026 veröffentlicht wurde, wurde berichtet, dass über 500 hochgradig kritische Schwachstellen in produktiven Open-Source-Codebasen entdeckt wurden. Diese verbargen sich in Projekten, die jahrelang von Experten geprüft worden waren, wobei einige jahrzehntelang unentdeckt geblieben waren.
Interessant ist die Art und Weise, wie Claude diese Schwachstellen gefunden hat.
Im Gegensatz zum herkömmlichen Fuzzing (eine Methode, bei der große Mengen zufälliger Eingaben gesendet werden, um Abstürze zu finden) liest Claude vergangene Commit-Historien, um fehlende Patches zu vermuten, oder schließt logisch auf der Grundlage der Algorithmus-Spezifikationen: „Mit dieser Eingabe müsste es kaputtgehen“. Dies deutet darauf hin, dass ein solcher „kontextbezogener“ Ansatz Probleme aufdecken kann, die selbst in Codebasen übersehen wurden, die jahrelangem Fuzzing oder Experten-Reviews unterzogen wurden.
Unterschiede zu herkömmlichen Sicherheitstools
Hier ist eine Zusammenfassung der Punkte, die für Ingenieure von Interesse sind: „Was ist der Unterschied zu den Tools, die ich bereits verwende?“
| Aspekt | Herkömmliche statische Analyse (SAST) | Claude Code Security |
|---|---|---|
| Erkennungsmethode | Regelbasierter Musterabgleich | Lesen und Schlussfolgern aus dem Code |
| Stärken bei der Erkennung | Bekannte Schwachstellenmuster (SQL-Injection, XSS etc.) | Kontextabhängige, komplexe Schwachstellen |
| Umgang mit Fehlalarmen | Unterdrückung durch Regelanpassung | Filterung durch Selbstverifizierungsprozess |
| Korrekturvorschläge | Allgemeine Anleitungen | Konkrete Patches, die zum Codestil passen |
| Dateiübergreifende Analyse | Variiert je nach Tool | Verfolgung des Datenflusses über mehrere Dateien möglich |
Natürlich bedeutet dies nicht, dass herkömmliche Tools überflüssig werden. In der Ankündigung wird erklärt, dass es komplexe Probleme ergänzt, die bei der regelbasierten statischen Analyse oft durch das Raster fallen. Dass Erkennungsergebnisse in bestehende Sicherheitsabläufe exportiert werden können, wird in den FAQ auf der Produktseite erwähnt.
利用条件と今後の展開
Aktuelle Nutzungsbedingungen
Claude Code Security wird derzeit als Research Preview unter den folgenden Bedingungen angeboten:
- Zielgruppe: Kunden der Tarife Claude Enterprise und Team
- Plattform: Web-Version von Claude Code
- Open-Source-Maintainer: Können kostenlos vorrangigen Zugang beantragen
Es macht einen guten Eindruck, dass Open-Source-Maintainern die Türen kostenlos geöffnet werden. Open-Source-Code wird weit verbreitet eingesetzt, von Unternehmenssystemen bis hin zu kritischen Infrastrukturen, und wenn eine Schwachstelle entdeckt wird, betrifft dies das gesamte Internet. Gleichzeitig werden viele Projekte von kleinen Teams oder Freiwilligen betrieben, die meist über keine dedizierten Sicherheitsressourcen verfügen.
Zukünftige Ausrichtung
Anthropic erklärt im offiziellen Blog: „In naher Zukunft wird ein erheblicher Anteil des weltweiten Codes von KI gescannt werden.“
In einer Zeit, in der auch Angreifer KI nutzen werden, um nach Schwachstellen zu suchen, wird es immer wichtiger, dass die Verteidiger die Initiative ergreifen, um Schwachstellen zu finden und zu beheben. Claude Code Security ist als Werkzeug positioniert, das diese „Initiative der Verteidiger“ unterstützt.
Persönliche Einschätzung als Ingenieur
Ich persönlich achte besonders auf die folgenden drei Punkte:
1. Der „schlussfolgerungsbasierte“ Ansatz erreicht ein praxistaugliches Niveau
Die Tatsache, dass tatsächlich über 500 unbekannte Schwachstellen entdeckt wurden, zeigt, dass Code-Reviews durch KI die Phase des „Proof of Concept“ verlassen. Natürlich bleibt die Frage nach der Genauigkeit in der Preview-Version, aber die Richtung ist sehr vielversprechend.
2. Design, das die endgültige Entscheidung beim Menschen belässt
Im Bereich der Sicherheit wäre es noch zu riskant, die KI Korrekturen vollautomatisch durchführen zu lassen. Ein Design, das für jede Korrektur eine menschliche Genehmigung erfordert, ist realistisch und schafft Vertrauen. Dass hier keine Abkürzung genommen wurde, ist positiv zu bewerten.
3. Voraussetzung der Koexistenz mit bestehenden Tools
Es ist ebenfalls positiv, dass die Position „Ergänzung statt Ersatz bestehender Tools“ klargestellt wurde. In Umgebungen, in denen bereits Sicherheitstools im Einsatz sind, senkt die Hürde für die Einführung, da man sie nicht verwerfen, sondern ergänzen kann.
Zusammenfassung
Claude Code Security ist ein Versuch, die Schlussfolgerungsfähigkeiten von KI ernsthaft im Sicherheitsbereich einzusetzen.
- Erkennt kontextabhängige, komplexe Schwachstellen schlussfolgerungsbasiert statt regelbasiert.
- Reduziert Fehlalarme durch einen Selbstverifizierungsprozess und weist Schweregrad sowie Vertrauen zu.
- Deckt den gesamten Workflow ab, vom Vorschlag von Korrektur-Patches bis zur menschlichen Genehmigung.
- Derzeit als Research Preview verfügbar (für Enterprise-/Team-Kunden, kostenlos für OSS-Maintainer).
- Koexistenz mit bestehenden Sicherheitstools ist die Voraussetzung.
Gerade weil wir in einer Ära angekommen sind, in der KI Code schreibt, ist es eine natürliche Entwicklung, die KI auch die Sicherheit des Codes prüfen zu lassen. Da es sich um eine Research Preview handelt, müssen Genauigkeit und Skalierbarkeit im realen Betrieb noch verifiziert werden, aber ich sehe das Potenzial für eine mächtige Waffe auf der Seite der Verteidiger.
Interessierte können sich über die Warteliste anmelden.