Claude Code Security ist da! Willkommen in einer Ära, in der KI Schwachstellen in der Codebasis findet und sogar Korrekturvorschläge liefert.
Inhaltsverzeichnis
Am 20. Februar 2026 hat Anthropic „Claude Code Security" angekündigt. Dabei handelt es sich um eine in die Web-Version von Claude Code integrierte Sicherheits-Scan-Funktion, die Schwachstellen in der Codebasis erkennt und sogar Korrektur-Patches vorschlägt.
Derzeit befindet sich die Funktion in der Phase der „Research Preview" (eingeschränkte Veröffentlichung), aber für Ingenieure dürfte dies eine äußerst interessante Ankündigung sein. In diesem Artikel fassen wir die Merkmale von Claude Code Security und die Unterschiede zu herkömmlichen Tools auf Basis der offiziellen Ankündigung und zugehöriger Informationen zusammen.
Dieser Artikel ist ein erläuternder Bericht, der auf Informationen aus dem offiziellen Anthropic-Blog und zugehörigen technischen Berichten basiert und aus der Sicht des Autors neu aufbereitet wurde.
Herausforderungen für Sicherheitsteams
Betrachten wir zunächst die Probleme, die diese Funktion zu lösen versucht.
Jeder, der schon einmal mit Softwaresicherheit zu tun hatte, wird es bestätigen: Es mangelt massiv an Fachkräften, die die Menge an Schwachstellen sichten und beheben können. Bestehende Tools zur statischen Analyse (SAST) sind zwar nützlich, basieren aber im Wesentlichen darauf, ob Code mit „bekannten Mustern" übereinstimmt. Während formelhafte Probleme wie das Speichern von Passwörtern im Klartext oder die Verwendung veralteter Verschlüsselungsmethoden gefunden werden können, ist es derzeit schwierig, Schwachstellen wie Logikfehler in Geschäftsprozessen oder Lücken in der Zugriffskontrolle zu erkennen, die nur durch das Verständnis des Kontexts beurteilt werden können.
Hier setzt Claude Code Security an, indem es die Schlussfolgerungsfähigkeit (Reasoning) von KI nutzt.
Wie Claude Code Security funktioniert
„Lesen und Denken" statt Pattern Matching
Während herkömmliche SAST-Tools mit regelbasiertem Pattern Matching arbeiten, verfolgt Claude Code Security den Ansatz, Code „wie ein menschlicher Sicherheitsforscher zu lesen und darüber nachzudenken".
Konkret geschieht Folgendes:
- Interaktionen zwischen Komponenten verstehen -- Es werden nicht nur einzelne Dateien betrachtet, sondern Datenflüsse über Dateigrenzen hinweg verfolgt.
- Datenflüsse nachverfolgen -- Es wird erfasst, wo Benutzereingaben wie verarbeitet werden und wo sie letztendlich ankommen.
- Komplexe Schwachstellen erkennen -- Es werden Fälle gefunden, in denen einzelne Codefragmente unproblematisch sein mögen, ihre Kombination jedoch eine Schwachstelle darstellt.
Mit anderen Worten: Anstatt mit regulären Ausdrücken oder Regeltabellen zu entscheiden, dass „diese Schreibweise schlecht ist", weist das System auf Probleme hin, nachdem es die Absicht und das Verhalten des Codes verstanden hat.
Reduzierung von Fehlalarmen durch Selbstverifizierung
Einer der frustrierendsten Aspekte bei der Nutzung von Sicherheitstools ist die Zeit, die für die Bearbeitung einer großen Anzahl von Fehlalarmen (False Positives) aufgewendet werden muss.
Claude Code Security bietet auch hierfür eine Lösung. Nach der Erkennung einer Schwachstelle wird ein mehrstufiger Verifizierungsprozess durchlaufen. Die KI versucht, ihre eigene Entdeckung zu widerlegen („Ist das wirklich eine Schwachstelle?"), filtert Ergebnisse mit geringer Wahrscheinlichkeit heraus und meldet erst dann an den Analysten.
Jedes Erkennungsergebnis ist mit einer Bewertung des Schweregrads (Severity) und der Konfidenz (Confidence) versehen, sodass Teams Prioritäten bei der Bearbeitung setzen können.
Vorschlag von Korrektur-Patches und menschliche Überprüfung
Die Erkennungsergebnisse werden im Dashboard von Claude Code Security angezeigt. Dort kann das Team die Details der Schwachstelle prüfen und den von Claude vorgeschlagenen Korrektur-Patch untersuchen und genehmigen.
Wichtig ist hierbei: Korrekturen werden erst nach menschlicher Genehmigung angewendet. Claude übernimmt die Identifizierung des Problems und den Lösungsvorschlag, aber die endgültige Entscheidung trifft der Entwickler. Dass sicherheitsrelevante Änderungen nicht vollständig automatisiert werden, ist zum jetzigen Zeitpunkt ein kluges Design.
Wie weit ist die Fähigkeit der KI, Schwachstellen zu finden?
Hinter Claude Code Security steht die Cybersicherheitsforschung, an der Anthropic seit über einem Jahr arbeitet.
In einer Studie mit Claude Opus 4.6, das erst Anfang Februar 2026 veröffentlicht wurde, wurde berichtet, dass über 500 hochgradige Schwachstellen in produktiven Open-Source-Codebasen entdeckt wurden. Bemerkenswert ist, dass diese in Projekten schlummerten, die jahrelang von Experten geprüft worden waren - einige davon waren jahrzehntelang unentdeckt geblieben.
Interessant ist die Methode, mit der Claude diese Schwachstellen fand.
Im Gegensatz zum herkömmlichen Fuzzing (bei dem massenhaft zufällige Eingaben gesendet werden, um Abstürze zu provozieren) liest Claude beispielsweise die Historie vergangener Commits, um auf vergessene Patches zu schließen, oder versteht Algorithmus-Spezifikationen, um logisch zu folgern: „Mit dieser Eingabe müsste es kaputtgehen". Dies deutet darauf hin, dass ein solcher „kontextlesender" Ansatz Probleme aufdecken kann, die selbst bei jahrelangem Fuzzing oder Experten-Reviews übersehen wurden.
Unterschiede zu herkömmlichen Sicherheitstools
Hier ist eine Zusammenfassung der Punkte, die für Ingenieure wichtig sind: „Was ist der Unterschied zu den Tools, die ich bereits nutze?"
| Aspekt | Herkömmliche statische Analyse (SAST) | Claude Code Security |
|---|---|---|
| Erkennungsmethode | Regelbasiertes Pattern Matching | Code lesen und schlussfolgern |
| Stärken | Bekannte Schwachstellenmuster (SQL-Injection, XSS etc.) | Kontextabhängige, komplexe Schwachstellen |
| Umgang mit Fehlalarmen | Unterdrückung durch Regelanpassung | Filterung durch Selbstverifizierungsprozess |
| Korrekturvorschläge | Allgemeine Anleitungen | Spezifische Patches passend zum Codestil |
| Dateiübergreifende Analyse | Variiert je nach Tool | Verfolgung von Datenflüssen über mehrere Dateien hinweg möglich |
Natürlich bedeutet dies nicht, dass herkömmliche Tools überflüssig werden. In der Ankündigung wird betont, dass Claude Code Security komplexe Probleme ergänzt, die bei der regelbasierten statischen Analyse oft durch das Raster fallen. Zudem wird in den FAQs der Produktseite erwähnt, dass Erkennungsergebnisse in bestehende Sicherheitsabläufe exportiert werden können.
Nutzungsbedingungen und zukünftige Entwicklung
Aktuelle Nutzungsbedingungen
Claude Code Security wird derzeit als Research Preview unter folgenden Bedingungen angeboten:
- Zielgruppe: Kunden der Pläne Claude Enterprise und Claude Team.
- Plattform: Web-Version von Claude Code.
- Open-Source-Maintainer: Können kostenlos prioritären Zugang beantragen.
Dass die Türen für Open-Source-Maintainer kostenlos geöffnet werden, hinterlässt einen positiven Eindruck. Open-Source-Code wird überall eingesetzt, von Unternehmenssystemen bis hin zu kritischen Infrastrukturen. Wenn dort Schwachstellen gefunden werden, betrifft dies das gesamte Internet. Gleichzeitig werden viele Projekte von kleinen Teams oder Freiwilligen betrieben, die meist keine dedizierten Sicherheitsressourcen haben.
Zukünftige Ausrichtung
Anthropic erklärt im offiziellen Blog: „In naher Zukunft wird ein erheblicher Anteil des weltweiten Codes von KI gescannt werden."
In einer Zeit, in der auch Angreifer KI nutzen, um nach Schwachstellen zu suchen, wird es immer wichtiger, dass die Verteidiger proaktiv Schwachstellen finden und beheben. Claude Code Security ist als Werkzeug positioniert, das den Verteidigern diesen Vorsprung verschafft.
Persönlicher Eindruck als Ingenieur
Ich achte persönlich besonders auf die folgenden drei Punkte:
1. Der „Reasoning-basierte" Ansatz erreicht die Praxisreife
Die Tatsache, dass tatsächlich über 500 unbekannte Schwachstellen entdeckt wurden, zeigt, dass KI-gestützte Code-Reviews die Phase des „Proof of Concept" verlassen. Natürlich bleibt die Frage nach der Präzision in der Preview-Version, aber die Richtung ist äußerst vielversprechend.
2. Design mit menschlicher Letztentscheidung
Im Bereich der Sicherheit wäre es noch zu riskant, eine KI Korrekturen vollautomatisch durchführen zu lassen. Das Design, das für jede Korrektur eine menschliche Genehmigung erfordert, ist realistisch und schafft Vertrauen. Es ist positiv zu bewerten, dass hier keine Abkürzung genommen wurde.
3. Koexistenz mit bestehenden Tools als Voraussetzung
Es ist erfreulich, dass klar kommuniziert wird, bestehende Tools nicht zu „ersetzen", sondern zu „ergänzen". In Umgebungen, in denen bereits Sicherheitstools im Einsatz sind, können diese beibehalten und Claude Code Security zusätzlich genutzt werden, was die Hürde für die Einführung senkt.
Zusammenfassung
Claude Code Security ist ein ernsthafter Versuch, die Schlussfolgerungsfähigkeiten von KI im Sicherheitsbereich einzusetzen.
- Reasoning-basiert statt regelbasiert: Erkennt kontextabhängige, komplexe Schwachstellen.
- Selbstverifizierungsprozess: Reduziert Fehlalarme und vergibt Schweregrad sowie Konfidenz.
- Vollständiger Workflow: Deckt alles vom Patch-Vorschlag bis zur menschlichen Genehmigung ab.
- Aktuell Research Preview: Für Enterprise-/Team-Kunden, kostenlos für OSS-Maintainer.
- Koexistenz mit bestehenden Tools: Als Ergänzung konzipiert.
In einer Ära, in der KI Code schreibt, ist es nur folgerichtig, dass KI auch die Sicherheit dieses Codes überprüft. Da es sich um eine Research Preview handelt, müssen Präzision und Skalierbarkeit im realen Betrieb noch abgewartet werden, aber das Potenzial als mächtige Waffe für die Verteidiger ist deutlich spürbar.
Interessierte können sich über die Warteliste anmelden.