Anthropic bringt Claude Code Security auf den Markt und sorgt für Aufruhr bei Cybersicherheitsaktien

Kann Claude Code Security menschliche Scanner ersetzen?

Die neueste Ergänzung der Claude Code-Plattform von Anthropic kommt mit einem einfachen Versprechen: Lassen Sie KI Ihre gesamte Codebasis wie ein erfahrener Sicherheitsforscher lesen und dann markieren, was andere übersehen. Laut der Pressemitteilung des Unternehmens scannt Claude Code Security nach Schwachstellen, schlägt Patches vor und präsentiert die Ergebnisse mit Schweregrad- und Konfidenzbewertungen, wobei Menschen weiterhin die endgültige Entscheidung treffen.

Im Gegensatz zu herkömmlichen statischen Anwendungssicherheitstesttools, die auf vordefinierten Mustern basieren, stützt sich Claude Code Security auf fortschrittliche große Sprachmodelle (LLMs), darunter Claude Opus 4.6, um zu ermitteln, wie Daten fließen und wie Komponenten interagieren. Das bedeutet, dass es darauf abzielt, Fehler in der Geschäftslogik und defekte Zugriffskontrollen zu erkennen, die regelbasierten Scannern entgehen.

Während interner Tests identifizierte Opus 4.6 laut Anthropic mehr als 500 schwerwiegende Schwachstellen in Open-Source-Codebasen in der Produktion – einige davon waren jahrelang unbemerkt geblieben. Diese Ergebnisse werden derzeit geprüft und verantwortungsbewusst offengelegt, was darauf hindeutet, dass die Ambitionen des Tools über kosmetische Korrekturen hinausgehen.

Der Workflow ist auf Sicherheitsvorkehrungen ausgelegt. Nach einem umfassenden Scan führt das System eine Selbstüberprüfung durch und versucht, seine eigenen Ergebnisse zu bestätigen oder zu widerlegen, bevor es sie in einem Dashboard mit vorgeschlagenen Patches präsentiert. Hier gibt es kein automatisiertes „Push to Prod“ – jede Korrektur erfordert zumindest vorerst die Zustimmung eines Menschen.

Anthropic hat diese Funktion über mehr als ein Jahr hinweg mit seinem Frontier Red Team entwickelt und sie in Cybersicherheitswettbewerben wie Capture-the-Flag-Events sowie in Zusammenarbeit mit Institutionen wie dem Pacific Northwest National Laboratory getestet. Das Tool befindet sich derzeit in einer begrenzten Forschungsvorschau für Enterprise- und Team-Kunden, mit beschleunigtem Zugang für Open-Source-Betreuer.

Die Wall Street wartete jedoch nicht auf das Kleingedruckte. Die Aktien großer Cybersicherheitsunternehmen rutschten nach der Ankündigung stark ab, wobei Unternehmen wie Crowdstrike und Cloudflare jeweils um etwa 8 % fielen, während andere wie Zscaler, Okta und Gitlab ebenfalls Einbußen hinnehmen mussten. Der breitere Global X Cybersecurity ETF fiel um rund 5 %, was die branchenweite Unsicherheit widerspiegelte.

Einige Analysten bezeichneten die Reaktion als eher von Schlagzeilen als von strukturellen Faktoren getrieben und beschrieben sie als einen „Mini-Flash-Crash”, der durch die Befürchtung ausgelöst wurde, dass KI die Erkennung von Schwachstellen zu einer Massenware machen könnte. Andere argumentieren, dass der Ausverkauf tiefere Bedenken darüber signalisiert, wie KI die Wirtschaftlichkeit der Softwaresicherheit verändern könnte.

Online-Diskussionen, insbesondere auf X, haben die Ängste um Arbeitsplätze verstärkt. In Beiträgen wird davor gewarnt, dass KI-gestützte Scanner Aufgaben im Bereich der Schwachstellenbewertung und -behebung „auslöschen” könnten, insbesondere bei der Fehlerbehebung auf Einstiegsebene. In einer Branche, die bereits mit Automatisierung zu kämpfen hat, scheint der Zeitpunkt besonders günstig.

Viele Experten sehen die Sache jedoch gelassener. Logan Graham von Anthropic sagte: „Ich denke, wenn man sich für AGI begeistert, sollte man sich sehr für Cybersicherheit interessieren. Die cyberphysische Infrastruktur ist das Mittel, mit dem AGI ‚in die Welt hinausgeht‘. Deshalb wollen wir, dass Claude sie sichert.“ Graham fügte hinzu, dass Anthropic „Mitarbeiter für Cybersicherheit einstellt“. Viele andere formulierten es so, dass Claudes neue Fähigkeit dazu gedacht sei, überlastete Teams bei der Bewältigung von Rückständen zu unterstützen, anstatt sie zu ersetzen. Entscheidend ist, dass Claude Code Security keine Laufzeittests durchführen, keine API-Anfragen senden und keine Ausnutzbarkeit in Live-Umgebungen validieren kann, was bedeutet, dass dynamische Tests und menschliche Aufsicht weiterhin unerlässlich sind. Der größere Zusammenhang ist schwer zu ignorieren. Da KI sowohl die Codegenerierung als auch Cyberangriffe beschleunigt, sehen sich Verteidiger mit Gegnern konfrontiert, die Systeme mit Maschinengeschwindigkeit untersuchen können.

Anthropic stellt sein Tool als defensiven Ausgleich dar, der die Grundvoraussetzungen für eine sichere Entwicklung erhöht und gleichzeitig den doppelten Verwendungszweck von KI anerkennt. In diesem Sinne ist Claude Code Security weniger ein Generator für Entlassungen als vielmehr ein Umschreiber von Rollen. Sicherheitsexperten müssen möglicherweise weniger Zeit damit verbringen, sich durch sich wiederholende Warnmeldungen zu kämpfen, und haben mehr Zeit für die Entwicklung von Architekturen, die Validierung von Exploits und die Steuerung KI-gestützter Arbeitsabläufe.

Ob sich die Marktverwerfungen als vorübergehend erweisen oder einen strukturellen Wandel markieren, wird von der Akzeptanz, der Integration in bestehende Stacks und allen Arten von Ansätzen für KI in kritischen Infrastrukturen abhängen. Vorerst hat Claude Code Security etwas erreicht, was in der Cybersicherheit selten ist: Es hat die Codeüberprüfung in den Mittelpunkt einer Finanz- und Arbeitsdebatte gerückt.

FAQ ❓

• Was ist Claude Code Security? Es handelt sich um ein KI-gestütztes Tool von Anthropic, das gesamte Codebasen auf Schwachstellen überprüft und von Menschen geprüfte Patches vorschlägt.
• Ersetzt Claude Code Security menschliche Sicherheitsteams? Nein, es erfordert die Genehmigung von Menschen für Korrekturen und kann keine Laufzeittests durchführen, sodass es eher als Hilfsmittel denn als Ersatz zu sehen ist.
• Warum sind die Aktien von Cybersicherheitsunternehmen nach der Einführung gefallen? Die Investoren reagierten auf Befürchtungen, dass KI-gestützte Schwachstellenscans die traditionellen Geschäftsmodelle von Sicherheitssoftwareunternehmen stören könnten.
• Wer hat derzeit Zugriff auf Claude Code Security? Es befindet sich in einer begrenzten Forschungsvorschau für Enterprise- und Team-Kunden, mit beschleunigtem Zugriff für Open-Source-Betreuer.