Anthropic与OpenAI免费工具揭示传统SAST盲点，颠覆应用安全市场

OpenAI于3月6日推出了Codex Security，正式进入应用安全市场。此前14天，Anthropic凭借Claude Code Security已经搅动了这一市场。这两款扫描工具都采用大型语言模型（LLM）推理而非传统的模式匹配技术。它们共同证明，传统的静态应用安全测试（SAST）工具在检测某些特定漏洞类别上存在结构性盲点。企业安全堆栈正面临挑战。Anthropic和OpenAI独立发布了基于推理的漏洞扫描器，并且都发现了模式匹配SAST从未设计检测的漏洞类别。这两家公司在私人市场估值合计超过1.1万亿美元，它们之间的竞争压力意味着检测质量将比任何单一供应商独立提供都要快地提升。无论是Claude Code Security还是Codex Security都不能完全取代现有的安全堆栈，但这两款工具将永久性地改变采购模式。目前，它们都免费提供给企业客户。在董事会询问正在试用哪款扫描器及其原因之前，您需要了解以下对比和七项行动。Anthropic和OpenAI如何从不同架构得出相同结论？Anthropic在2月5日发布Claude Opus 4.6的同时，公布了其零日漏洞研究成果。Anthropic表示，Claude Opus 4.6在生产环境的开源代码库中发现了500多个此前未知的、高严重性漏洞，这些漏洞在经过数十年的专家审查和数百万小时的模糊测试后依然存在。例如，在CGIF库中，Claude通过对LZW压缩算法的推理，发现了一个堆缓冲区溢出漏洞，而即使在100%代码覆盖率的情况下，覆盖引导模糊测试也无法捕获到这个缺陷。Anthropic于2月20日发布了Claude Code Security的有限研究预览版，供企业和团队客户使用，并为开源维护者提供免费的快速访问权限。Anthropic的传播负责人Gabby Curtis在接受VentureBeat独家采访时表示，Anthropic构建Claude Code Security是为了提高安全性。