夜雨聆风
AI掀翻运维安全,漏洞扫描软件不值钱了
hi,我是南哥。
过年期间 AI 圈就没消停过。
昨天 Gemini 3.1 Pro 刚亮相,紧接着又来新炸弹——Anthropic 发布了 Claude Code Security。
一个代码安全工具,能扫描代码库漏洞、自动生成补丁。
然后…网络安全板块集体跳水。
CrowdStrike 跌 6.5%,Cloudflare 跌 6%,Okta 跌 5.7%,Zscaler 跌 3.5%。总市值一夜蒸发超过 100 亿美金。
一条 AI 功能更新,直接把一个千亿级的行业板块原地失血。
这不是波动,这是恐慌。
Claude 到底干了什么
Claude Code Security,简单说就是让 Claude 变身「最强白帽黑客」。
传统的安全扫描工具(SAST)是怎么工作的?死板地匹配已知漏洞模式。
找硬编码的密码还行,但遇到业务逻辑缺陷、越权漏洞这些复杂问题,直接抓瞎。
Claude 不这么干。
它像一个人类安全研究员一样去「读懂」代码——理解组件怎么交互、数据怎么流转、业务逻辑哪里有坑。
然后还更狠:Claude Opus 4.6,一头扎进开源代码库,一口气揪出了 500 多个潜伏了十几年的史诗级 bug。
这些漏洞经历过无数顶级专家逐行审查,依然大摇大摆活在代码里。
算力碾压经验
传统安全团队什么痛点?
漏洞永远修不完,人永远不够用。
工单堆成山,专家忙不过来,只能按优先级排…排着排着,黑客先利用上了。
AI 什么痛点?
没痛点。
它不需要睡觉,不需要排期,一个模型就能同时扫成千上万个代码库。
更可怕的是,Claude 还会自我验证。
每个找出来的漏洞,Claude 自己先「扮演红蓝双方」拼命证明或推翻,过滤掉假阳性。
最终输出的结果,附上严重等级和「信心指数」,推送到安全仪表盘上。
你负责看、负责审,Claude 负责扫、负责找。
为什么资本市场慌了
网络安全公司估值为什么高?
攻防对抗复杂,安全专家稀缺。这是一个高度专业化的领域,门槛极高,所以收费贵、利润高。
现在 Claude Code Security 一出,一个 AI 模型就能完成 80% 的漏洞扫描和修复建议。
企业还需要花大价钱订阅传统安全厂商吗?
这也就是为什么,Claude 现在还只是研究预览版、还远不能替代 CrowdStrike,市场就已经开始抛售了。
投资人问的是一句话:
五年后,还需要这么多安全公司吗?
这个问题的答案,让股市崩塌。
这不是 DevOps,这是运维安全
如果说之前 Claude Code 桌面版的更新是在掀传统 DevOps 的桌子(预览 App、code review、PR 监控、自动合并),那这次 Claude Code Security 就是在掀运维安全的桌子。
DevOps 偏「开发」,运维安全偏「防守」。
两块都被 AI 攻陷了。
Claude 用了一年多时间,专门搞了个 Frontier Red Team,高强度拉练——进 CTF 安全大赛跟人类黑客卷,和太平洋西北国家实验室合作防御关键基础设施。
现在这些能力,打包成产品给你用。
Anthropic 自己都承认:「我们日常也用 Claude 来审查自家代码,效果好得惊人。」
AI 攻防战,已经打响
这是一个转折点。
黑客会疯狂用 AI 来挖掘可利用的薄弱环节,这是必然的。
但防守的一方,完全可以用同款甚至更强的 AI,把漏洞扼杀在摇篮里。
这本质是一场算力与智力的军备竞赛。
动作快的一方赢。
Claude Code Security 已经向企业和 Team 客户开放研究预览版,开源项目维护者还有加急通道。
谁能先掌握 AI 安全这张底牌,谁就能在这场对决里活下来。
写在最后
回看这一个月:
Claude Code 桌面版更新,DevOps 的桌子被掀了。
Claude Code Security 发布,运维安全的桌子被掀了。
AI 不再是辅助工具,它正在吃掉软件开发流程中所有可自动化的环节。
写代码、扫漏洞、修 bug、code review、跑 CI、合 PR…
这些活,AI 一个接一个地接手。
留给人类的是什么?
设计、决策、验证、统筹。
从手艺人,变成指挥家。
好啦,今天就聊到这。有想法的评论区见。
