「熟練した人間の対応では遅い」 OSSから500件の脆弱性を掘り起こした「Claude Code Security」：AIが数十年の見逃しを暴く

Anthropicが新機能「Claude Code Security」の限定プレビュー版の提供を開始した。人間のセキュリティ研究者と同じ手法でコードの脆弱性を解析し、人間によるレビュー用の修正パッチを提案するという。

[＠IT]

　Anthropicは2026年2月20日、Web版のClaude Codeに組み込まれた新機能「Claude Code Security」の限定プレビュー版の提供を開始した。コードベースをスキャンしてセキュリティ上の脆弱（ぜいじゃく）性を検出し、人間によるレビュー用のソフトウェアパッチを提案するという。

　現在多くの企業のセキュリティチームでは、ソフトウェアの脆弱性が多過ぎる一方で、対処する人員が足りないという課題に直面している。同社によると、既存の分析ツールは既知の脆弱性パターンを基に判定することが多く、効果に限界がある。攻撃者に悪用されやすい微妙な脆弱性を発見するには熟練した人間の研究者が必要になり、どうしても対処のスピードや範囲に限界が生じるという。

　Anthropicでは最近、AI（人工知能）モデル「Claude」が新規の深刻度の高い脆弱性を検出できることを確認した。ただし防御側が脆弱性を発見して修正するのに役立つ機能は、攻撃者によって悪用される可能性もある。今回新たに開発したClaude Code Securityはこの機能をもっぱら防御側の手に委ね、AIを悪用したこれまでにない手口の攻撃からコードを保護することを目的としている。

ルールベースの「静的解析」の限界

　コードの「静的解析」ツールは広く普及しているが、多くはルールベースであり、コードを既知の脆弱性パターンと照合する。この手法は一般的な問題を発見できる一方で、ビジネスロジックの欠陥やアクセス制御の不備といった複雑な脆弱性を見逃すことが多いという。

　Claude Code Securityでは、「コンポーネントの相互作用の理解」や「データ移動の追跡」など、人間のセキュリティ研究者と同じ手法を用いてコードを読み取って推論し、ルールベースのツールが見逃しがちな複雑な脆弱性を捕捉する。ここで発見された全ての事項は、人間のアナリストに届く前に多段階の検証プロセスを経て誤検知（偽陽性）をフィルタリングし、人間の担当者が重要な修正に集中できるように深刻度を割り当てる。

　さらにこれらの内容はダッシュボードに表示され、担当者はそこで発見内容の確認やパッチの検査、修正の承認を行うことができる。なお発見内容の正確な評価はソースコードだけでは難しいこともあるため、それぞれに信頼度評価の情報も付加される。パッチ適用の可否に関する最終的な判断は、常に人間の担当者が実施する仕組みだ。

500件以上の脆弱性発見とプレビュー版の提供

　Claude Code Securityは、Claudeのサイバーセキュリティ機能に関する1年以上の研究に基づいて構築されている。Anthropicのチームでは、2026年2月にリリースされた「Claude Opus 4.6」を使用した結果、専門家による長年のレビューにもかかわらず数十年間にわたって未検出だった500件以上の脆弱性を、本番環境のオープンソースコードベースから発見できたという。

　なおClaude Code Securityのリサーチ用の限定プレビュー版は、「Enterprise」「Team」プランのユーザー向けに提供が始まっている。このプログラムへの参加者は早期アクセス権を得て、Anthropicのチームと直接協力しながら機能のブラッシュアップに関与できる。オープンソースのメンテナーに対しては、無料の優先アクセスへの申請を奨励している。

「Claude Code Security」の使用イメージ（提供：Anthropic）

　近い将来、世界のコードの大部分がAIによってスキャンされるようになると予想される中、攻撃者がAIを使用して悪用可能な脆弱性をかつてないほど迅速に発見できるようになると考えられる。そうした事態に備えるために、Anthropicでは「防御側が迅速に行動することで、攻撃者に先んじて脆弱性を発見してパッチを適用し、攻撃リスクを軽減できる」としている。