Anthropic har netop lanceret Claude Code Security — et nyt værktøj der scanner koderepositories for sikkerhedssårbarheder ved hjælp af AI-baseret ræsonnering frem for traditionelle statiske regler. Værktøjet er tilgængeligt som research preview for Claude Enterprise- og Teams-brugere, og open source-projekter kan få hurtig adgang.
Hvad gør det anderledes?
Traditionelle statiske analyseværktøjer som Snyk, SonarQube og Semgrep bruger regeldatabaser til at matche kendte sårbarhedsmønstre. Det virker fint for velkendte exploits, men de har en blindvinkel: nichesprog, kompleks dataflow på tværs af komponenter og nye varianter af kendte angreb slipper ofte igennem.
Claude Code Security tager en fundamentalt anderledes tilgang. I stedet for at matche statiske regler “ræsonnerer” den om koden som en menneskelig sikkerhedsforsker ville gøre det. Den kortlægger hvordan applikationens komponenter interagerer, sporer dataflow mellem dem og identificerer potentielle svage punkter i den samlede arkitektur.
Sådan fungerer det i praksis
Workflow’et er enkelt: forbind et GitHub-repository, bed Claude om at scanne, og modtag en prioriteret liste af sårbarheder. Værktøjet kan finde:
- Manglende input-validering — SQL injection, XSS og andre angreb via brugerinput uden effektiv filtrering
- Autentificeringsfejl — bypass-muligheder i login- og adgangsmekanismer
- Arkitektoniske svagheder — problemer der opstår i samspillet mellem komponenter, som regelbaserede værktøjer typisk overser
Hver sårbarhed får en alvorlighedsgrad og en forklaring i naturligt sprog. En “Suggest fix”-knap lader sikkerhedsfolk generere en patch direkte — klar til review og merge.
Markedspåvirkning og kontekst
Lanceringen sendte cybersikkerhedsaktier ned: CrowdStrike faldt næsten 8% og Cloudflare lidt over 8%. Det er anden gang på en måned at Anthropic har udløst et sådant frasalg — sidst var det Claude Cowork plugins der rystede enterprise-markedet.
OpenAI har med Aardvark (lanceret oktober 2025) allerede et lignende tilbud, der desuden kan teste sårbarheder i en isoleret sandbox. Kampen om AI-drevet sikkerhed er i gang for alvor.
Hvad det betyder for udviklere
For teams der bygger agentic systemer, er dette interessant af flere grunde:
- CI/CD-integration er næste skridt — Anthropic og OpenAI vil sandsynligvis integrere sikkerhedsscanning direkte i deployment-pipelines, så sårbar kode blokeres automatisk
- Open source-adgang — at maintainere får hurtig adgang signalerer at Anthropic vil positionere sig som infrastruktur for hele økosystemet
- Shift left-sikkerhed — med AI der kan ræsonnere om kode som en pentester, rykker sikkerhedsaudits fra “efter deployment” til “under udvikling”
Claude Code Security er endnu i research preview, men retningen er klar: AI der ikke bare skriver kode, men også validerer at den er sikker. For agentic engineering-teams der giver AI-agenter adgang til kodebaser og deployment, er det en velkommen udvikling.
Denne artikel er skrevet i samarbejde med AI, og efterfølgende redigeret af et rigtigt menneske 🙂
