會原 
Anthropicは2026年2月20日、AIでコードベースをスキャンして脆弱性を検出し、修正パッチを提案する新機能「Claude Code Security」を発表しました。Web版コーディングツール「Claude Code」に組み込む形で、Claude EnterpriseおよびClaude Teamの顧客を対象に、限定リサーチプレビューとして公開するとのことです。
Claude Code Securityは、静的解析などルールベースの自動セキュリティテストとは異なり、コードの文脈を読み解いて推論する仕組みだといいます。コンポーネント間の相互作用やデータの流れを踏まえ、ビジネスロジックの欠陥やアクセス制御の不備といった、ルールベースの手法では見落としがちな複雑な脆弱性まで検出できるそうです。
検出精度を高めるため、多段階の検証プロセスも採用しています。Claude自身が検出結果を再評価し、誤検知をふるい落とす仕組みだとか。各脆弱性には深刻度と確信度の評価が付き、修正パッチの提案とあわせてダッシュボードで確認できます。修正はあくまで提案にとどまり、適用には人間の承認が必要だとしています。
Anthropicによると、内部テストでは2026年2月5日に発表した最上位モデル「Claude Opus 4.6」を使い、本番運用中のオープンソースコードベースを解析したところ、500件を超える脆弱性を発見したそうです。中には数十年にわたり見逃され、専門家がレビューを重ねてきたにもかかわらず検知できなかったバグもあるといいます。現在はメンテナーとのトリアージや責任ある開示を進めていると説明しています。
この発表は株式市場にも波紋を広げ、2月20日の米国市場ではサイバーセキュリティ関連銘柄が軒並み下落しました。CrowdStrikeが約8%安、Cloudflareが約8.1%安、Oktaが約9.2%安となっています。週明け23日にも売りが続き、CrowdStrikeやDatadog、Zscalerが約11%下落する場面があったそうです。AIによる高度な脆弱性検出の自動化が従来型セキュリティツールの需要を脅かすとの見方が、投資家に広がった格好です。
一方で、いわゆる軍民両用の懸念もあります。脆弱性を見つける力は防御側だけでなく攻撃側にも役立つためです。Anthropicもこの点を認めた上で、あくまで防御側に届けるための機能だと述べています。利用申請ページでは、解析対象を「自社が所有し、スキャンに必要な権利を持つコード」に限ることや、セキュリティチームの承認を得ることなどを利用条件としているそうです。
利用対象は現時点でClaude EnterpriseとClaude Teamの契約者に限られます。オープンソースリポジトリのメンテナーには無料かつ優先的なアクセスを用意しており、申請を受け付けているとのことです。セキュリティ専門家の間では、AIの脆弱性検出能力は近年大きく伸びているものの、比較的影響の小さいバグの検出に強みが出やすく、高度な脅威や組織での運用には経験豊富な人間の判断が依然欠かせないとの見方もあるようです。それでも、発見の速度と網羅性でAIが人間を上回る領域は着実に広がりつつあります。
