Das US-amerikanische KI-Unternehmen Anthropic hat ein neues Feature für seinen KI-Assistenten Claude vorgestellt, das Software-Code auf Sicherheitslücken überprüft und gezielte Korrekturvorschläge unterbreitet. Das Tool namens Claude Code Security ist seit dem 20. Februar 2026 in einer begrenzten Research-Preview verfügbar und richtet sich zunächst an Enterprise- und Team-Kunden sowie an Maintainer von Open-Source-Projekten. Es soll helfen, komplexe Schwachstellen zu entdecken, die herkömmliche Analysewerkzeuge oft übersehen, und damit die Verteidigung gegen Cyberbedrohungen stärken.
Sicherheitsteams in Unternehmen stehen vor wachsenden Herausforderungen: Die Zahl der Software-Schwachstellen steigt kontinuierell, während qualifizierte Fachkräfte knapp bleiben. Traditionelle statische Code-Analyse-Tools arbeiten regelbasiert und erkennen vor allem bekannte Muster wie hartecodierte Passwörter oder veraltete Verschlüsselungsverfahren. Komplexere Probleme, etwa Fehler in der Geschäftslogik, fehlerhafte Zugriffssteuerungen oder subtile Datenfluss-Probleme, erfordern in der Regel menschliche Experten, die zunehmend mit großen Backlogs konfrontiert sind. Angreifer nutzen solche Lücken gezielt aus, oft mit automatisierten Tools oder mittlerweile auch mit KI-Unterstützung.
Künstliche Intelligenz verändert diese Dynamik. Fortschritte bei großen Sprachmodellen ermöglichen es, Code nicht nur nach festen Regeln zu prüfen, sondern ihn ähnlich wie ein erfahrener Security-Researcher zu verstehen: Das Modell analysiert Interaktionen zwischen Komponenten, verfolgt Datenströme durch die Anwendung und erkennt kontextabhängige Risiken. Anthropic betont, dass genau diese Fähigkeiten doppeltes Potenzial bergen – sie helfen Verteidigern, Schwachstellen vorab zu finden, könnten aber auch Angreifern nützen, um Exploits schneller zu entwickeln. Deshalb positioniert das Unternehmen Claude Code Security explizit als Werkzeug für die Verteidigerseite, um Code gegen eine neue Klasse KI-gestützter Angriffe abzusichern.
Das Tool integriert sich direkt in Claude Code, die webbasierte Coding-Umgebung des Unternehmens. Es durchläuft einen mehrstufigen Verifizierungsprozess: Jede potenzielle Schwachstelle wird vom Modell erneut überprüft, um falsch-positive Ergebnisse zu minimieren. Gefundene Probleme erhalten Schweregrade und Konfidenz-Werte, damit Teams priorisieren können. Im Dashboard von Claude Code Security können Nutzer die Ergebnisse einsehen, die vorgeschlagenen Patches prüfen und Änderungen erst nach manueller Freigabe anwenden. Keine Korrektur erfolgt automatisch – menschliche Kontrolle bleibt zwingend vorgesehen, da Nuancen in der Code-Umgebung oft nur vor Ort bewertbar sind.
Die Entwicklung basiert auf mehr als einem Jahr intensiver Forschung durch das interne Frontier Red Team von Anthropic. Dieses Team testet die Cybersicherheits-Fähigkeiten von Claude systematisch, etwa durch Teilnahme an Capture-the-Flag-Wettbewerben, Kooperationen mit dem Pacific Northwest National Laboratory zur Absicherung kritischer Infrastruktur und gezielte Analysen realer Codebasen. Mit dem kürzlich veröffentlichten Claude Opus 4.6 – einem Modell-Update vom Anfang Februar 2026 – gelang es dem Team, über 500 bisher unentdeckte Schwachstellen hoher Schwere in produktiven Open-Source-Projekten aufzudecken. Viele dieser Bugs hatten jahrzehntelang überdauert, trotz intensiver Expertenprüfungen und automatisierter Tests. Anthropic arbeitet derzeit an der Triagierung und verantwortungsvollen Offenlegung dieser Funde gegenüber den Maintainern und plant, die Zusammenarbeit mit der Open-Source-Community auszubauen.
Claude Code Security baut auf diesen Erkenntnissen auf und macht die intern genutzten Verteidigungs-Fähigkeiten breiter verfügbar. Anthropic nutzt das Tool bereits zur Absicherung eigener Systeme und sieht es als Schritt zu einer höheren Sicherheitsbasis in der gesamten Branche. Das Unternehmen erwartet, dass in naher Zukunft ein großer Teil des weltweiten Codes von KI gescannt wird – sowohl von Verteidigern als auch von Angreifern. Wer frühzeitig Schwachstellen findet und behebt, kann Risiken deutlich reduzieren.
Die Research-Preview startet begrenzt, um das Tool gemeinsam mit Nutzern zu verfeinern und einen verantwortungsvollen Einsatz zu gewährleisten. Enterprise- und Team-Kunden von Claude erhalten direkten Zugang, Open-Source-Maintainer können sich priorisiert und kostenlos bewerben. Weitere Informationen und Bewerbungen sind über die Anthropic-Website möglich.
Objektiv betrachtet adressiert Claude Code Security ein reales Problem in der Cybersicherheit: Die Überlegenheit von KI-basiertem Reasoning gegenüber regelbasierten Tools bei komplexen, kontextuellen Schwachstellen ist durch die Funde des Red Teams belegt. Der mehrstufige Verifizierungsprozess und die Pflicht zur menschlichen Freigabe mindern Risiken wie Fehlalarme oder unkontrollierte Änderungen. Dennoch bleibt die Technik in der Preview-Phase, externe unabhängige Validierungen stehen aus. Kritiker könnten argumentieren, dass die Abhängigkeit von proprietären Modellen neue Vendor-Lock-in-Effekte schafft und dass Angreifer ähnliche KI-Fähigkeiten nutzen könnten. Der Markt reagierte sensibel: Aktien von Cybersicherheitsfirmen wie CrowdStrike, Okta oder Palo Alto Networks gaben nach der Ankündigung teilweise deutlich nach, da Investoren eine Disruption traditioneller Scanner-Tools befürchten.
Insgesamt unterstreicht die Einführung den Trend, dass KI nicht nur in der Entwicklung, sondern auch in der Sicherung von Software eine zentrale Rolle übernimmt. Anthropic positioniert sich damit als Anbieter defensiver KI-Tools und betont die Notwendigkeit, fortschrittliche Fähigkeiten primär den Verteidigern zugänglich zu machen. Die begrenzte Verfügbarkeit erlaubt nun erste Praxistests und Feedback-Schleifen, die über den zukünftigen Erfolg entscheiden dürften.
Quellen:
- Anthropic (20. Februar 2026): Making frontier cybersecurity capabilities available to defenders. https://www.anthropic.com/news/claude-code-security
- The Hacker News (21. Februar 2026): Anthropic Launches Claude Code Security for AI-Powered Vulnerability Scanning. https://thehackernews.com/2026/02/anthropic-launches-claude-code-security.html
- CyberScoop (20. Februar 2026): Anthropic rolls out embedded security scanning for Claude. https://cyberscoop.com/anthropic-claude-code-security-automated-security-review
- Fortune (20. Februar 2026): Anthropic launches AI security tool that can find software bugs humans miss. https://fortune.com/2026/02/20/exclusive-anthropic-rolls-out-ai-tool-that-can-hunt-software-bugs-on-its-own-including-the-most-dangerous-ones-humans-miss
- Bloomberg (20. Februar 2026): Cyber Stocks Slide as Anthropic Unveils Claude Security Tool. https://www.bloomberg.com/news/articles/2026-02-20/cyber-stocks-slide-as-anthropic-unveils-claude-code-security
- Anthropic Red Team (5. Februar 2026): Evaluating and mitigating the growing risk of LLM-discovered 0-days. https://red.anthropic.com/2026/zero-days
- Anthropic (5. Februar 2026): Introducing Claude Opus 4.6. https://www.anthropic.com/news/claude-opus-4-6
