De veiligheid van software ondergaat een versnellingsfase die zich vandaag de dag duidelijk manifesteert in de dagelijkse werkzaamheden van ontwikkelteams. Anthropic heeft Claude Code Security aangekondigd, een nieuwe ingebouwde functionaliteit in Claude Code (webversie) die belooft bronnencode te scannen, kwetsbaarheden te detecteren en specifieke patches voor te stellen zodat een analist deze kan beoordelen voordat er definitief wordt gecorrigeerd. Momenteel wordt deze dienst aangeboden in beperkte experimentele preview voor Enterprise- en Team-klanten, met versnelde toegang voor open source projectbeheerders.
Deze ontwikkeling is geen verrassing in een sector die al verzadigd is met waarschuwingen. De meeste organisaties hebben een achterstand aan openstaande problemen die sneller groeit dan ze kunnen afhandelen: afhankelijkheden die iedere week worden bijgewerkt, toenemende aantallen repositories en een volume aan wijzigingen in productie dat het impossible maakt om alles grondig te controleren. Anthropic benadrukt dat, hoewel bestaande tools nuttig zijn, ze vaak tekortschieten wanneer het probleem niet gaat om een herkenbaar patroon, maar om een subtiele kwetsbaarheid die afhankelijk is van de context en het daadwerkelijke gedrag van de applicatie.
Van het zoeken naar patronen tot het begrijpen van het systeem
Al jaren wordt de eerste verdedigingslinie binnen application security (AppSec) ondersteund door statische analyse (SAST) op traditionele wijze: regels, heuristieken en matchingdetectie. Dit werkt goed voor terugkerende fouten—zoals blootgelegde geheimen, onveilige bibliotheken of zwakke configuraties—, maar detecteert niet altijd datgene wat het meest schadelijk is: logische fouten in de bedrijfsvoering, slecht geplaatste toegangscontroles of datastromen die, in combinatie, onverwachte toegangspoorten openen.
Anthropic beweert dat Claude Code Security probeert te functioneren als “meer als een menselijke onderzoeker” dan als een regelgebaseerde scanner: het leest de code, begrijpt hoe de componenten samenwerken, volgt datastromen en wijst op complexe kwetsbaarheden die vaak ontsnappen aan patroongebaseerde methoden.
Meerdere verificatiefasen en een onwrikbare voorwaarde: niets wordt alleen toegepast
Een andere uitdaging binnen cybersecurity is de “ruis”. Wanneer een systeem té veel valse positieven produceert, neigen teams ertoe waarschuwingen te negeren of het proces van beoordeling eenvoudigweg als een formaliteit te zien. Anthropic benadrukt dat elke bevinding een meerslagig verificatieproces doorloopt: het model herbekijkt de resultaten, probeert ze te bevestigen of te weerleggen, en filtert wat niet aan de prioriteiten voldoet alvorens het aan de analist wordt gepresenteerd.
Geverifieerde bevindingen worden weergegeven in een dashboard, met onder andere ernstniveau om prioriteiten te stellen en een vertrouwensniveau dat een ongemakkelijke realiteit erkent: veel kwetsbaarheden kunnen niet alleen op basis van de code worden beoordeeld, zonder operationele context of inzicht in het gedrag in productie. Cruciaal is het “human-in-the-loop” principe: Claude doet suggesties, maar de definitieve goedkeuring blijft in menselijke handen.
Een jaar ‘red teaming’ en een verontrustende boodschap: zero-days worden al door machines gevonden
Claude Code Security komt niet uit de lucht vallend. Het bedrijf presenteert het als de “productie” van meer dan een jaar aan cyberbeveiligingswerkzaamheden, met een Frontier Red Team dat het model uitdaagt in veeleisende scenario’s, zoals Capture-the-Flag-wedstrijden en samenwerkingen met het Pacific Northwest National Laboratory (PNNL) om de verdediging van kritieke infrastructuren te verkennen.
Een van de meest opvallende onderzoeksresultaten van Anthropic betreft zero-day kwetsbaarheden: het team claimt dat Claude Opus 4.6 in staat was om ernstige kwetsbaarheden te vinden, zelfs in projecten die al jaren intensief werden getest met fuzzing, en dat de modellen het identificatietraject voor nieuwe fouten kunnen versnellen.
Het hoofdartikel sluit af met een indrukwekkende statistiek die de sector heeft doen resoneren: met behulp van Opus 4.6 heeft Anthropic meer dan 500 kwetsbaarheden ontdekt in productie-open source codebases—fouten die decennia lang onopgemerkt bleven, ondanks uitgebreide reviews. Het bedrijf werkt aan triage en verantwoorde divulgatie met onderhouders.
Daarnaast toont het werk met PNNL het potentieel (én het gevaar) van automatisering aan: in een experiment werd geschat dat het reconstrueren van aanvallen op een waterbehandelingsinstallatie in slechts drie uur kon worden voltooid in plaats van meerdere weken, een voorbeeld dat aangeeft waarom cybersecurity een schaalvergroting ondergaat.
De keerzijde: als een verdediger alles kan scannen, kunnen aanvallers dat ook
Anthropic ontkent niet de kern van het probleem: dezelfde kracht die wordt gebruikt om systemen te beschermen, kan ook worden ingezet voor kwaadaardige doeleinden. Claude Code Security wordt gezien als een hulpmiddel dat “de kracht in handen van de verdediger” plaatst, juist om een nieuwe soort aanval te counteren: de adversary die IA gebruikt om kwantitatief kwetsbaarheden te ontdekken en uit te buiten.
Er bestaat al veel discussie over deze dynamiek: wat als organisaties te afhankelijk worden van hetzelfde systeem voor audit en herstel? Recente opinies binnen de sector waarschuwen voor het ontstaan van een ‘single point of trust and failure’: als menselijke goedkeuringen automatisch worden vervangen door AI-gestuurde processen, kan dat zelf de nieuwe aanvallingsoppervlakte worden.
Voor DevSecOps-teams is deze nuance essentieel: dergelijke tools kunnen de lat hoger leggen, maar vervangen niet de essentiële praktijken van onafhankelijke review, testen, change management, veilige pipelines en validatie van herstelmaatregelen voordat ze in productie worden genomen. De echte waarde ligt niet alleen in het ‘meer vinden’, maar in het verkorten van het onderzoekstijdframe en het omzetten van bevindingen in werkbare stappen zonder het rigoureuze proces te compromitteren.
Een ‘beperkt’ product met hoge ambities voor standaards
De beperkte preview wijst op een duidelijke doelstelling: het verfijnen van de capaciteiten, het minimaliseren van valse positieven en het verantwoord inzetten van het systeem. Het einde van het bericht klinkt als een voorspelling: een aanzienlijk deel van de code van de wereld zal in de nabije toekomst door AI worden gescand. Wie er eerder bij is — verdediger of aanvaller — zal de uitkomst bepalen.
Veelgestelde vragen (FAQ)
Is Claude Code Security geschikt voor het detecteren van zakelijke logica-fouten en toegangscontroleproblemen in webapplicaties?
Dat is een van de voornaamste doelstellingen: verder gaan dan bekende patronen om complexe kwetsbaarheden op te sporen die te maken hebben met datastromen, componentinteracties en gebrekkige toegangscontroles.
Kan Claude automatisch patches voorstellen en deze in een CI/CD-pijplijn toepassen?
Volgens Anthropic niet: de tool doet voorstellen, maar vereist expliciete menselijke goedkeuring voordat veranderingen worden doorgevoerd.
Hoe vermindert het de hoeveelheid valse positieven bij het scannen van code repositories?
Anthropic geeft aan dat elke bevinding door meerdere fasen wordt geëvalueerd: het systeem heranaliseert resultaten, probeert ze te bevestigen of te weerleggen en kent ernst en vertrouwensniveau toe voordat ze worden getoond in het dashboard.
Wat betekent het voor de open source security dat AI op grote schaal kwetsbaarheden ‘oud’ ontdekt?
Het kan het ontdekken en herstellen versnellen, maar ook het risico op uitbuiting vergroten indien aanvallers vergelijkbare capaciteiten inzetten. Anthropic werkt aan verantwoorde bekendmaking en waarschuwt voor dubbel gebruik.