Claude 更新于 2026-05-08

65%的生产代码是AI写的、一半带漏洞:Snyk把Claude请进了4500家企业的安全流水线

5月7日,AppSec老牌厂商Snyk发了一份公告,把Anthropic的Claude模型整个嵌进了自己的AI安全平台。

听起来像是又一个”我们集成了某AI”的pr稿,但这事的分量在数字里——

  • Snyk现在服务全球4,500家企业客户
  • 企业生产环境里65%-70%的代码是AI生成的
  • 这部分AI代码里,接近一半含有漏洞
  • 企业每部署一个AI模型,会顺带引入差不多3倍数量的额外软件组件
  • 其中82%来自第三方包

一个能写两行Python的实习生看到这组数字,应该会立刻想去申请AppSec的岗位。

检测从来不是瓶颈

Anthropic的Deputy CISO Jason Clinton在公告里讲了一句挺扎心的话:

“在AI安全里,检测从来不是瓶颈。”

这话需要解释一下。

过去十年,AppSec工具卷的方向一直是检测——SAST、DAST、SCA、IaC扫描、容器扫描、依赖检查……一堆工具能告诉你哪行代码有问题、哪个开源依赖有CVE。但这些工具吐出来的告警,开发者要么看不懂、要么没时间修、要么修了上线又被新漏洞淹没。

到了AI写代码的时代,告警的产生速度从开发者每天写几百行代码变成了Copilot/Claude/Cursor每秒往repo里扔几千行。AI不光生成代码,还顺手把第三方包、容器镜像、agent工具调用统统拖进来。检测器跑得再快,下游处理不过来。

Snyk的Chief Innovation Officer Manoj Nair把这事说得更直白:

“AI在加速开发者写代码的速度,传统安全跟不上。”

Snyk这次把Claude接进来,做的不是更牛的检测,做的是修复——把扫描器吐出来的发现,让Claude现场改成”开发者拿去就能合并的修复PR”,直接接进开发者已经在用的IDE和Git工作流里。

接进来的具体产品叫什么

公告里明确点了两个层面:

第一层是Claude在原有AI Security Platform里的应用:跨代码、依赖、容器、AI生成产物(包括agent prompts和工具定义)做漏洞发现+优先级排序+自动修复。

第二层是新产品Snyk Evo:专门给agent和AI工具做red-teaming——模拟prompt注入攻击、模拟数据外泄、在运行时强制工具调用的策略边界。

后者更新一些。MCP协议铺开以后,企业内部跑成千上万个agent调成千上万个tool,每一个tool定义都是一个潜在攻击面。Anthropic自己之前发过《MCP协议埋了11个CVE》的研究,原因之一就是协议层和应用层都缺企业级的runtime防护。Snyk Evo填的就是这个洞。

为什么是Claude,不是别的模型

公告没直接回答这个问题,但拆开看其实有迹可循。

第一,Claude在代码理解上有口碑。SWE-bench Pro的几次榜单上Anthropic自家的Claude Mythos拿过77.8%,给”理解一段代码到底想干啥+给出能合并的修改”提供了可信度。Snyk要的就是这个能力。

第二,Anthropic自己在AppSec方向走得比同行深。Project Glasswing拉了AWS、Apple、Cisco、Google、JPMorgan、Microsoft等十几家进来,专门用还没发布的Mythos Preview去找critical漏洞。OpenBSD那个27年没人发现的洞就是这个项目挖出来的。Snyk这次合作,相当于把Claude在企业AppSec场景里的”实战版”接到了流水线里。

第三,价格逻辑能算通。AppSec厂商最怕的是模型成本超过订阅费。Claude API最近刚把Opus用量上限大幅提了,Pro/Max/Team的rate limit直接翻倍,对Snyk这种深度集成方算是补贴。

一个隐藏的信号

Snyk做的这个产品,本质上是让一个AI(Claude)专门去修另一个AI(GitHub Copilot/Cursor/各种codegen agent)写出来的烂代码

这是一个很微妙的产业循环。

AI写代码的速度让企业的”代码生产成本”塌陷,但安全债务在以更快的速度堆积。要么企业自己掏钱招更多人补这个洞,要么让另一个AI去补。

Snyk这次4,500家企业的客户基础压上去,押的是后一种路径。

“对很多客户来说,这是他们第一次能在生产代码里跑’AI找出来、AI修好了、人审一眼’的全流程。”

集成今天就上线,剩下的”扩大规模”在2026年里慢慢推。

要看的不是这单生意有多大——是看再过半年,企业内部有多少行代码会经过”AI写、AI审、AI修”这个三步流水线。这个比例,可能就是衡量AI编程到底走到哪儿了的真实指标。

参考来源:Snyk Embeds Anthropic's Claude to Advance AI-Powered Security for Software Development(GlobeNewswire / Yahoo Finance);Snyk embeds Anthropic's Claude to scale AI-native application security(TipRanks)