Anthropic stellte die Funktion in einer Ankündigung am Freitag vor. Demnach geht Claude Code Security über statische Analyse und das Abgleichen bekannter Muster hinaus: Das System soll eine Codebasis ähnlich wie ein menschlicher Sicherheitsforscher analysieren. Dazu gehört nach Darstellung des Unternehmens, das Zusammenspiel der einzelnen Komponenten zu verstehen, Datenflüsse durch die gesamte Anwendung nachzuverfolgen und Schwachstellen zu kennzeichnen, die regelbasierten Werkzeugen entgehen können.

Jede der gefundenen Schwachstellen durchläuft anschließend einen nach Angaben von Anthropic mehrstufigen Verifizierungsprozess, bei dem die Ergebnisse erneut analysiert werden, um Fehlalarme herauszufiltern. Zusätzlich erhalten die Schwachstellen eine Einstufung nach Schweregrad, damit Teams sich auf die wichtigsten konzentrieren können.

Die Ergebnisse werden den Analysten in einem eigenen Dashboard angezeigt. Dort können Teams den Code und die vorgeschlagenen Patches prüfen und freigeben. Anthropic betont, dass die Entscheidungsfindung des Systems einem Ansatz mit menschlicher Kontrolle (Human-in-the-Loop) folgt.

“Weil diese Probleme oft Feinheiten betreffen, die sich allein aus dem Quellcode schwer beurteilen lassen, liefert Claude für jeden Fund zusätzlich eine Vertrauensbewertung”, erklärte Anthropic. Nichts werde ohne menschliche Freigabe angewendet: Claude Code Security benenne Probleme und schlage Lösungen vor, doch die Entscheidung treffe stets der Entwickler.