Claude Code Security scant codebases op 'complexe kwetsbaarheden'

Claude Code kan voortaan codebases scannen op kwetsbaarheden. De webdienst zoekt dan niet alleen naar de aanwezigheid van tokens of bekende bugs, maar analyseert de code en maakt zelf inschattingen. Gebruikers kunnen vervolgens een pullrequest doen om voorgestelde verbeteringen te mergen.

Anthropic noemt de dienst Claude Code Security. Dat is een manier voor de webdienst om codebases te scannen en suggesties te doen om de beveiliging te verbeteren. Dat werkt anders dan hoe security- en pentests nu vaak werken, waarbij onderzoekers een codebase scannen op een vaste lijst met bekende bugs of kwetsbaarheden. In zo'n geval zoekt een tool bijvoorbeeld naar de aanwezigheid van tokens of wachtwoorden die hardcoded zijn opgenomen of naar verouderde versleutelingsprotocollen, maar volgens Anthropic worden daarmee 'complexe kwetsbaarheden, zoals gebrekkig toegangsbeheer,' vaak over het hoofd gezien.

Niet geheel verrassend zegt Anthropic dat Claude precies die fouten kan vinden. "Claude Code Security leest en redeneert over je code op een manier zoals een menselijke securityonderzoeker dat zou doen: door te begrijpen hoe componenten samenwerken, te bekijken hoe data door een app loopt en complexe kwetsbaarheden te vinden die regelgebaseerde tools missen."

Pullrequests

Claude Code Security controleert ieder resultaat om dat te verifiëren of juist te ontkrachten en zo valse positieven tegen te gaan. Claude geeft suggesties voor verbeteringen die ook een beoordeling krijgen van hoe ernstig de kwetsbaarheid is. Als de bevindingen kloppen, kunnen ze als een pullrequest richting het beveiligingsteam worden gestuurd. Die kunnen dat dan zelf weer controleren en bij akkoord mergen.

De tool werkt door GitHub-repo's te koppelen en Claude daar toegang toe te geven. Anthropic erkent ook dat aanvallers dergelijke tools kunnen inzetten om kwetsbaarheden in software te vinden, maar het bedrijf zegt dat Claude Code Security 'die macht terug in handen van verdedigers moet leggen door code te beschermen tegen nieuwe vormen van AI-gedreven aanvallen', zonder duidelijk toe te lichten wat het daarmee bedoelt. De tool is beschikbaar als 'beperkte onderzoekspreview' voor Enterprise- en Team-klanten. Maintainers van opensourcerepo's krijgen eerder toegang, zegt Anthropic.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 23-02-2026 08:10
14 • submitter: Anonymoussaurus

23-02-2026 • 08:10

14

Submitter: Anonymoussaurus

Lees meer

Onderzoek: llm-gegenereerde wachtwoorden zijn verre van willekeurig dus onveilig
Onderzoek: llm-gegenereerde wachtwoorden zijn verre van willekeurig dus onveilig Nieuws van 20 februari 2026
Claude Sonnet moet nu bij programmeren consistenter zijn en beter luisteren
Claude Sonnet moet nu bij programmeren consistenter zijn en beter luisteren Nieuws van 18 februari 2026
Nvidia-ceo: AI maakt software niet overbodig
Nvidia-ceo: AI maakt software niet overbodig Nieuws van 4 februari 2026
Anthropic maakt Claude Cowork beschikbaar voor klanten met goedkoopste abo
Anthropic maakt Claude Cowork beschikbaar voor klanten met goedkoopste abo Nieuws van 18 januari 2026
Anthropic meldt storing van AI-dienst Claude
Anthropic meldt storing van AI-dienst Claude Nieuws van 14 januari 2026
Claude komt met AI-assistent voor werk in desktopapp
Claude komt met AI-assistent voor werk in desktopapp Nieuws van 13 januari 2026
Meer producten en artikelen
Beveiliging en antivirus Software development Anthropic Claude

Reacties (14)

-Moderatie-faq
14
14
14
2
0
0
Wijzig sortering

Sorteer op:

Weergave:
djwice 23 februari 2026 08:45
Om zelf iets vergelijkbaars lokaal op te zetten met een taalmodel naar keuze, lees hier hoe je de omgeving kunt opzetten:
https://red.anthropic.com/2026/zero-days/

Op dit moment is qwen3-coder-next een sterk codering model, maar wellicht is een model dat vooral goed tools aan kan sturen en redeneren voor dit doel nog sterker. Denk bijvoorbeeld aan Foundation-Sec-8B-Reasoning van Cisco Foundation AI.


Uiteraard kun je ook gewoon een Anthopic API gebruiken via een provider naar keuze.

[Reactie gewijzigd door djwice op 23 februari 2026 08:53]

Reageer
Oon 23 februari 2026 08:14
Heel leuke toepassing van Claude Code. Je kunt natuurljk ook zelf aan Claude vragen om dergelijke issues te zoeken maar dan moet je al gaan automatiseren dat dit per bestand wordt aangeroepen, dat zou hiermee dus niet nodig zijn?
Alleen jammer dat het nog in de webversie lijkt te zitten, dus niet op een lokale workspace kan draaien
Reageer
Luchtbakker @Oon23 februari 2026 08:42
Alleen jammer dat het nog in de webversie lijkt te zitten, dus niet op een lokale workspace kan draaien
Wat ik doe (puur vanwege snelheid) is mijn github repo lokaal op mijn pc syncen met de github desktop app, vervolgens koppelen aan Claude desktop en vervolgens vragen naar kwetsbaarheden te zoeken. Deze fixt hij gewoon keurig of schrijft er een plan voor, waarna je het weer een sync pull request doet naar je repo.

Werkt echt prima.
Reageer
Oon @Luchtbakker23 februari 2026 08:50
Maar dat is niet hetzelfde als deze nieuwe feature. Claude Code verzuipt nogal snel in codebases van meer dan een handjevol bestanden, dan moet je 'm echt instrueren om eerst een lijst van alle bestanden te maken en dan voor ieder bestand (en evt. dependencies) een sub-agent laten opstarten.
Mijn ervaring is dat hij zelfs dan héél snel óf uit z'n context loopt óf gewoon heel veel mist
Reageer
Sebast1aan @Oon23 februari 2026 09:40
...Claude Code verzuipt nogal snel in codebases van meer dan een handjevol bestanden...
Dat klopt niet hoor. Ik werk meestal aan een repo of 6 tegelijk. Ik heb zelf een AI friendly doc standard gemaakt voor architecture, operational procedures, roadmap, etc.. Die standaard maar een automatisch een logic tree in yaml formaat van elke repo die Claude snel kan lezen. Daar een plugin van gemaakt en die zit dan weer in mijn global Claude config. Elke Claude sessie leest dat automatisch en dat scheelt heel veel tokens. Daarnaast heb ik een simple MCP server in elkaar geknutseld (in noem die c2c, van claude 2 claude) die de verschillende Claude instances gebruiken om met elkaar te praten.

Nu, veel mensen doen zulke dingen en veel slimmer dan mij, kijk op de Claude subreddit. Daar zijn ook ton van tips en tools voor token management. Ik gebruik Claude nu zeker 10+ uur per dag en ik blijf tegenwoordig makkelijk binnen mijn token limieten.
Reageer
barbarbar @Oon23 februari 2026 09:15
De integratie in visual studio van copilot snapt het wel als je een analyse vraagt van een bepaald proces. Laatst nog een hele flow laten nalopen van verschillende inlogmethodes, en dan volgt ie alles wat aangeroepen wordt. Overzichtje eruit met verbeteringen en aandachtspunten, die je zelf nog kunt nalopen. AI snapt bepaalde situaties toch niet zoals een mens dat wel snapt, maar het bespaard veel werk en er komen regelmatig dingen naar voren die niet zozeer échte fouten zijn, maar wel verbeterd/robuuster kunnen worden.
Reageer
cornedor @Oon23 februari 2026 08:21
Ik hoop alleen niet dat dit een nog groter probleem wordt: nieuws: Curl stopt met bugbountyprogramma door 'AI-slop'
Reageer
Oon @cornedor23 februari 2026 08:23
Mwah, dat kun je nu ook al prima automatiseren of op basis van issues doen.
Ik hoop vooral dat dit een mooie toevoeging gaat zijn bovenop een bestaande SAST pipeline :)
Reageer
Jorah_Newstone 23 februari 2026 08:25
Hmm weet niet wat ik hierover moet denken? Wat als hij bepaalde security lekken gaat hallucineren?
En wordt de code dan als training gebruikt?
Reageer
elmuerte @Jorah_Newstone23 februari 2026 08:29
En wordt de code dan als training gebruikt
Lees de voorwaarden. Als daar iets in staat over dat je input gebruikt wordt om de service te verbeteren, dan is het antwoord "ja". Verder zijn er natuurlijk altijd de "vanwege een technische fout ..." excuses die herhaaldelijk gebruikt word als men er achter komt dat iets wel degelijk gedaan is wat men zei dat niet zou gebeuren.
Reageer
lenwar
@Jorah_Newstone23 februari 2026 08:31
Uiteindelijk blijft het de verantwoordelijkheid van de code-eigenaren om het te valideren, en daadwerkelijk toe te passen.

En of het als training gebruikt wordt, zal aan de voorwaarden liggen.
Reageer
barbarbar @Jorah_Newstone23 februari 2026 09:21
Je moet dit meer zien in de zin van een heel proces laten doorlopen en dan voorstellen laten doen voor verbeteringen. Stel je vraagt de AI om het login proces te doorlopen op alle manieren; dan krijg je een overzicht met alle verbeterpunten, of kwetsbaarheden. Daarin maak je zelf de keuze over wat je wel en niet implementeert of accepteert. Het hallucineren bij code is niet echt een probleem, als AI iets voorstelt wat niet werkt, dan merk je dat snel genoeg. En als die iets voorstelt waardoor de beveiliging juist minder wordt, accepteer je dat niet. Het is nog steeds aan de ontwikkelaar om alles na te lopen en te controleren. Hoewel AI best hele programma's kan opleveren inmiddels, is het nog niet op het punt dat zo'n programma dan ook logisch/gestructureerd in elkaar steekt of vrij is van bugs/fouten.
Reageer
Morrowind3 23 februari 2026 08:22
Anthropic erkent ook dat aanvallers dergelijke tools kunnen inzetten om kwetsbaarheden in software te vinden, maar het bedrijf zegt dat Claude Code Security 'die macht terug in handen van verdedigers moet leggen door code te beschermen tegen nieuwe vormen van AI-gedreven aanvallen', zonder duidelijk toe te lichten wat het daarmee bedoelt.
Beter lekken vinden dan hopen dat ze niet gevonden worden is geen nieuw principe, maar een indirecte manier hoe dit cybersecurity kan verzwakken is dat bedrijven uit gemakzucht Claude laten draaien en het daarbij houden. Dat zie je vaker bij AI, handig zolang je zelf maar scherp blijft, maar als een ander het meeste werk al gedaan heeft is het heel makkelijk om te zeggen "Goed genoeg" waardoor in de praktijk vaak toch de kantjes eraf gelopen worden.
Reageer
SuperGuest 23 februari 2026 08:29
Je kunt helaas verwachten dat er vanuit andere instanties gewerkt wordt aan trainen op het ontwikkelen van exploits.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq