代码漏洞扫描工具扎堆，Anthropic凭什么让你先修这1个？

当所有人都在教AI写代码，这家公司在教AI找漏洞——而且不是漫无目的地扫，是告诉你"先修哪个"。

4月30日，这家AI公司发布Security，面向企业级用户的代码安全扫描工具。它用Opus 4.7模型扫描代码库漏洞，还能生成针对性补丁。目前公开测试仅限Enterprise层级，Team和Max层级"即将开放"。

这是该公司网络安全工具箱的新成员。月初他们刚推出Project Glasswing，一个瞄准开源基础设施漏洞的"AI曼哈顿计划"。两个产品核心都是漏洞扫描，但定位截然不同：Glasswing用未公开的Mythos模型找全球关键软件的漏洞，Security则是给企业自家代码库做体检。

漏洞扫描为什么重要？大多数网络攻击始于攻击者利用漏洞。防御方先找到并修补，攻击面就小了。作者打了个比方：《星球大战》里死星的设计图存在致命缺陷——排气口。叛军找到它，一颗鱼雷就解决了战斗。你的代码库大概不止一个排气口。

软件天生有漏洞。漏洞不仅让对手有机可乘，还可能自己出bug损害用户体验。作者去年9月用OpenAI的Codex做过漏洞扫描，当时失败了——它处理不了项目级上下文。后来他把Codex和擅长处理大量数据的ChatGPT Deep Research组队，才在自己的安全软件里找到一批关键漏洞。

现在Codex和Code的代码处理能力都提升了。Security的出现，说明这家公司想把这件事做得更系统、更产品化。

正方：企业需要的不是"发现更多漏洞"，而是"决定先修哪个"

Security的核心卖点是优先级判断。

传统漏洞扫描工具的问题不是漏报，而是信息过载。扫出一千个漏洞，安全团队资源有限，该先修哪个？CVSS评分高的？业务影响大的？还是 exploit 代码已经公开的？

Security试图把判断环节也自动化。用Opus 4.7理解代码上下文，评估漏洞的实际风险，再生成补丁。这不是简单的规则匹配，是让模型像安全工程师一样做权衡。

该公司选在这个时间点发布，也有生态卡位的意味。GitHub Copilot、Amazon CodeWhisperer、Google的AI编码工具都在抢开发者桌面，但"安全"这个垂直场景还没被定义清楚。谁能让企业安全团队相信AI的判断，谁就能拿到预算。

Project Glasswing的参与者名单也说明问题：AWS、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达、Palo Alto Networks。竞争对手坐在一起，因为基础设施漏洞是共同敌人。Security把这个逻辑下沉到单个企业——你的代码库就是你需要防守的死星。

反方：AI判断漏洞优先级，谁来验证AI的判断？

但把决策权交给模型，风险也很明显。

Opus 4.7的漏洞评估标准是什么？原文没提。是企业自定义的规则集，还是模型自己学到的模式？如果是后者，它的训练数据里有多少真实的企业代码库？偏差从哪里来？

更实际的问题是责任归属。如果Security把高危漏洞标成低优先级，导致被攻击，该公司担责吗？企业安全团队敢把"先修哪个"的决定完全外包给AI吗？

作者自己的经历也说明现状：AI工具需要人类配合。Codex单打独斗失败，加上Deep Research才出结果。Security号称"生成针对性补丁"，但补丁要不要人工审核？部署前要不要测试？原文没说"全自动"，但产品叙事容易让人产生这种期待。

还有竞争层面的问题。Glasswing用的Mythos模型"被认为太危险而不向公众发布"，Security用的Opus 4.7是公开模型。企业版会不会在关键场景上能力不够？该公司怎么平衡产品化进度和安全能力？

我的判断：这不是工具之争，是"安全决策权"的重新分配

Security的真正价值，不在于它能找到多少漏洞，而在于它试图回答一个老问题：安全团队的时间该怎么花。

传统做法是人做判断。安全工程师读扫描报告，查漏洞数据库，评估业务影响，排优先级。这个过程慢、贵、容易出