在科技與金融的交界處,有時候一則不到 280 個字元的社群貼文,就足以引發一場市場大地震。有很多富爸爸投資,一直受業界矚目的 AI 公司 Anthropic 在其官方 X 帳號上發布了一則推文(Status 2024907535145468326),正式宣布推出全新的 AI 資安工具 Claude Code Security。
推文是這樣寫的:「隆重介紹 Claude Code Security,現已推出限量研究預覽版。它能掃描程式碼庫中的漏洞,並提供針對性的軟體修補建議供人類審查,讓團隊能找出並修復傳統工具經常漏掉的安全問題。」
這則看似單純造福軟體工程師的產品功能更新,卻在華爾街引發了重大連鎖反應。美國股市開盤後,全球網路安全(Cybersecurity)類股遭遇了一場被交易員稱為「迷你閃崩(Mini-flash crash)」的無差別拋售潮,整個相關類股在單日內蒸發了上百億美元的市值。
究竟這個 AI 工具具備了什麼樣的顛覆性魔力?傳統資安大廠真的面臨生存危機了嗎? CyberQ 認為這畢竟還是回到近年 AI 崛起後持續被提到的議題,也就是 AI vs 傳統資安的市場風暴。
顛覆傳統的 Claude Code Security 到底有多強大?
要理解市場的恐慌,必須先看懂 Anthropic 這次端出了多可怕的技術武器。我們先來看傳統的軟體漏洞掃描,比方說 SAST 靜態應用程式安全測試,這種大多依賴規則庫(Rule-based)與模式 match 去找漏洞和弱點。用簡單的概念來想的話,就像是拿著一本字典去核對錯別字,雖然能抓出密碼明文外洩或過時的加密協定,但往往無法理解整篇文章的語意,因此容易漏掉複雜的業務邏輯錯誤,並產生大量的誤報(False Positives)讓資安人員和開發人員疲於奔命,我們主要會進行的工作就是寫出更好的規則式去排除掉過多的誤報,把正確的分析資源集中在真正關鍵的 bug 上。
但是呢,Claude Code Security 完全改變了遊戲規則。
根據 Anthropic 的說明,這個內建於網頁版 Claude Code 的新工具,由該公司最新的 AI 模型 Claude Opus 4.6 擔綱驅動。它不再是死板地比對規則,而是能夠像人類資安研究員一樣閱讀和推理。
這可相當不得了,有參與過相關資安工作和軟體開發流程的人就能理解,如果 Claude Code Security 可以進行深度架構理解,那麼系統就能追蹤資料在應用程式中的流向,理解不同軟體元件之間的互動方式,精準抓出傳統掃描工具看不懂的存取控制失效等深層缺陷。
不但如此,該公司也提出了驚人的實戰成績證明自己,他們在內部壓力測試期間,Claude Opus 4.6 已經在廣泛使用的開源專案正式環境中,找出了超過 500 個潛伏長達數十年、連人類專家和傳統工具都未曾察覺的高風險零日漏洞(Zero-day vulnerabilities)。
CyberQ 分析,如果從發現到修復的一條龍服務它也能做,就真的更不得了。因為 Claude Code Security 可是內建在 Claude Code 這個許多開發者愛用的平台上哪,所以它不但能負責找 Bug,還包辦了寫 Patch 的工作,這套系統會對每個漏洞進行多階段的自我驗證、給出嚴重程度評分,最後直接生成符合專案架構的修補程式碼,開發人員只需在儀表板上點擊批准即可完成修復,將漏洞修復週期壓縮到了比以往更短的時間能完成。
華爾街的資安大屠殺,為何股價集體跳水?
當一個每月只需數十美元訂閱費的 AI,能夠扮演「從不睡覺、能一秒掃描整個儲存庫的頂尖資安工程師團隊」時,資本市場的反應是直接且殘酷的。
在推文發布的當日,美股資安板塊血流成河,遭遇了無差別的「籃子拋售(Basket Selling)」:
CrowdStrike (CRWD):端點防護龍頭,重挫約 8%。
Okta (OKTA):身分認證管理巨頭,暴跌逾 9.2%。
Cloudflare (NET):網路防護巨頭,下跌約 8.1%。
SailPoint (SAIL):重挫 9.4%。
Zscaler (ZS) 與 Palo Alto Networks (PANW) 也分別下跌約 5.5% 與 2%~5% 不等。
追蹤全球資安產業的 Global X 網路安全 ETF (BUG) 單日下跌近 5%,創下自 2023 年 11 月以來的新低。
華爾街投資人真正恐懼的是「源頭級修復(Source-Level Healing)」帶來的預算排擠效應。
分析師指出,如果 AI 代理(AI Agents)能夠在軟體開發階段就完美地抓出並修補所有漏洞,企業的軟體架構將變得無懈可擊。那麼,企業未來是否還需要花費數百萬美元,購買龐大且昂貴的傳統端點監控、威脅偵測工具?這引發了市場對於傳統 SaaS 軟體預算將被 AI 基礎模型大廠吞噬的恐慌。
恐慌是否過度?AI 真的會消滅資安公司嗎?
經過市場沉澱後,CyberQ 從客戶與友商端一起驗證和分析,認為這場暴跌中,既有真實的典範轉移威脅,也有市場情緒的盲目錯殺。
我們先來看市場關注的領域錯置問題,畢竟程式碼審查 ≠ 整體網路安全。Claude Code Security 其實是專注於應用程式安全(AppSec)與程式碼審查。這確實對提供靜態分析工具的傳統廠商構成直接的生存威脅。然而,市場卻連帶拋售了 CrowdStrike(負責阻擋駭客入侵電腦端點)、Okta(負責員工身分與存取驗證)。目前市場上 AI 公司推出的 AI 程式碼掃描工具,目前並不能即時攔截正在發生的勒索軟體攻擊,也無法防止駭客透過社交工程騙取員工密碼,這些傳統資安大廠的核心護城河短期內並未被瓦解。
矛與盾的升級,AI 雙面刃反而將創造更多資安需求
CyberQ 指出,要理解 Anthropic 為什麼推出這個工具,必須明白這是一把雙面刃。如果看 Anthropic 官方聲明,其實有坦白了一個殘酷的事實,能幫助防禦者找出深層漏洞的強大 AI 推理能力,同樣也能被駭客用來發動攻擊。我們在之前的相關報導就有提醒過,目前駭客使用 AI 工具來補助資安攻擊的事件已經逐步大量提升中,駭客的攻擊能力提升,或降低了攻擊的門檻,而防守方的資安能量也需要隨之提升,各家資安公司其實多有 AI 輔助的工具和產品陸續推出,這是一個矛與盾的升級問題。
隨著 AI 寫程式的普及,未來軟體的攻擊面(Attack surface)將呈指數級擴張。若駭客利用 AI 自動化尋找零日漏洞並發動超高速的攻擊網路行動,企業將面臨前所未有的威脅。在這種 AI 攻擊 AI 的全新戰場中,CyberQ 認為防禦方實際上會更迫切地需要全面性的零信任架構與即時端點防護,長期來看,資安市場的總體需求只會增加,不會減少。
CyberQ 分析,這也是估值過高帶來的修正藉口。不可否認,許多資安股在過去兩年享有極高的本益比與估值溢價。在這種「完美定價」的環境下,只要出現像 Claude 這樣具破壞性技術的新聞,演算法和投資人往往會奉行「先賣出,後釐清(Sell first, sort the details later)」的避險策略,導致資安領域的不少公司股價集體下跌。
資安領域的「AI 原生時代」正式起跑
CyberQ 認為,Anthropic 這則關於 Claude Code Security 的推文,除了是一個新產品的發布公告,也正式開啟「AI 原生資安時代(AI-Native Cybersecurity)」的展開。
對於軟體開發者來說這是個好消息,寫出安全程式碼的門檻將大幅降低。但對於傳統資安企業而言,這是一個嚴峻的新挑戰,如果無法迅速將頂尖的大型語言模型(LLM)推理能力整合進自家的防護平台,並證明其不可替代的價值,傳統資安供應商終將面臨被基礎 AI 模型大廠從源頭攔截預算的生存危機。
對於投資人而言,近期的股價暴跌或許為某些被錯殺的優秀資安巨頭創造了長線買點。但對於整個科技產業來說,我們正在見證軟體工程與網路安全防禦規則的徹底改寫,未來的資安戰場,除了人類工程師在深夜裡抓 Bug 和分析資安事件外,還有許許多多的 AI 代理之間進行的無聲攻防戰呢。
