開発者の脆弱性検出が自律化 Anthropicが意味理解型AIツール公開

2026年2月20日、Anthropicは、AIを活用したコード解析ツール「Claude Code Security」を発表した。コードの意味を推論して未知の脆弱性を検出する新手法で、法人向けにプレビュー提供を開始している。
未知の重大脆弱性を500件超発見
「Claude Code Security」は、ソフトウェアの脆弱性を自動的に検出し、修正案まで提示するAIベースのセキュリティツールである。従来の静的解析が既知パターンとの照合を中心とするルールベース手法だったのに対し、本ツールは最新モデル「Claude Opus 4.6」を基盤に、コード間の相互作用やデータフローを意味的に解析する設計を採る。
その結果、ビジネスロジックの欠陥やアクセス制御の不備といった文脈依存型の脆弱性も特定可能になった。Anthropicの専門調査チーム「Frontier Red Team」による事前検証では、標準的なツール環境下でオープンソースのコードベースから500件以上の未知の重大な脆弱性を発見したという。これには、従来のファジング(※)や長年の手動監査をすり抜けてきたバグも含まれていた。
誤検知を抑えるため、検出結果には多段階の自己検証プロセスを組み込んでいる。AI自らが反証を試み、信頼度と深刻度を付与した上で報告する仕組みであり、提案された修正コードの適用には必ず人間の承認が必要とされる。ターミナル上の「/security-review」コマンドやGitHub Actionsとの統合にも対応し、既存の開発フローへの組み込みを前提としている点も特徴だ。
※ファジング:大量の異常入力をソフトウェアに与え、クラッシュや予期せぬ挙動を引き起こすことで不具合を発見するテスト手法。
AI監査の常時化と新たな統制課題
意味理解型AIによるコード監査は、セキュリティレビューの在り方を変える可能性がある。特に専門人材が不足する分野では、初期診断をAIが担うことでレビューの高速化や網羅性向上につながる可能性がある。重大な欠陥を早期に発見できれば、開発コストやインシデント対応費用の削減に寄与することも考えられる。
一方で、AIの推論は確率的性質を持つ以上、誤検知や見落としを完全に排除することは難しいとみられる。自己検証機構を備えるとはいえ、出力を過信すれば新たなリスクを招く可能性も否定できない。
今後、意味理解型解析が標準機能として普及した場合、開発現場は「AIをどう活用するか」だけでなく、「AIをどう統制するか」という論点にも向き合う必要があるだろう。自律化と人間の最終判断を両立させる設計思想が、今後の競争領域の一つになる可能性がある。
関連記事:
Anthropic「Claude Sonnet 4.6」発表 「人間のような」PC操作で実務AIを刷新

Anthropic、「Claude」無料機能拡充 AI実務活用を後押し












