2026-03-24 by 高田鑑識

讓我們先在文章開頭表明：Claude Code Security 的推出對整個產業來說是個好消息。

不是因為它取代了傳統的應用程式安全性。

不是因為它突然讓 AI 產生的程式碼變得安全。

而是因為它驗證了許多安全性主管早已知道的事實：AI 編碼引入了新的風險，需要 AI 原生的代理式應用程式安全性。

在一個程式碼越來越多由 AI 助手撰寫的時代，安全性不能繼續是提交後才附加上去的事後補救。如果漏洞是在 AI 編碼階段之後才被發現，那就已經太遲了。

速度和規模都增加了，風險也隨之複合增長，暴露面擴大的速度比修復速度更快。

Claude 的公告承認了這個現實，這是一個正向的訊息。

乍看之下，Claude Code Security 和 Checkmarx Developer Assist 可能看起來很相似。兩者都存在於 IDE 中，都會呈現漏洞，也都會建議修復方案。

但兩者的理念不同。

Claude Code Security 像人類安全性研究員一樣推理程式碼：對應資料流、理解元件互動，並識別出與已知特徵碼和預定義安全性規則不匹配的邏輯缺陷。這種推理優先的方法使其能夠發現傳統規則式掃描器經常遺漏的細微、依賴上下文的漏洞。

這是有意義的進步。然而，它目前只是早期預覽版，僅涵蓋整個代理式應用程式安全性生命週期中非常特定的一個面向。

Checkmarx Developer Assist 是更廣泛的 Checkmarx Assist 系列的一部分，也是一個完整的代理式應用程式安全性平台，採用互補但經過企業驗證的方法。它在 IDE（Cursor、Windsurf、VSCode、AWS Kiro、JetBrains）中提供即時回饋，涵蓋以下領域：

• SAST 漏洞
• 開源及惡意套件（SCA）
• 機密資訊外洩
• 基礎架構即程式碼（IaC）設定錯誤
• 容器安全性風險

它快速、全面，且由多年累積的安全性情報和經過驗證的規則庫驅動，專為真正的企業規模運作而打造。

與 Claude Code Security 不同，Checkmarx 不僅限於提交前的問題偵測。透過 Safe Refactor，我們會驗證安全性修復不會引入迴歸問題、破壞相依性或中斷建置，確保修復既安全又可直接用於正式環境。

簡單來說：

Claude Code Security 深入且新穎。

Developer Assist 廣泛、快速，且具備供應鏈感知能力。

兩者都很重要，但它們解決的是問題的不同層面。

Claude Code Security 目前專注於對應用程式碼本身進行推理。但現代風險不僅存在於應用程式邏輯中。

它存在於：

• AI 產生的相依性
• LLM 模型、MCP、攻擊型代理、IDE 擴充功能、SDK 等
• 惡意套件
• 容器映像檔
• 基礎架構設定錯誤
• 外洩的認證資訊
• 跨管線的政策違規
• 執行階段環境

AI 編碼不只是產生不安全的程式碼，它加速了不安全的生態系統。

這正是統一的企業級平台變得至關重要的地方。

Checkmarx One 與 Developer Assist 整合，提供更廣泛的功能，包括政策執行、合規性報告、ASPM 以及稽核能力，提供跨整個 AI 供應鏈的可見度，而不僅僅是 IDE 中的單一檔案。

在大型企業中，安全性需要做的不僅僅是捕捉巧妙的臭蟲。它需要在數千名開發人員和數百萬行程式碼之間執行治理、一致性和控制。

Claude Code Security 引入了一個有趣的概念：在呈現發現結果之前，嘗試反駁自己的發現。這旨在從源頭減少誤報，這比將雜訊推給下游是重要的改進。

但偵測的準確性只是方程式的一部分。即使是高信心度的發現，如果修復緩慢或與開發人員工作流程脫節，也會產生摩擦。Developer Assist 透過使用代理式 AI 修復來解決這個問題，啟動一個由上下文情報和專有資料庫豐富化的 AI 工作階段，直接在 IDE 中產生安全、可執行的修復方案。開發人員可以接受、調整或與代理互動來客製化解決方案。

差異在於營運規模和生態系統整合。

Claude Code Security 目前處於有限的研究預覽階段。

相比之下，Developer Assist 已經正式發佈，並原生整合到現代 AI 驅動的 IDE 中。它在架構設計上考慮了企業資料處理需求，將資料暴露降到最低，並確保敏感的原始碼受到保護。

對於受監管的產業、大型企業和全球開發組織而言，這些區別至關重要。

創新令人興奮，但營運成熟度不可或缺。

本文所述的 Developer Assist 代理只是 Checkmarx Assist 提供的眾多代理之一。它與 Triage 和 Remediation Assist 代理並列，後者在代理式開發生命週期（ADLC）的提交後階段運作，為任何被遺漏或忽略的安全性真陽性提供代理式清理解決方案，防止它們流入正式環境。這第二層防禦同樣是 Checkmarx 平台的一部分，確保在大規模存放庫和應用程式中持續進行自主 AI 編碼。

市場反應經常跳到「顛覆」這個詞。但即使是金融分析師也注意到，這在目前並不是一個直接取代的情境。

更誠實的框架是這樣的：

Claude Code Security 凸顯了漏洞將如何被發現的長期轉變——朝向基於推理的 AI 原生分析。

而這個轉變強化了更廣泛的事實：AI 產生的程式碼需要 AI 原生的應用程式安全性（代理式應用程式安全性）。

但僅靠 AI 推理並不能取代跨供應鏈、執行階段、政策執行、合規性和治理的企業級涵蓋範圍。

Claude 的舉措驗證了未來。它承認傳統的靜態掃描模型在 AI 驅動的開發生命週期中已不再足夠。

它尚未實現的是一個統一的、企業就緒的代理式應用程式安全性平台，涵蓋：

• IDE 預防
• 提交後分類和修復
• AI 供應鏈可見度
• 執行階段驗證
• 集中式治理和風險評估

這個更廣泛的願景才是真正的變革所在。安全性的未來不是防禦性的。它是嵌入式的、代理式的、平台驅動的。而且最重要的是，它的演進速度與撰寫程式碼的 AI 一樣快。

AI 編碼的時代已經開始。現在 AI 原生的應用程式安全性必須隨之擴展。