本文首先要強調 Claude Code Security 的推出，對整個產業都是一則好消息。

並不是因為它取代了傳統的應用程式安全。

也不是因為它讓 AI 生成的程式碼一夕之間變得安全。

而是因為它驗證了一件許多資安領導者早已明白的事實：AI 編寫程式碼帶來新的風險，而這些應用程式安全風險也需要以原生的、具代理能力（agentic）的AI 因應。

在這個越來越多程式碼由 AI 助理撰寫的時代，安全不能再是提交（commit）之後才外掛補上的流程。如果漏洞是在 AI 編碼階段之後才被發現，往往已經太遲。

開發速度與規模同步提升，風險也隨之倍增，暴露面擴張的速度遠超過修補能力。

Claude 的這項宣布，正是對這個現實的回應，而這無疑是向前邁進的一步。

重新思考漏洞偵測的方式

乍看之下，Claude Code Security 與 Checkmarx Developer Assist 似乎相當類似。兩者都存在於 IDE 中、都會揭露漏洞，也都提供修補建議。

但其背後的理念並不相同。

Claude Code Security 用近似人類資安研究人員的方式來「推理」程式碼：追蹤資料流、理解元件互動，並找出那些不符合已知特徵碼或預先定義安全規則的邏輯性缺陷。這種以推理為核心的方法，使其能揭露傳統規則式掃描工具經常忽略的細微、情境相依型漏洞。

這無疑是一項具有意義的進展。

然而，目前它仍處於早期預覽階段，且在整體 Agentic AppSec 生命週期中，只涵蓋其中一個相對特定的面向。

Checkmarx Developer Assist 是更廣泛 Checkmarx Assist 系列的一部分，也是完整的 Agentic AppSec 平台，採用互補且經企業驗證的方法。在以下 IDE 中（Cursor、Windsurf、VSCode、AWS Kiro、JetBrains）提供即時回饋，包含了：

• 靜態應用程式安全測試（SAST）漏洞
• 開源及惡意套件（SCA）
• 機密資訊外洩
• 基礎設施即程式碼（IaC）錯誤設定
• 容器安全風險

該平台快速、全面，並已有多年累積的資安情報與驗證規則庫，專為企業級規模運作而設計。

與 Claude Code Security 不同，Checkmarx 不僅限於提交前漏洞偵測。透過 Safe Refactor 功能，我們可驗證安全修補不會導致回歸、破壞相依性或影響建置，確保修補措施既安全又可直接投入生產環境。

簡單來說：

Claude Code Security 深入且具創新性

Developer Assist 廣泛、快速，並具供應鏈安全意識

兩者各有價值，但解決的是不同層面的問題。

AI 時代下，範圍的重要性

Claude Code Security 目前主要專注於對應用程式程式碼本身的推理分析。但現代風險並不僅存在於應用程式邏輯中。

風險還存在於：

• AI 生成的相依套件
• 大型語言模型（LLM）、MCP、攻擊型代理、IDE 擴充、SDK 等
• 惡意套件
• 容器映像檔
• 基礎設施錯誤設定
• 外洩的憑證
• CI/CD 流程中的政策違規
• 執行環境（runtime）

AI 編碼不僅會產生不安全的程式碼，還會加速不安全的生態系統擴張。

這正凸顯了統一、企業級平台的重要性。

Checkmarx One 與 Developer Assist 整合，提供更廣泛的能力，包括政策執行、合規報告、應用安全風險管理（ASPM）以及可稽核性，能夠掌握整個 AI 供應鏈的可視性，而不僅僅侷限於 IDE 中單一程式檔案。

在大型企業中，資安不僅僅是偵測巧妙的漏洞而已。它還需要在數千名開發人員與數百萬行程式碼中，落實治理、一致性與管控。

修補流程：人機協作，但要具備規模化

Claude Code Security 引入了一個有趣的概念：在呈現漏洞前，先嘗試驗證或推翻自身發現，以降低誤報率。這在源頭上減少雜訊，比將問題推到下游更具改善意義。

然而，偵測準確度只是其中一部分。即使是高信心的漏洞發現，如果修補速度緩慢或與開發者工作流程脫節，仍會造成摩擦。

Checkmarx Developer Assist 透過 Agentic AI 修補功能解決了這個問題：啟動 AI 會話，結合情境資訊與專屬資料庫，直接在 IDE 中生成安全、可執行的修補建議。開發者可以接受、調整，或與 AI 互動以量身打造最合適的解決方案。

關鍵的差異在於操作規模與生態系統整合度。

企業級準備不能事後才考慮

Claude Code Security 目前仍處於限制研究預覽階段。

相比之下，Checkmarx Developer Assist 已普遍可用，並原生整合於現代 AI 驅動的 IDE 中。其架構設計考量了企業資料處理，能最小化資料外洩風險，並確保敏感原始程式碼的安全。

對於受監管產業、大型企業以及全球開發組織而言，這些差異至關重要。

創新固然令人振奮，但營運成熟度才是關鍵。

本文提到的 Developer Assist Agent 只是 Checkmarx Assist 提供的多個 Agent 之一。它與 Triage Agent 及 Remediation Assist Agent 一同運作於提交後階段（post-commit） 的 Agentic 開發生命週期（ADLC），提供針對可能遺漏或被忽略的安全真陽性漏洞（ true positives ）的 Agentic 清理解決方案。這第二道防線，也作為 Checkmarx 平台的一部分，確保大規模程式碼庫與應用中，AI 編碼能持續自動且安全地運作。

這不是取代，而是進化

市場反應往往急於將新事物其視為「顛覆」。但即便是金融分析師也指出，這並非當前的情境直接取代。

更實際的說法是：

Claude Code Security 強調了漏洞偵測的長期轉變，朝向以推理為基礎、AI 原生的分析方式。

而這種轉變，也再次印證一個更廣泛的事實：AI 生成的程式碼，需要 AI 原生的應用程式安全（Agentic AppSec）。

然而，僅靠 AI 推理，仍無法取代企業級在供應鏈、執行環境、政策執行、合規與治理等全方位覆蓋的需求。

更大的機會

Claude Code Security 的推出，證明了未來發展方向的正確性，也顯示傳統靜態掃描模式，在 AI 驅動的開發生命週期中已無法滿足需求。

但它目前尚未提供完整的企業級 Agentic 應用程式安全平台，涵蓋的範圍應包括：

• IDE 層級的漏洞預防
• 提交後的漏洞分級與修補
• AI 供應鏈可視化
• 執行階段安全驗證
• 集中化治理與風險評估

真正的轉型，就在這個更廣闊的願景中。

資安的未來，不再只是被動防禦。

它嵌入開發流程，具備代理能力，並由平台驅動。

最重要的是，它的演進速度，必須與 AI 編碼速度保持一致。

AI 編碼時代已經到來，而 AI 原生的應用程式安全，也必須同步擴展。

若您對 Checkmarx 有興趣，歡迎於官網中留下資訊，將會有專人與您聯繫 ➤ https://www.gss.com.tw/product-services-nav/info-security/checkmarx-main