Anthropic 推出 Claude Code Security 震撼市場：CrowdStrike 暴跌 7.8%，網絡安全股遭遇 AI 衝擊波

2026 年 2 月 20 日，Anthropic 正式發布 Claude Code Security——一款基於前沿大語言模型的 AI 自主漏洞掃描工具，以有限研究預覽（limited research preview）形式向外部用戶開放。消息發布後數小時內，華爾街的網絡安全板塊遭遇了自 2020 年 SolarWinds 事件以來最劇烈的單日拋售：CrowdStrike 收跌 7.8%，Palo Alto Networks 下挫 6.4%，Cloudflare 亦跌去 5.9%。三家公司合計蒸發市值逾 450 億美元。

多位華爾街分析師將 Claude Code Security 稱為「前沿模型自主漏洞研究的首次規模化商業部署」。這不僅僅是一款新產品的發布——它標誌著一個訊號：AI 已經不再滿足於輔助網絡安全工作，而是開始直接切入這個價值超過 2,000 億美元的龐大市場的核心業務。

從實驗室到產品：18 天的驚人加速

要理解市場為何反應如此劇烈，必須回溯到 18 天前的一份技術報告。2 月 5 日，Anthropic 的 Frontier Red Team 發表了一項震撼安全社區的研究成果：其最新旗艦模型 Claude Opus 4.6 在對開源代碼庫的系統性審計中，發現了超過 500 個此前完全未知的零日漏洞。

這些漏洞涵蓋了多個被廣泛使用的開源項目，包括 GhostScript（一個有超過三十年歷史的 PostScript 解釋器）和 OpenSC（智能卡存取框架）。其中一些漏洞隱藏在代碼中長達數十年，經歷了無數人類安全研究者的審計卻始終未被發現。Anthropic 強調，Claude 的方法論與傳統的靜態分析工具截然不同——它不是在做模式匹配或簽名比對，而是像一位經驗豐富的人類安全研究員一樣，閱讀代碼、理解邏輯流、推理潛在的邊界情況和安全隱患。

「Claude 不是在掃描已知漏洞的模式。它在理解程式碼的意圖，然後推理出程式碼的實際行為與開發者意圖之間的差異——這正是零日漏洞的本質。」—— Anthropic Frontier Red Team 技術報告

當時，這項研究雖然引起了安全社區的高度關注，但多數市場參與者仍將其視為學術性的技術展示。然而，僅僅 18 天後，Anthropic 就將這一能力封裝為商業產品推向市場，速度之快遠超所有人的預期。

Claude Code Security：產品解析

根據 Anthropic 公布的資訊，Claude Code Security 目前以有限研究預覽的形式提供，其核心功能包括對代碼庫的深度語義分析、自主漏洞發現、風險等級評估和修復建議生成。與傳統的 SAST（靜態應用安全測試）或 DAST（動態應用安全測試）工具不同，Claude Code Security 利用大語言模型的推理能力，能夠識別那些僅透過模式匹配無法捕獲的複雜邏輯漏洞。

尤其值得注意的是 Anthropic 的定價策略：開源項目維護者可以申請免費的加速使用權限（expedited access）。這一決定具有雙重意涵——一方面，它展現了 Anthropic 對開源社區安全的承諾；另一方面，這也是一個極為精明的市場策略，因為開源項目正是整個軟件供應鏈的基石。如果 Claude Code Security 能夠在主要開源項目中建立起事實標準的地位，其在企業市場的推廣將獲得巨大的正當性和動能。

市場反應：恐慌性拋售的深層邏輯

網絡安全股的暴跌表面上看是對一款新產品的過度反應，但深入分析會發現，市場的恐慌根植於一個更加結構性的擔憂：AI 正在侵蝕傳統網絡安全公司的核心護城河。

傳統網絡安全公司的商業模式建立在幾個核心假設之上：漏洞發現需要大量專業人力、威脅情報的收集和分析需要龐大的基礎設施、企業客戶的安全運營中心（SOC）需要持續的軟件訂閱和服務支持。而 Claude Code Security 的出現，讓投資者開始質疑這些假設是否仍然成立。

Morgan Stanley 的分析師在當天的客戶備忘錄中指出，如果前沿 AI 模型能夠以極低的邊際成本進行大規模漏洞掃描，那麼目前按座位或按資產收費的安全工具定價模式將面臨巨大壓力。更關鍵的是，Anthropic 不需要建設龐大的安全運營團隊或威脅情報網絡——它的優勢來自模型本身的推理能力，而這種能力的提升速度遠快於傳統安全公司積累專業知識的速度。

為何 CrowdStrike 跌幅最大？

CrowdStrike 作為端點安全的領導者，其 Falcon 平台的核心競爭力之一就是基於 AI 的威脅偵測。當一個更強大的 AI 模型被直接部署為競爭性的安全工具時，CrowdStrike 的「AI 原生安全」敘事反而成為了它的弱點——投資者開始懷疑，如果 AI 是核心差異化因素，那麼擁有最強 AI 模型的公司（而非擁有最多安全客戶的公司）是否才是最終的贏家。

Palo Alto Networks 的跌幅則反映了另一層擔憂。作為網絡安全行業的「平台化」先鋒，Palo Alto 過去兩年一直在推動客戶將多個安全功能整合到其單一平台上。但如果 AI 能夠從源頭（代碼層面）就消除大量漏洞，那麼下游的偵測、防禦和回應功能的需求可能會結構性下降。

GhostScript 和 OpenSC：為何數十年的漏洞至關重要

在 Anthropic 公布的漏洞案例中，GhostScript 和 OpenSC 的案例尤為引人注目，值得深入分析。

GhostScript 是一個誕生於 1988 年的 PostScript 和 PDF 解釋器，被廣泛嵌入在服務器端的文檔處理管道中。由於其歷史悠久、代碼複雜度極高，GhostScript 長期以來都是安全研究者的重點審計對象。Google 的 Project Zero 團隊曾多次報告過 GhostScript 的嚴重漏洞。然而，Claude 仍然在其中發現了此前所有人類團隊都未能識別的新漏洞。

OpenSC 的情況同樣令人深思。作為一個用於智能卡和硬件安全模組（HSM）存取的開源框架，OpenSC 被部署在政府和金融機構的身份認證基礎設施中。在這樣一個安全敏感度極高的項目中存在未被發現的零日漏洞，說明純粹依賴人類審計的安全模式存在根本性的盲點。

這兩個案例的重要性在於它們為 Claude Code Security 提供了最有說服力的價值證明：AI 不是在做人類能做但嫌麻煩的工作，而是在完成人類做不到的工作。這一點是傳統安全工具無法反駁的。

更宏觀的背景：AI 安全能力的集體躍升

Claude Code Security 的發布並非孤立事件，而是 AI 安全能力快速演進的一系列里程碑中的最新一個。

就在不久前，英國 AI 安全研究所（UK AISI）發表報告，揭示其研究團隊成功突破了多個主流 AI 系統的安全防線。這一發現從另一個角度印證了 AI 在理解和操縱複雜系統方面的能力已經達到了令人矚目的水平。如果 AI 能夠找到其他 AI 系統的防禦漏洞，那麼它在傳統軟件代碼中發現安全漏洞只是這一能力的自然延伸。

同時值得注意的是，2 月早些時候 AISLE 的 AI 系統在 OpenSSL 中實現了 12/12 的零日漏洞命中率，DARPA 的自主系統在 45 分鐘內修補了 61% 的已發現漏洞。這些事件共同描繪出一幅清晰的圖景：2026 年是 AI 從「輔助安全研究」跨越到「自主安全研究」的轉捩點。

產業影響：2,000 億美元市場的重新洗牌

全球網絡安全市場規模預計在 2026 年將超過 2,000 億美元。Claude Code Security 的出現，可能會在以下幾個層面對這一市場產生深遠影響。

一、漏洞掃描市場的顛覆

最直接受衝擊的是應用安全測試（AST）市場，包括 Snyk、Veracode、Checkmarx 等廠商。如果 AI 能夠在語義層面理解代碼並發現人類和傳統工具都無法識別的漏洞，那麼基於規則引擎和模式匹配的傳統 SAST/DAST 工具的價值主張將被嚴重削弱。這個市場在 2025 年的規模約為 120 億美元，而它可能成為 AI 最先完全重塑的安全細分領域。

二、「左移安全」的極端化

網絡安全行業近年來一直在推動「左移」（shift left）——即在軟件開發生命週期的早期階段就引入安全實踐。Claude Code Security 將這一理念推向了邏輯極致：如果你能在代碼編寫階段就由 AI 自動發現和修復漏洞，那麼下游的大量偵測、回應和修復工作將從根本上減少。這對於那些主要在「右側」（部署後）提供安全服務的公司而言，意味著市場的結構性收縮。

三、安全人才市場的重構

全球網絡安全行業長期面臨嚴重的人才短缺，缺口估計超過 350 萬人。AI 自主漏洞研究的成熟，一方面可能緩解這一短缺（AI 承擔大量重複性的審計工作），另一方面也可能重新定義安全專業人員的角色——從「親自尋找漏洞」轉向「指導和驗證 AI 的發現」。

牛方觀點：為何恐慌可能過度

儘管市場反應劇烈，也有不少分析師認為拋售存在過度反應的成分。他們提出了幾個值得關注的反駁論點。

首先，Claude Code Security 目前僅處於有限研究預覽階段，距離成為企業級生產環境中的成熟安全工具還有相當距離。企業安全採購決策涉及合規、整合、支持服務等大量非技術因素，這些是 Anthropic 目前尚未建立的能力。

其次，漏洞發現只是網絡安全價值鏈中的一環。CrowdStrike、Palo Alto 等公司的核心價值不僅在於發現威脅，更在於實時偵測、自動回應、事件調查和合規報告等完整的安全運營流程。AI 漏洞掃描可能減少某些類型的漏洞，但不會消除網絡攻擊本身。

第三，領先的網絡安全公司本身也在積極整合 AI 能力。CrowdStrike 的 Charlotte AI、Palo Alto 的 Cortex XSIAM 都在利用 AI 增強其產品。這些公司擁有的海量威脅情報數據和客戶關係，可能使它們在整合 AI 方面具有後發優勢。

「把 Claude Code Security 比作網絡安全領域的 ChatGPT 時刻可能更為準確：它會重塑行業，但不會消滅現有的主要參與者。正如 ChatGPT 沒有取代 Google，Claude Code Security 也不太可能取代 CrowdStrike。」—— Wedbush Securities 分析師

熊方警告：這次可能真的不一樣

然而，看空者的論點同樣有力。他們指出，與此前的 AI 安全工具不同，Claude Code Security 展現的是一種質的飛躍——它能發現人類研究者無法發現的漏洞，這在安全工具的歷史上尚屬首次。

更關鍵的是，大語言模型的能力曲線仍在陡峭上升。如果 Opus 4.6 已經能夠發現數十年歷史的隱藏漏洞，那麼未來幾代模型的能力將難以預測。這種快速進化的不確定性，恰恰是市場最難以定價的風險因素。

還有一個常被忽視的結構性因素：Anthropic 的商業模式與傳統安全公司截然不同。安全公司需要為每個新功能投入大量的工程和運營資源；而 Anthropic 的安全能力是其通用模型能力的副產品——模型越強，安全能力越強，邊際成本接近零。這種經濟學差異，長期而言可能比任何技術差異更具顛覆性。

對開源生態的深遠意義

Anthropic 為開源維護者提供免費加速使用權限的決定，可能是整個公告中影響最為深遠的部分。

開源軟件是現代數位基礎設施的基石。據估計，全球 90% 以上的商業軟件中包含開源組件。然而，許多關鍵的開源項目長期由少數志願者維護，缺乏系統性的安全審計資源。Log4Shell 漏洞（CVE-2021-44228）就是這一問題的經典案例——一個被全球無數企業使用的基礎組件中存在嚴重漏洞，卻多年未被發現。

如果 Claude Code Security 能夠為這些項目提供持續的、高質量的自動化安全審計，其對整個軟件供應鏈安全的正面影響將是巨大的。這也解釋了為何部分安全社區的反應與華爾街截然不同——許多開源維護者和安全研究者對這一工具的出現表示了謹慎的歡迎。

對香港企業和投資者的啟示

對於香港的企業和投資者而言，Claude Code Security 的發布帶來了幾層值得深思的啟示。

從投資角度看，網絡安全板塊的此次暴跌可能提供了一個重新審視持倉的契機。投資者需要區分那些核心業務可能被 AI 直接替代的公司（如傳統漏洞掃描工具）和那些 AI 實際上會增強其價值主張的公司（如擁有獨特數據資產和深度企業整合的平台型安全公司）。短期恐慌性拋售可能為後者創造買入機會，但前者的長期前景確實值得重新評估。

從企業安全策略角度看，香港作為國際金融中心，其金融機構和跨國企業面臨的網絡安全威脅尤為嚴峻。AI 自主漏洞掃描工具的成熟，為企業提供了一個在不大幅增加安全預算的情況下顯著提升安全態勢的途徑。特別是對於那些大量使用開源組件的金融科技公司和數位化轉型中的傳統企業，Claude Code Security 這類工具的價值不容忽視。

然而，企業也需要認識到，AI 安全工具的出現不會消除對人類安全專家的需求。漏洞的修復、安全架構的設計、合規框架的建立——這些工作仍然需要深厚的人類專業知識。AI 改變的是安全工作的性質，而非安全工作的必要性。

結語：安全行業的 ChatGPT 時刻

Claude Code Security 的發布，很可能會被未來的產業史學家標記為網絡安全行業的一個分水嶺。正如 ChatGPT 在 2022 年底的出現徹底改變了公眾對 AI 能力的認知，Claude Code Security 正在改變市場對 AI 在安全領域能力邊界的認知。

這不意味著 CrowdStrike、Palo Alto Networks 或 Cloudflare 將會消亡——正如 Google 並未因 ChatGPT 而消亡一樣。但它確實意味著，這些公司必須在一個 AI 原生競爭者已經出現的新格局中重新定義自己的價值主張。那些能夠最快地將前沿 AI 能力整合到自身平台中的公司，將在這場重塑中生存下來；而那些仍然依賴傳統方法論的公司，則可能面臨逐漸邊緣化的命運。

對於整個科技行業而言，Claude Code Security 的故事還有一個更深層的啟示：AI 對傳統軟件行業的顛覆正在從通用辦公場景（SaaSpocalypse）向高度專業化的垂直領域（網絡安全）蔓延。如果連一個需要深厚專業知識和多年經驗積累的領域都無法免疫於 AI 的衝擊，那麼幾乎沒有任何軟件細分市場可以認為自己是安全的。

在這場正在加速展開的變革中，唯一確定的是：變化才剛剛開始。