A Anthropic colocou o Claude Security em beta pública pra clientes Enterprise — antes chamado Claude Code Security, agora generalizado. O produto roda em Opus 4.7 (o mesmo modelo por trás do Claude Code) e faz análise estática agêntica em codebases de clientes: traça fluxos de dados, examina como componentes interagem através de arquivos e módulos, lê o source diretamente, e gera instruções de patch pra revisão humana. Vive na sidebar do Claude.ai em claude.ai/security, ativável via console de admin; integrações webhook com Slack e Jira disponíveis, mais export CSV/Markdown pra pipelines de auditoria. Espera-se que planos Team e Max sigam.
A escolha arquitetural que importa é *análise dirigida por modelo* versus análise dirigida por padrões. Snyk, Semgrep, GitHub Advanced Security todos funcionam principalmente mantendo bibliotecas de regras curadas — padrões CWE, usos de API conhecidos como problemáticos, dependências matcheadas a CVE — e matcheando código contra elas. São rápidos, determinísticos, e bem adaptados pra vulnerabilidades que aparecem como formas de código reconhecíveis. A abordagem do Claude Security é ler o código com um modelo de raciocínio fronteira e raciocinar sobre ele, o que tem o tradeoff oposto: provavelmente melhor em bugs lógicos, defeitos de lógica de negócio, e problemas de fluxo de dados multi-arquivo que não cabem numa regra estática; provavelmente pior em completude de cobertura pra padrões conhecidos. Isso é mudança arquitetural real, não um wrapper sobre um scanner existente.
Aqui está a peça que carrega o peso e está faltando: não há dados de eval públicos. Sem lista de linguagens suportadas divulgada. Sem taxa de falsos positivos. Sem precisão/recall num benchmark padrão. Sem run de comparação contra Snyk ou Semgrep no mesmo codebase. Sem preço. O anúncio se lê como "construímos isso; confiem em nós, avaliem no código de vocês" — o que tá ok pra beta pública, mas significa que devs avaliando isso contra suas ferramentas existentes têm que fazer seu próprio trabalho de medição. O sinal ecossistêmico honesto é que produtos verticais de labs fronteira estão vindo online (este; Codex da OpenAI; Big Sleep do Google; vários plays enterprise Cursor/Anthropic/OpenAI). O lab-como-vendor-de-produto competindo diretamente com a camada aplicacional que antes só alimentava é um movimento ecossistêmico real que vale acompanhar, independente de qual produto específico ganhe.
Se você está no Claude Enterprise, ative, rode contra um codebase que conhece bem, e veja o que ele acha e o que escapa contra seu stack de scanner existente. A disciplina de eval é sua — claims de "scanner IA de vulnerabilidades" têm idade suficiente pra você ser cético até ter medido. Preste atenção à sobreposição com resultados Snyk/Semgrep: onde o modelo acha algo que os padrões perdem, isso é sinal; onde os padrões pegam algo que o modelo perde, essa é a limitação da análise dirigida por modelo nessa geração. A ausência notável de integração GitHub PR ou CLI vale a pena flagrar — a maioria do tooling de segurança em produção vive em revisão de PR, e isso atualmente vive no claude.ai. É uma escolha de produto interessante, provavelmente temporária.