核心结论
Anthropic 在本周内完成了两项重要更新:Claude Security API 向公众开放,以及 Claude Code 云端版新增任务分类与看板模式。这两项更新标志着 Anthropic 正将安全能力从内部工具转化为可被广泛集成的平台服务。
与此同时,Cursor 在 Anthropic 发布安全审查功能仅 2 小时后,就推出了竞争性的 AI Agent Harness。AI 编程安全赛道的竞争正在加速。
Claude Security API 开放
此前 Claude Security 主要是 Anthropic 内部或小范围合作伙伴使用的安全审查工具。本次开放意味着:
- 第三方集成:开发者可以将 Claude 的安全审查能力嵌入自己的 CI/CD 流水线、IDE 或代码托管平台
- 规模化部署:企业可以将安全审查自动化,不再依赖人工 code review
- 成本透明:API 化意味着按调用量计费,中小企业也能负担
安全审查能力范围
| 审查维度 | 说明 |
|---|---|
| 漏洞检测 | 自动识别常见安全漏洞(SQL 注入、XSS、凭证泄露等) |
| 依赖安全 | 检查第三方库的已知漏洞和许可证风险 |
| 代码模式 | 识别不安全的设计模式和反模式 |
| 修复建议 | 为每个发现问题提供具体修复方案 |
Claude Code 云端版:看板模式雏形
Claude Code 云端版开始将任务自动分类为以下状态:
| 状态 | 含义 |
|---|---|
| 需要关注 | 任务执行遇到障碍,需要人工介入 |
| 等待 Review | 任务完成,等待用户确认 |
| 进行中 | 任务正在执行 |
| 已完成 | 任务成功完成 |
| 出错 | 任务执行失败,需要排查 |
这明显是在为后续的看板模式打基础。从社区反馈来看,Claude Code 的设计灵感部分来自 Multica 等开源项目的任务管理经验。
为什么看板模式重要
对于同时运行多个 Claude Code 任务的团队:
- 可视化管理:一眼看出哪些 Agent 在跑、哪些卡住了
- 优先级调整:可以暂停低优先级任务,让高优先级任务先跑
- 错误快速定位:出错的 Agent 会高亮显示,无需翻看日志
竞品对比:Anthropic vs Cursor
| 维度 | Claude Security(Anthropic) | AI Agent Harness(Cursor) |
|---|---|---|
| 审查模型 | Claude 系列 | 自定义安全模型 |
| 运行方式 | 云端 API | 本地或云端 |
| 模型灵活性 | 仅 Claude | 支持任意模型 |
| PR 审查 | ✅ 自动审查每个 PR | ✅ 自动审查 + Slack 推送 |
| 定时扫描 | 待确认 | ✅ 定时扫描 + 结果推送 |
| 开源 | ❌ | ✅ Harness 框架开源 |
| 与 IDE 集成 | Claude Code | Cursor IDE 原生 |
值得注意的是,Cursor 在 Anthropic 发布安全审查功能仅 2 小时后就推出了自己的竞争性产品,且声称”拥有更多功能”。这种快速响应表明,AI 编程安全正在成为 2026 年最激烈的竞争赛道之一。
行业趋势:从”人工审查”到”AI 持续监控”
过去,代码安全审查是 PR 流程中的一个手动环节。现在:
- Anthropic:Claude Security 在 Agent 执行任务过程中实时检测安全问题
- Cursor:Always-on 安全 Agent 持续扫描整个代码库,发现问题后推送到 Slack
- GitHub:Dependabot + CodeQL 提供基础的依赖和静态分析
未来 6-12 个月,我们预计会看到:
- 安全审查成为 AI 编程工具的标配功能
- 安全 Agent 与开发 Agent 并行运行,形成”开发-审查-修复”的闭环
- 安全能力的开放 API 化,允许企业集成到已有的安全流程中
行动建议
- Anthropic 用户:关注 Claude Security API 的开放时间和定价,评估是否值得将现有安全审查流程迁移到 API。
- Cursor 用户:AI Agent Harness 已开源,可以在本地试用其安全扫描能力。
- 团队管理者:如果团队每天产生大量 PR,考虑引入自动安全审查 Agent,减少人工 review 的负担。
- 安全团队:Claude Security API 的开放意味着可以将 AI 安全审查集成到现有的安全运营中心(SOC)流程中。
- 观望者:这一赛道正在快速演进,建议先试用开源方案(Cursor Harness),再评估是否需要付费商业方案。