Anthropics neues KI-Sicherheitstool lässt Cybersecurity-Aktien abstürzen

Anthropic stellt mit Claude Code Security ein Tool vor, das Sicherheitslücken in Code aufspüren soll, die herkömmliche Scanner übersehen. An der Börse löste die Ankündigung einen Ausverkauf bei Cybersecurity-Aktien aus.

Anthropic hat mit Claude Code Security eine neue Funktion vorgestellt, die direkt in Claude Code auf der Weboberfläche integriert ist. Das Tool durchsucht Codebasen nach Sicherheitslücken und schlägt gezielte Software-Patches vor, die von Menschen geprüft werden müssen

Es steht zunächst als eingeschränkte Forschungsvorschau für Enterprise- und Team-Kunden bereit. Maintainer von Open-Source-Projekten können laut Anthropic kostenlosen und beschleunigten Zugang beantragen.

Claude soll Code verstehen statt nur Muster abgleichen

Bestehende Analysetools arbeiten regelbasiert: Sie gleichen Code mit bekannten Schwachstellenmustern ab. Das erfasst gängige Probleme wie offengelegte Passwörter oder veraltete Verschlüsselung, übersieht aber laut Anthropic komplexere Schwachstellen wie Fehler in der Geschäftslogik oder fehlerhafte Zugriffskontrollen.

Claude Code Security verfolgt laut Anthropic einen grundlegend anderen Ansatz als herkömmliche statische Analyse. Statt bekannte Muster zu suchen, soll das Tool Code lesen und darüber nachdenken, wie es ein menschlicher Sicherheitsforscher tun würde: Es soll verstehen, wie Komponenten interagieren, nachverfolgen, wie Daten durch eine Anwendung fließen, und dabei komplexe Schwachstellen erkennen, die regelbasierte Werkzeuge übersehen.

Jedes Ergebnis durchläuft einen mehrstufigen Verifizierungsprozess, bevor es einen Analysten erreicht. Claude überprüft dabei seine eigenen Befunde erneut und versucht, sie zu bestätigen oder zu widerlegen, um Fehlalarme herauszufiltern. Die Ergebnisse erhalten sowohl eine Schweregradbewertung als auch eine Konfidenzeinschätzung, damit Teams die kritischsten Probleme priorisieren können.

Validierte Befunde erscheinen in einem Dashboard, wo Teams sie prüfen, die vorgeschlagenen Patches inspizieren und Korrekturen freigeben können. Ohne menschliche Zustimmung wird nichts angewendet, betont Anthropic. Claude Code Security identifiziere Probleme und schlage Lösungen vor, die Entscheidung treffe aber immer der Entwickler.

Über 500 Schwachstellen in Produktivcode gefunden

Die Funktion baut laut Anthropic auf mehr als einem Jahr Forschung zu Claudes Cybersecurity-Fähigkeiten auf. Das hauseigene Frontier Red Team habe diese Fähigkeiten systematisch getestet: unter anderem durch die Teilnahme an Capture-the-Flag-Wettbewerben, eine Partnerschaft mit dem Pacific Northwest National Laboratory zur Verteidigung kritischer Infrastruktur und die Weiterentwicklung von Claudes Fähigkeit, reale Schwachstellen in Code zu finden und zu patchen.

Mit Claude Opus 4.6, das Anfang des Monats veröffentlicht wurde, habe das Anthropic-Team nach eigenen Angaben über 500 Schwachstellen in produktiven Open-Source-Codebasen gefunden. Dabei handele es sich um Fehler, die trotz jahrelanger Expertenprüfung jahrzehntelang unentdeckt geblieben seien. Die Triage und verantwortungsvolle Offenlegung gegenüber den Maintainern laufe derzeit.

Das Unternehmen erwartet, dass in naher Zukunft ein erheblicher Anteil des weltweiten Codes von KI gescannt wird, da Modelle immer besser darin würden, lang verborgene Fehler und Sicherheitsprobleme zu finden. Gleichzeitig würden auch Angreifer KI einsetzen, um ausnutzbare Schwachstellen schneller als je zuvor zu finden.

Cybersecurity-Aktien reagierten mit deutlichen Kursverlusten

Anthropics Ankündigung wirkte sich unmittelbar auf den US-Aktienmarkt aus. Laut Bloomberg fielen die Aktien von Cybersecurity-Unternehmen am Tag der Veröffentlichung deutlich: CrowdStrike verlor 8 Prozent, Cloudflare 8,1 Prozent, Okta 9,2 Prozent und SailPoint 9,4 Prozent. Der Global X Cybersecurity ETF sank um 4,9 Prozent auf den tiefsten Stand seit November 2023.

Der Cybersecurity-Kursrutsch reiht sich in einen breiteren Trend ein. Schon zuvor hatte Anthropics Ankündigung von speziellen Nischen-Plugins für Cowork, etwa für rechtliche Recherche, Software-Aktien abschmieren lassen. Investoren befürchten, dass neue KI-Tools es Nutzern ermöglichen, eigene Anwendungen zu erstellen, was die Nachfrage nach etablierten Softwareprodukten schmälern und Wachstum, Margen sowie Preissetzungsmacht der Anbieter unter Druck setzen könnte.

Dass nun jedes Unternehmen seine Sicherheitssoftware oder andere komplexe Anwendungen selbst entwickelt, ist allerdings wenig plausibel. Das Ergebnis wäre eine extreme Fragmentierung: Tausende Eigenentwicklungen, die jeweils gewartet, abgesichert und aktualisiert werden müssten, ohne die Skaleneffekte, die etablierte Anbieter bieten.

Realistischer ist, dass KI-Tools die Produktionskosten für Software so weit senken, dass Nischenanwendungen entstehen, die sich bisher nicht gelohnt haben. Unternehmen lösen spezifische Probleme schneller mit maßgeschneiderten Tools, greifen für alles andere aber weiterhin auf bewährte Produkte zurück, die ebenfalls neue KI-Funktionen integrieren.

Denn die operativen Betriebskosten von Software verschwinden nicht, nur weil ihre Erstellung billiger wird. Wartung, Updates, Compliance, Support und Integration in bestehende Systeme machen in vielen Unternehmen den Großteil der IT-Ausgaben aus. Wer eine Anwendung per KI in Stunden zusammenbaut, muss sie danach trotzdem betreiben und pflegen. Die Börsenreaktion preist primär sinkende Produktionskosten ein, blendet diese operative Realität aber weitgehend aus.