Als je denkt aan beveiligingstools voor software, denk je waarschijnlijk aan scanners die patronen herkennen. Een lijst met bekende kwetsbaarheden, en de tool checkt of jouw code daar toevallig een van bevat. Handig, maar vrij oppervlakkig.
Claude Code werkt anders. Het gebruikt Opus 4.6 om productiecode te analyseren zoals een menselijke beveiligingsexpert dat zou doen, met data-flow analyse. Dat betekent dat het niet simpelweg zoekt naar bekende patronen, maar daadwerkelijk volgt hoe data door je applicatie stroomt. Waar komt input binnen? Waar wordt het verwerkt? Waar kan het misgaan? Dat is een fundamenteel verschil met traditionele scanners.
Mozilla als testcase
Een van de meest indrukwekkende voorbeelden komt van Mozilla. Claude kreeg twee weken de tijd om de Firefox codebase te scannen. Het resultaat: meer dan 100 bugs gevonden, waarvan 14 als "high severity" werden geclassificeerd. Dit zijn niet de makkelijke bugs die je met een simpele grep ook had kunnen vinden. Dit zijn diep verborgen kwetsbaarheden die menselijke reviewers over het hoofd hadden gezien.
In andere grote projecten zijn honderden van dit soort verborgen bugs naar boven gekomen. Bugs die al maanden of jaren in productiecode zaten zonder dat iemand ze had opgemerkt.
Altijd een mens erbij
Een belangrijk detail: Claude Code past nooit zelfstandig patches toe op je code. Het vindt de kwetsbaarheid, legt uit wat er mis is en hoe je het kunt oplossen, maar de daadwerkelijke wijziging vereist altijd goedkeuring van een mens. Dat is een bewuste keuze. Bij beveiligingspatches wil je niet dat een AI zomaar wijzigingen doorvoert in je productieomgeving.
Dit past ook bij hoe Anthropic omgaat met veiligheid en privacy in het algemeen.
Wanneer is dit relevant voor jou?
Als je een applicatie in productie hebt met een substantiele codebase, is dit het overwegen waard. Zeker als je geen dedicated security team hebt dat regelmatig audits uitvoert. De combinatie van Claude Code met de geavanceerde commando's maakt het mogelijk om in een paar uur een grondige scan te doen waar een menselijk team dagen over zou doen.
Dat vervangt geen security team. Maar het geeft je wel een extra paar ogen dat nooit moe wordt en patronen ziet die mensen missen.