「Claude Codeに全部やらせる時代が来た」のか検証してみた

はじめに こんにちは。セキュリティエンジニアの@okazu_dmです。 この記事は、最近リリースされたLLMベースのセキュリティスキャンツールとしてclaude-security-scan を使ってみた所感の記事です。 先週、以下の記事を見つけました。 検出率100%という結果が紹介されており、Claude Codeに全部やらせる時代が来た、というタイトルから「楽な時代が来たな」と思ったのですが、実際のところどの程度やらせることができるのかを検証するため、より網羅的に脆弱性が仕込まれている OWASP Juice Shop で再評価してみました。本記事ではその結果と、LLMベースのセキュリティスキャンツールに対する考察をまとめます。 なお、claude-security-scan はClaude Codeのslash commandとして実装されており、ソースコード解析と依存関係チェックを

[hiroshe]

どちらかというと人間の指示の曖昧さ、与える情報の不十分さが明らかになってる気がする

[uhavetwocows]

単なる「使ってみた」系記事ですが、LLMの現状のポテンシャルのスナップショットとして。

[igrep]

"典型的な脆弱性ルールに当てはまらず、観点としてあらかじめ与えられていないパターンは見落とす"

[richmikan]

記事の結論：到底「全部やらせる時代が来た」とは言えない状況

[kurage_lizard]

Claude Codeは何でも知ってるパソコンの先生的に使っても良い。文字化けしちゃったー！とかこのファイル開かないー！とかしょーもないトラブルでもやれやれと言いながら優しく対応してくれるので

[moronbee]

"まとめ: 実用的ではあるが、限定的な利用を推奨"

[lets_skeptic]

いい検証だ。今後、このベンチマークに過剰適応する可能性はあると思いつつ。

[takataka2026]

実際にクロードコードは作業革命

[TakayukiN627]

Juice Shop は教育目的で約 100 のチャレンジが OWASP Top 10 全般にわたって意図的に仕込まれており、ビジネスロジック、ステガノグラフィ、暗号解析、Race Condition のように「LLMラッパーでは原理的に取りにくい」ものも含まれて

[rgfx]

"OWASP Juice Shop(ビジネスロジック、ステガノグラフィ、暗号解析、Race Condition のようにLLMラッパーでは原理的に取りにくい物を含む) で再現した範囲では脆弱性クラス単位で 60〜70%、チャレンジ単位では 11% 程度に留まり"

[peppers_white]

人間が文を書かないといけないのって結局人間のケアレスミスには対処できないのよね、LLMはプロンプトはエンジンとして使ってツール・GUIによる自動化・工程の視覚化する方向がなかなか進化しないなあって思う

[k3akinori]

何に使うにせよ、自分で試しにやってみてその癖やどこまで信用できるかを把握するのが最適解よね。

[hry64]

ありがたい検証

[yoiIT]

少なくとも人間に丸投げするよりも精度は高いのだから、使わない選択肢はない。

[shinobue679fbea]

集え！Clineに全部賭けた人たち！

[shoh8]

いま時点（2026/04）のやってみた

[solidstatesociety]

Claudeはバカ喰い

[nguyen-oi]

検出率100%は流石に盛りすぎだったか。LLMに丸投げできる日はまだ遠そうだな