2026-05-08

Snyk 將 Claude 嵌入 AppSec 平台，推出 Evo —— 首個針對提示注入與 MCP 供應鏈攻擊的工具

Snyk 將 Claude 嵌入其 AI 安全平台，推出 Evo —— 首個針對提示注入、MCP 供應鏈攻擊與 agent 工具呼叫的專用 AppSec 工具。

2026 年 5 月 7 日，Snyk 宣布已將 Anthropic 的 Claude 嵌入其 AI 安全平台，驅動程式碼、相依套件、容器、AI 生成產出物的弱點發現、優先排序與開發者可立即套用的修補。旗艦產品 Evo by Snyk 是首個專注於 agent 攻擊面的主流 AppSec 工具。

數字背後的賭注

Snyk 引述：生產環境程式碼有 65–70% 是 AI 生成，其中 近半數含有弱點。傳統 SAST/DAST 工具是為人類撰寫程式碼設計的，缺陷分布可預期；LLM 生成的程式碼引入幻覺式相依、預設不安全的樣板，以及這些工具未訓練過的細微提示注入向量。

Evo 實際做什麼

對開發者而言，三項能力最關鍵：

1. agent 執行期紅隊測試。 Evo 對運行中的 agent 探測提示注入與資料外洩路徑 —— 測試惡意工具描述、毒化文件或精心構造的使用者訊息能否劫持 agent 的工具呼叫。
2. agent 供應鏈掃描。 Evo 盤點你的 agent 所依賴的 MCP 伺服器、資料集、第三方工具，並揭露隱藏能力（例如靜默外洩上下文的 MCP 伺服器，或透過提示操控提權的工具）。
3. 執行期政策強制。 工具呼叫可在執行前被檢查、依組織政策阻擋 —— 例如阻止 agent 將憑證送到非白名單的端點。

為什麼此時推出

過去三週內，MCP 生態系已突破 20 萬個公開伺服器，Claude Code Routines 推出（5/6），Anthropic 的 Managed Agents 也加入 Dreaming 跨工作階段記憶。每一項都新增 90 天前不存在的攻擊面。Snyk 在這一刻推出 Evo —— 正是企業開始對 agentic 部署提合規問題的時刻。

實戰筆記

如果你把 Claude Code 產出送上正式環境，或在受監管環境暴露 MCP 伺服器，「AI 生成」與「AI 掃描過」之間的差距正成為被稽核的合規風險。行動項：即使你不採用 Evo，本週花 30 分鐘記錄你的 agent 呼叫了哪些 MCP 伺服器、它們有哪些工具存取權，以及執行期有哪些政策（如果有的話）控管它們的工具呼叫。這份文件就是你下一次 SOC 2 稽核會要的證據 —— 而光是製作這份盤點，往往就會浮現你沒意識到已暴露的能力。

來源

• Snyk AI Security Platform with Claude — Help Net Security ↗
• Snyk × Claude partnership page ↗
• May 8, 2026 AI updates — SD Times ↗

標籤