軟體類股大幅修正的原因？看Anthropic 如何用 AI 攻略 COBOL 與資安堡壘

2026/02/25 更新2026/02/25 發佈閱讀 10 分鐘

投資理財內容聲明

隨著 Anthropic 陸續發布了針對軟體領域的技術解決方案：打破 COBOL 現代化成本壁壘的解決方案，以及具備人類推理能力的 Claude Code Security 企業資安防禦架構。資本市場因為「AI 將取代軟體」的恐懼而大舉撤出，數千億美元的市值在恐慌中蒸發，包含微軟、ServiceNow、Adobe 等 SaaS 巨頭的股價都出現了 20% 到 30% 不等的深度修正。許多投資人擔憂，隨著AI Agents以及Vibe coding的技術日趨成熟，企業將不再需要為龐大的軟體「帳號席次」付費，傳統 SaaS 的商業模式將面臨根本性的毀滅。

但 AI 真的是來消滅軟體產業的嗎？軟體股大跌的表象下，企業 IT 真正的護城河與未來價值究竟在哪裡？

Making frontier cybersecurity capabilities available to defenders

AI 如何顛覆企業技術債與資安防禦的傳統認知？

在理解細節之前，我們先快速掌握這兩項技術解決方案發布的價值。在當今的企業 IT 環境中，有兩座難以跨越的高牆。第一座高牆是「遺留程式碼 (Legacy Code)」，特別是支撐全球金融體系卻古老且無人維護的 COBOL 系統；第二座高牆則是「防不勝防的軟體漏洞」，傳統靜態掃描工具已無法應付複雜的業務邏輯錯誤，而資安專家的人力卻極度匱乏。

Anthropic 透過導入具備強大上下文推理能力的 Claude 模型，針對這兩大技術提出了自動化解方：

COBOL 現代化：透過 Claude Code 自動探索並梳理龐大且缺乏文件的 COBOL 程式碼，將原本需要龐大顧問團隊耗時數年的工作，縮短至幾個月內完成，改變重構舊系統的經濟成本。
Claude Code Security：這是一個專為企業與團隊打造的 AI 資安工具，能夠像人類資安研究員一樣閱讀程式碼，精準抓出傳統靜態分析工具無法發現的深層邏輯漏洞，並提出修補建議。

打破 COBOL 現代化的成本高牆

要理解 Anthropic 這次針對 COBOL 提出的解決方案有多重要，我們必須先了解 COBOL 在現代社會中扮演的角色。COBOL 是一種極度古老的程式語言，但它至今仍處理著全美國高達 95% 的 ATM 交易，默默支撐著全球金融、航空與政府的關鍵基礎設施。

面臨斷層的危機與傳統解法的失效

這個龐大系統正面臨一個殘酷的現實：當年寫出這些程式碼的工程師多半早已退休。幾十年來，程式碼被反覆修改，但相關的文件紀錄卻遠遠沒有跟上。現代大學鮮少教授 COBOL，導致市場上能看懂這些歷史包袱的人才越來越稀缺。

過去，企業若想將 COBOL 現代化，面臨的問題與一般的「程式碼重構」完全不同。這是一場艱鉅的逆向工程，需要釐清深埋在程式碼中的商業邏輯。傳統的做法是聘請龐大的顧問團隊，耗費數年的時間來繪製工作流程圖，這帶來了極長的時間線與難以承受的高昂成本。企業往往因為「理解舊程式碼的成本遠高於重新編寫的成本」，最終選擇放棄，任由技術債持續累積。

Claude Code 的四階段自動化破局策略

Anthropic 指出，AI 徹底翻轉了這個經濟學方程式。透過 Claude Code，企業可以將最耗時的「探索」與「分析」階段全面自動化。具體流程分為四個階段：

自動探索與發現：AI 會完整讀取整個 COBOL 程式碼庫並繪製結構圖。它能追蹤子程式的執行路徑，並畫出跨越數百個檔案的資料流。最關鍵的是，AI 能找出靜態分析工具抓不到的隱性依賴 (Implicit dependencies)，例如透過檔案操作、資料庫或全域狀態共享的資料結構。同時，AI 能根據資料從輸入到輸出的流向，自動生成無人記得但所有人都依賴的處理流程文件。
風險分析與機會映射：在完成地圖繪製後，AI 會評估哪些組件可以安全移動。高度耦合的模組會被標記為高風險，而孤立的組件則可作為早期獨立現代化的候選目標，累積的技術債也能被明確記錄。
專家監督下的策略規劃：這是人類判斷力介入的關鍵點。企業內部的工程師具備 AI 缺乏的合規要求、商業優先級別與營運限制等領域知識，AI 根據風險與複雜度提出優先順序建議，人類團隊則據此制定詳細的藍圖與測試驗證標準。
漸進式實作與持續驗證：遷移工作採取逐步推進的方式。AI 負責將 COBOL 邏輯翻譯成現代語言，並在舊組件外圍建立 API 封裝 (API wrappers)，讓新舊程式碼在過渡期間能夠並行運作，這種作法確保了每一次小規模的變更都能被驗證，避免了牽一髮動全身的巨大災難。

Claude Code Security 重新定義企業防禦

Anthropic 除了處理龐大的老舊技術債，同時將目光瞄準了另一個嚴峻的挑戰：企業資安防線。隨著軟體複雜度提升，資安團隊面臨著漏洞數量暴增與人力嚴重不足的雙重夾擊。

傳統靜態分析工具的盲區

傳統被廣泛使用的自動化安全測試，多半屬於靜態分析 (Static analysis)。這類工具的核心邏輯是「基於規則 (Rule-based)」，也就是將程式碼與已知的漏洞模式進行比對。這種方式雖然能快速抓出密碼明文外洩或加密演算法過時等常見問題，但卻經常漏掉更致命的複雜漏洞，例如業務邏輯缺陷或是存取控制權限損壞。要找出這類隱蔽性極高的漏洞，通常需要高度專業的人類專家去理解上下文，但人類專家的時間早已被積壓的工作待辦清單所淹沒。

賦予 AI 人類等級的推理與驗證能力

為了解決這個困境，Anthropic 推出了 Claude Code Security。這項工具的核心差異在於，它不再掃描已知的模式，而是以類似人類專家的方式「閱讀與推理」程式碼。它能理解不同組件之間的互動關係，追蹤資料在應用程式中的移動軌跡。

為了解決 AI 經常被詬病的「誤報 (False positives)」問題，Claude Code Security 導入了嚴格的「多階段驗證機制」。每一項潛在發現都必須經過 Claude 的反覆自我檢驗，AI 會嘗試去證明或推翻自己的發現。驗證通過的問題會被賦予嚴重程度評級與信心指數，並顯示在儀表板上供團隊審查。最重要的是，Anthropic 強調這套系統絕對需要人類批准，AI 僅負責識別問題與提出修補建議，最終的決定權永遠在開發者手上。

震撼業界的實戰成果

這套系統並非紙上談兵。Anthropic 透過自家的紅隊進行了長達一年以上的壓力測試，包含參與競爭激烈的搶旗比賽 (CTF)，以及與太平洋西北國家實驗室合作防禦關鍵基礎設施。在本月稍早釋出的 Claude Opus 4.6 模型支持下，該團隊在生產環境的開源程式碼庫中，成功找出了超過 500 個潛伏數十年、歷經無數專家審查卻從未被發現的漏洞。

TN科技筆記的觀點

「SaaS 末日」是市場的短視，技術債的「通縮效應」才是企業的長期紅利。近期軟體股的暴跌建立在一個假設上：如果 AI 代理可以幫企業自動完成工作，甚至能用Vibe coding，那企業就不需要買那麼多 SaaS 軟體的帳號席次了。這個觀點只看到了 AI 帶來的「需求端替代」，卻完全忽略了 AI 對於「供給端成本」的通縮力量。從 Anthropic 解決COBOL這個案例中，我們可以清楚看到，世界上有太多企業被深埋在技術債的泥沼中動彈不得。維護舊系統的成本，往往佔據了企業 IT 預算的一大半。AI 真正的企業級殺手應用，並非單純去取代一個 SaaS 工具，而是去解開那些「過去連砸錢都無法解決」的歷史包袱。當 AI 能夠大幅降低理解舊程式碼與維持系統安全的成本時，能夠善用 AI 降低營運成本、提供基礎設施升級服務的軟體公司的利潤率也會迎來提升。

Anthropic 也提到，同樣的 AI 能力可以幫助防禦者，也能被攻擊者利用。如果 Claude Opus 4.6 可以在短時間內找出開源專案中的 500 個漏洞，這意味著一旦類似能力的模型被惡意行為者掌握，他們也能迅速掃描全球企業暴露在外的系統，發動零日攻擊 (Zero-day attacks)。雖然 Claude Code Security 提供了修補建議，並強調必須由「人類批准」，但我們必須反思：企業內部真的有足夠的資安專家，能夠在短時間內審查並理解這幾百個由 AI 找出的複雜邏輯漏洞嗎？當 AI 發現問題的速度呈現指數級別成長時，人類審查量能將成為最大瓶頸。