医生们越来越多地使用Claude Code等智能AI工具来构建定制临床应用程序,这标志着医疗系统内部正向医生主导的软件开发模式转变。
这一潜力巨大。但专家警告称,虽然这些工具赋予临床医生更多能力,但也需要新的安全审计和专业工程监督,以降低风险并防范AI生成的漏洞。
安全领导者表示,随着Anthropic最新前沿模型Claude Mythos似乎能够检测系统漏洞,医疗行业必须迅速行动,为AI赋能的网络攻击新纪元做好准备。
医疗团队希望自行构建工具
在Anthropic于周四举办的网络研讨会上,使用Claude Code构建定制患者护理和工作流程工具的医生们展示了他们的成果并讨论了这些话题。
急诊医学医生、临床决策工具MDCalc和财务工具Offcall的联合创始人Graham Walker博士表示:"医疗系统、电子健康记录开发商和其他相关方将很快不得不提出这个问题:'为什么我们不让医生们来构建这些工具?'"
Claude Code是一个智能编码助手,能够读取代码库、编辑文件、运行命令并与开发工具集成。据Anthropic称,它可以帮助医疗团队构建功能、修复错误并自动化开发任务,因为它理解代码库并能在多个文件和工具间工作。
Walker博士和介入心脏病学专家、AI开发者、今年早些时候Anthropic黑客马拉松比赛第三名获得者Michał Nedoszytko博士展示了如何使用这款智能编码程序(依赖于公司Opus 4.7和Sonnet 4.6 AI模型)在没有深厚编码背景的情况下开始构建临床应用程序。
Nedoszytko表示,在数据和插件访问困难的行业中,当医生主导技术开发时,变革将会发生。
"如果电子健康记录(EHR)是个问题,或许可以自己创建一个,"他说。
AI编码平台的隐私顾虑
医生们承认,虽然Claude可以设置VPN并在公共服务器上分发工具,但这可能在HIPAA、欧洲《通用数据保护条例》(GDPR)和其他管理AI的规则下引发隐私问题。
Nedoszytko指出,尽管他在黑客马拉松中获奖的患者就诊后工具从一开始就是基于Claude构建并符合HIPAA路径,但使用Claude Code构建工具的医生仍需要工程师来提供可用于生产的代码。
"在自己的电脑上创建某样东西是一回事,但使用患者实时数据实际运行又是另一回事,特别是在机构内部,"他说。
"这始终需要通过你的团队来运行,"Nedoszytko博士强调。
Anthropic的Claude Code团队开发者Daisy Hollman指出,他们正在开发超越当前HIPAA审计功能的监管插件。
Walker表示,目前使用HIPAA合规性审计审查功能最终可以使合规审计更快、成本更低。
据该公司称,Anthropic最新发布的命令/ultrareview(在Claude Code v2.1.86及更高版本中可用)可以在医生为其现有工作流程创建的工具中发现安全漏洞。
"在代码投入使用之前,/ultrareview可以帮助发现其中的安全漏洞,"Anthropic发言人在周五回复《医疗IT新闻》的电子邮件中表示。
"这是Claude Code内置代码审查功能的延伸,它会运行多次独立审查,以发现潜在的错误和问题,"他们解释道。"用户还可以自定义审查,重点关注对他们最重要的方面,比如安全性。例如,构建临床工作流程工具的医生可以使用/ultrareview在工具部署前标记安全问题。"
AI编码可能引入安全漏洞
安全专家对Claude和其他AI编码工具可能在其创建内容中引入漏洞表示担忧。
安全公司TrustedSec的CEO Dave Kennedy曾向《福布斯》表示,新手开发人员将无法发现缺陷,"引入严重缺陷"。
这位前NSA分析师在周三发表的文章中称:"这非常令人担忧。"
自Anthropic宣布其最新前沿模型Mythos以来,各行业对安全的担忧日益加剧。
该公司推出了"Project Glasswing",并为包括亚马逊网络服务(AWS)、苹果、博通(Broadcom)、思科(Cisco)、CrowdStrike、谷歌、摩根大通(JPMorganChase)、Linux基金会、微软、英伟达(Nvidia)和Palo Alto Networks在内的40家组织提供Mythos预览访问权限,供其现在用于防御性安全工作。
据报道,其中一些组织已开始测试其防御措施以保护银行系统。
支付公司RS2的CEO Radi El Haj上周通过电子邮件告诉《医疗IT新闻》:"最终,这不仅仅是关于单一模型,而是关于如何发现、理解和管理网络风险的结构性转变。"
"随着AI继续加速洞察和威胁,成功的机构将是那些将网络安全不仅视为一项功能,而是视为韧性和信任核心组成部分的机构。"
时间紧迫:需防范AI威胁
为应对AI的爆炸性增长,云安全联盟(CSA)于4月12日发布了一份白皮书,并表示每个组织现在都应该制定90天的准备计划。
这份名为《"AI漏洞风暴":构建"Mythos就绪"的安全计划》的文件为首席信息安全官(CISO)、安全领导者和董事会利益相关者提供了一系列建议和行动,以更新他们的安全计划。
CSA表示:"AI驱动的漏洞发现和漏洞利用开发已大幅加速。从披露到被利用的时间正在缩短,而安全团队被要求以超出当前运营模式允许的速度做出响应。"
该白皮书有多位贡献作者,包括RSAC首席执行官、前美国网络安全和基础设施安全局(CISA)局长Jen Easterly;前白宫国家网络总监Chris Inglis;前国家安全局(NSA)网络安全总监Rob Joyce;以及谷歌首席信息安全官(CISO)Heather Adkins。一份令人印象深刻的CISO名单被列为评审人员。
该文件包括一个时间线——"基于LLM的进攻能力演变",详细说明了AI如何快速改变网络安全协议。
CSA作者在该时间线中表示,2025年11月14日,Anthropic披露了首个AI协调的间谍活动。去年9月发现的中国国家支持的团体使用Claude Code自主运行了针对约30个全球目标的完整攻击链——"从侦察到数据窃取"。
上个月,Anthropic发布了Claude Code Security,用于扫描代码库并建议修补程序。
CSA推荐了该工具以及一些其他商业和开源工具,但Anthropic网站邀请访问者加入等待列表以获取访问权限。
CSA建议将"智能代理和LLM能力转向您自己的代码和依赖项"作为"Mythos就绪安全计划"的优先行动。
"立即开始,要求代理对任何代码进行安全审查,然后在CI/CD管道内建立全面审计,并通过在开发者的编码代理中直接添加功能来向左移动。所有代码(人工或AI生成的)在合并前都应通过LLM驱动的安全审查。"
该白皮书的贡献作者之一、Luta Security的CEO兼创始人Katie Moussouris长期以来一直建议各种规模的组织确保他们充分了解其所有资产。
她去年告诉《医疗IT新闻》,在AI时代,资产管理对于理解已知和未知漏洞至关重要。
良好的态势"是生存的关键"。
本报道于2026年4月27日更新,以包含Anthropic的评论。
Andrea Fox是《医疗IT新闻》的高级编辑。
电子邮件:[email protected]
《医疗IT新闻》是HIMSS Media出版物。
【全文结束】
