Anthropic выпускает Claude Code Security: инструмент ИИ для сканирования кодовых баз и предоставления целевых исправлений уязвимостей

Кратко

Компания Anthropic представила Claude Code Security — систему на базе искусственного интеллекта, которая выявляет сложные уязвимости программного обеспечения и рекомендует исправления, прошедшие человеческую проверку, для усиления защиты кибербезопасности.

Компания Anthropic, занимающаяся безопасностью и исследованиями в области ИИ, объявила о выпуске Claude Code Security — новой функции, встроенной в Claude Code в интернете, которая сейчас доступна в ограниченной исследовательской версии. Инструмент предназначен для сканирования кодовых баз программного обеспечения на наличие уязвимостей и предложения целевых исправлений для человеческой проверки, чтобы помочь командам выявлять проблемы, которые часто остаются незамеченными традиционными методами.

Команды безопасности продолжают сталкиваться с растущим разрывом между количеством уязвимостей программного обеспечения и числом специалистов, способных их устранить. Традиционные инструменты статического анализа обычно используют правило‑основанное сопоставление шаблонов, которое может обнаруживать распространённые проблемы, но часто не выявляет сложные, зависящие от контекста дефекты. Эти слабости часто требуют участия экспертов‑исследователей, которые уже сталкиваются с увеличивающимися очередями задач.

Anthropic сообщает, что недавние внутренние тесты показали, что Claude способен выявлять новые уязвимости высокой степени серьезности. Компания признает, что такие возможности могут использовать как защитники, так и злоумышленники, и заявляет, что Claude Code Security предназначен для обеспечения использования этих инструментов в поддержку оборонных мер. Предварительный доступ предоставляется клиентам Enterprise и Team, а для участников с открытым исходным кодом — ускоренный доступ.

Claude Code Security использует поведенческое рассуждение для обнаружения сложных уязвимостей программного обеспечения

Claude Code Security анализирует код, основываясь на рассуждениях о поведении программы, а не на поиске заранее определённых шаблонов. Он исследует взаимодействие компонентов, отслеживает потоки данных и выделяет уязвимости, которые могут пропустить инструменты на основе правил. Каждое обнаружение проходит многоэтапную проверку, в ходе которой Claude пытается подтвердить или опровергнуть свою оценку, что снижает количество ложных срабатываний. Результаты получают оценки степени серьезности и отображаются на панели, где аналитики могут просматривать находки, изучать предложенные исправления и утверждать их. Система предоставляет оценки уверенности для каждой проблемы, и изменения не вносятся без разрешения человека.

Новая возможность основана на более чем годовых исследованиях эффективности Claude в области кибербезопасности. Команда Frontier Red Team Anthropic тестировала модель в соревновательных средах Capture-the-Flag, сотрудничала с Национальной лабораторией Тихоокеанского Северо‑Запада по вопросам ИИ‑поддерживаемой защиты критической инфраструктуры и совершенствовала способность Claude обнаруживать и исправлять реальные уязвимости. Используя Claude Opus 4.6, выпущенный в начале этого месяца, команда выявила более 500 уязвимостей в производственных кодовых базах с открытым исходным кодом, включая проблемы, оставшиеся незамеченными десятилетиями. Anthropic сообщает, что в настоящее время работает с мейнтейнерами над триажем и ответственным раскрытием информации.

Компания описывает этот период как переломный момент в области кибербезопасности, ожидая, что большая часть глобального кода вскоре будет сканироваться системами ИИ. В то время как злоумышленники, по прогнозам, будут использовать ИИ для ускорения обнаружения уязвимостей, Anthropic утверждает, что защитники, применяющие аналогичные инструменты, смогут выявлять и устранять слабые места до их эксплуатации. Claude Code Security позиционируется как часть более широкой инициативы по повышению стандартов безопасности в отрасли.