Anthropic Ra mắt Claude Code Security: Công cụ AI quét mã nguồn và cung cấp các bản vá lỗ hổng mục tiêu

Tóm tắt

Anthropic đã giới thiệu Claude Code Security, một hệ thống dựa trên trí tuệ nhân tạo giúp phát hiện các lỗ hổng phần mềm phức tạp và đề xuất các sửa chữa được xem xét bởi con người để tăng cường an ninh mạng phòng thủ.

Công ty nghiên cứu và an toàn AI Anthropic thông báo đã phát hành Claude Code Security, một khả năng mới tích hợp trong Claude Code trên web, hiện có sẵn trong bản xem trước nghiên cứu giới hạn. Công cụ này được thiết kế để quét các mã nguồn phần mềm nhằm phát hiện các lỗ hổng bảo mật và đề xuất các bản vá nhắm mục tiêu để con người xem xét, nhằm giúp các nhóm phát hiện các vấn đề mà các phương pháp truyền thống thường bỏ sót.

Các nhóm an ninh vẫn đang đối mặt với khoảng cách ngày càng lớn giữa số lượng lỗ hổng phần mềm và số lượng chuyên gia có thể xử lý chúng. Các công cụ phân tích tĩnh truyền thống thường dựa vào việc so khớp mẫu dựa trên quy tắc, có thể phát hiện các vấn đề phổ biến nhưng thường không thể phát hiện ra các lỗi phức tạp, phụ thuộc vào ngữ cảnh. Những điểm yếu này thường cần đến các nhà nghiên cứu có chuyên môn cao, những người đã phải đối mặt với khối lượng công việc ngày càng tăng.

Anthropic cho biết các thử nghiệm nội bộ gần đây đã cho thấy Claude có khả năng xác định các lỗ hổng mới, mức độ nghiêm trọng cao. Công ty thừa nhận rằng các khả năng này có thể được sử dụng bởi cả phòng thủ và tấn công, và nói rằng Claude Code Security nhằm đảm bảo các công cụ này được triển khai để hỗ trợ các nỗ lực phòng thủ. Phiên bản xem trước này đang được cung cấp cho khách hàng Doanh nghiệp và Nhóm, với quyền truy cập tăng tốc cho các nhà duy trì mã nguồn mở.

Claude Code Security Sử dụng Lý luận Hành vi để Phát hiện Các Lỗ hổng Phần mềm Phức tạp

Claude Code Security phân tích mã bằng cách suy luận về hành vi của chương trình thay vì tìm kiếm các mẫu đã định sẵn. Nó xem xét cách các thành phần tương tác, theo dõi luồng dữ liệu và làm nổi bật các lỗ hổng mà các công cụ dựa trên quy tắc có thể bỏ qua. Mỗi phát hiện đều trải qua quá trình xác minh nhiều giai đoạn, trong đó Claude cố gắng xác nhận hoặc bác bỏ đánh giá của chính nó, giảm thiểu các kết quả dương tính giả. Kết quả được gán mức độ nghiêm trọng và trình bày qua bảng điều khiển để các nhà phân tích có thể xem xét các phát hiện, kiểm tra các bản vá đề xuất và phê duyệt các sửa chữa. Hệ thống cung cấp đánh giá mức độ tin cậy cho từng vấn đề, và không có thay đổi nào được thực hiện mà không có sự chấp thuận của con người.

Khả năng mới này dựa trên hơn một năm nghiên cứu về hiệu suất an ninh mạng của Claude. Đội ngũ Red Team của Anthropic đã thử nghiệm mô hình trong các môi trường Capture-the-Flag cạnh tranh, hợp tác với Phòng thí nghiệm Quốc gia Pacific Northwest về phòng thủ dựa trên AI cho hạ tầng quan trọng, và tinh chỉnh khả năng của Claude trong việc phát hiện và vá các lỗ hổng thực tế. Sử dụng Claude Opus 4.6, được phát hành đầu tháng này, nhóm đã xác định hơn 500 lỗ hổng trong các mã nguồn mở đang hoạt động, bao gồm cả những vấn đề đã tồn tại hàng thập kỷ mà chưa được phát hiện. Anthropic cho biết hiện đang làm việc với các nhà duy trì để phân loại và tiết lộ có trách nhiệm.

Công ty mô tả giai đoạn này là một bước ngoặt quan trọng trong an ninh mạng, dự đoán rằng một phần lớn mã nguồn toàn cầu sẽ sớm được quét bởi các hệ thống AI. Trong khi các kẻ tấn công dự kiến sẽ sử dụng AI để tăng tốc quá trình phát hiện lỗ hổng, Anthropic lập luận rằng các nhà phòng thủ khi áp dụng các công cụ tương tự có thể xác định và vá các điểm yếu trước khi chúng bị khai thác. Claude Code Security được xem là một phần của nỗ lực rộng lớn hơn nhằm nâng cao tiêu chuẩn an ninh trong ngành.