Anthropics neues Claude-Sicherheitstool scannt Ihren Code auf Schwachstellen und entscheidet, welche es zuerst in Panik versetzen

Anthropic hat Claude Security angekündigt, ein neues defensives Cybersicherheitsprodukt, das derzeit in der öffentlichen Beta für Enterprise-Tier-Claude-Nutzer verfügbar ist, mit Verfügbarkeit „demnächst“ für Claude Team- und Max-Tier-Nutzer. Das Tool ermöglicht es Sicherheitsteams, „Codebasen auf Schwachstellen zu scannen und gezielte Patches zu generieren“, unter Verwendung des Claude Opus 4.7-Modells.

Anfang dieses Monats stellte Anthropic Project Glasswing vor, ein KI-Manhattan-Projekt zur Identifizierung von Schwachstellen in der weltweiten Infrastruktur von Open-Source-Software. Glasswing verwendet ein Anthropic-Modell namens Mythos, ein Modell, das als so gefährlich eingestuft wird, dass es nicht der Öffentlichkeit zugänglich gemacht wird. Es wird mit Glasswing-Teilnehmern geteilt, darunter ehemalige Konkurrenten wie Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, die Linux Foundation, Microsoft, Nvidia und Palo Alto Networks.

Im Kern von Project Glasswing und Claude Security steht das Scannen auf Schwachstellen. Die meisten Cyberangriffe beginnen damit, dass ein feindlicher Akteur eine Schwachstelle ausnutzt. Wenn Verteidiger die Schwachstellen finden und patchen können, hat der böswillige Täter eine kleinere Angriffsfläche. Erinnern Sie sich an Star Wars? Die gesamte Handlung von Eine neue Hoffnung dreht sich um die Todessternpläne, die Prinzessin Leia in R2-D2 speichert. Sobald die Rebellen diese Pläne haben, können sie eine Schwachstelle finden. Alles, was Luke und die anderen Piloten tun müssen, ist, einen Torpedo in einen Abluftschacht des Todessterns zu feuern, und ... Bumm! Das, meine Damen und Herren, ist eine Schwachstelle. Der Todesstern hatte einen fatalen Fehler. Ihre Codebasis hat wahrscheinlich mehr. Anthropics neues Claude Security-Tool möchte sie finden, bevor Angreifer zuerst dort ankommen.

Zurück in der realen Welt: Alles läuft auf Software, die von Natur aus anfällig ist. Schwachstellen öffnen nicht nur Türen für Gegner, sondern können auch Schaden anrichten, indem sie einfach existieren und Bugs verursachen, die von Benutzern der Software erlebt werden. Ich habe KI zum ersten Mal im September mit OpenAIs Codex zum Scannen von Schwachstellen eingesetzt. Damals scheiterte es, weil es keinen projektweiten Kontext verarbeiten konnte. Aber als ich das KI-Paarprogrammierungstool mit ChatGPTs Deep Research kombinierte, das besser mit großen Datenmengen umgehen konnte, fanden die beiden eine Reihe kritischer Schwachstellen in meiner Sicherheitssoftware, die ich sofort behob. Seitdem haben sowohl Codex als auch Claude Code in Bezug auf die Menge an Code, die sie in einem Kontext verarbeiten können, Fortschritte gemacht, aber keines ist in der Lage, eine gesamte große Codebasis auf einmal zu verarbeiten. Mythos kann das jedoch. Es kann sogar die Beziehungen zwischen Codebasen auf Makroebene verarbeiten. Aber es ist nicht öffentlich zugänglich, selbst nicht über Enterprise-Tier-Gebühren. Letzten Monat führte OpenAI Codex Security ein, das ebenfalls eine größere Kontextanalyse bietet. Und jetzt kann Claude Security ähnliche großflächige Scans durchführen.

Dieses neue Produkt kann ein vollständiges Repository oder ein gezieltes Verzeichnis scannen. Laut Anthropic „denkt Claude über Code nach wie ein Sicherheitsforscher, verfolgt Datenflüsse, liest Quellcode und arbeitet heraus, wie Komponenten über Dateien und Module hinweg interagieren.“

Es gibt mehr zu Claude Security, aber lassen Sie uns zuerst über die große Schwachstelle sprechen, die durch KI-Schwachstellenscanner eingeführt wird. Schwachstellenscanner helfen Verteidigern bei der Verteidigung. Aber sie helfen auch Angreifern, Angriffspunkte zu finden. Das war der ganze Punkt beim Angriff der Rebellen auf den Todesstern. Sobald sie von einer Schwachstelle wussten, konnten sie sie ausnutzen. Beispielsweise haben sowohl Microsoft als auch OpenAI berichtet, dass staatlich unterstützte Akteure aus China, Iran, Russland und Nordkorea große Sprachmodelle verwendet haben, um verschiedene Unternehmen und Cybersicherheitstools zu recherchieren, Code zu debuggen, Skripte zu generieren und Inhalte zu erstellen, die wahrscheinlich für Phishing- und Spear-Phishing-Kampagnen verwendet werden.

Anthropic versucht zu verhindern, dass seine Modelle auf ähnliche Weise verwendet werden. Mit der Einführung von Opus 4.7 enthält das Unternehmen neue Cyber-Sicherheitsvorkehrungen, die Anfragen, die auf verbotene oder risikoreiche Cybersicherheitsnutzungen hindeuten, automatisch erkennen und blockieren.