Anthropic ha anunciado Claude Security, un nuevo producto de ciberseguridad defensiva que actualmente está disponible en beta pública para usuarios de Claude de nivel Enterprise, con disponibilidad "próximamente" para usuarios de Claude Team y Max. La herramienta permite a los equipos de seguridad "escanear bases de código en busca de vulnerabilidades y generar parches específicos" utilizando el modelo Claude Opus 4.7.
A principios de este mes, Anthropic presentó Project Glasswing, un Proyecto Manhattan de IA destinado a encontrar vulnerabilidades en la infraestructura mundial de software de código abierto. Glasswing utiliza un modelo de Anthropic llamado Mythos, un modelo considerado tan peligroso que no se lanza al público. Se comparte con los participantes de Glasswing, incluidos antiguos competidores como Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Fundación Linux, Microsoft, Nvidia y Palo Alto Networks.
En el núcleo tanto de Project Glasswing como de Claude Security se encuentra el escaneo de vulnerabilidades. La mayoría de los ciberataques comienzan con un actor enemigo explotando una vulnerabilidad. Entonces, si los defensores pueden encontrar y parchear las vulnerabilidades, el perpetrador malicioso tiene una superficie de ataque más pequeña. ¿Recuerdas Star Wars? Toda la trama de Una Nueva Esperanza gira en torno a los planos de la Estrella de la Muerte que la Princesa Leia almacena en R2-D2. Una vez que los Rebeldes obtienen esos planos, pueden encontrar una vulnerabilidad. Todo lo que Luke y los otros pilotos tienen que hacer es disparar un torpedo por un puerto de escape en la Estrella de la Muerte, y... ¡boom! Eso, niños y niñas, es una vulnerabilidad. La Estrella de la Muerte tenía un defecto fatal. Tu base de código probablemente tiene más. La nueva herramienta Claude Security de Anthropic quiere encontrarlos antes de que los atacantes lleguen primero.
De vuelta al mundo real, todo funciona con software, que es inherentemente vulnerable. Las vulnerabilidades no solo abren puertas para que los adversarios exploten, sino que también podrían causar daños simplemente por existir y causar errores experimentados por los usuarios del software. Usé IA por primera vez para escanear vulnerabilidades en septiembre con Codex de OpenAI. En ese momento, falló porque no podía manejar un contexto a nivel de proyecto. Pero cuando combiné la herramienta de programación en pareja de IA con Deep Research de ChatGPT, que era mejor con muchos datos, los dos encontraron varias vulnerabilidades críticas en mi software de seguridad, que arreglé de inmediato. Desde entonces, tanto Codex como Claude Code han mejorado en términos de cuánto código pueden procesar en un contexto, pero ninguno es capaz de manejar una base de código grande completa a la vez. Mythos sí puede. Incluso puede manejar las relaciones entre bases de código a escala macro. Pero no está disponible para el público, ni siquiera a través de tarifas de nivel Enterprise. El mes pasado, OpenAI presentó Codex Security, que también ofrece un análisis de contexto de mayor alcance. Y ahora Claude Security puede realizar escaneos a gran escala similares.
Este nuevo producto es capaz de escanear un repositorio completo o un directorio específico. Según Anthropic, "Claude razona sobre el código como lo haría un investigador de seguridad, rastreando flujos de datos, leyendo código fuente y descubriendo cómo interactúan los componentes entre archivos y módulos".
Hay más sobre Claude Security, pero primero hablemos de la gran vulnerabilidad introducida por las IA de escaneo de vulnerabilidades. Los escáneres de vulnerabilidades ayudan a los defensores a defender. Pero también ayudan a los atacantes a encontrar dónde atacar. Ese era el punto del ataque de los Rebeldes a la Estrella de la Muerte. Una vez que supieron de una vulnerabilidad, pudieron explotarla. Por ejemplo, tanto Microsoft como OpenAI han informado que actores patrocinados por estados de China, Irán, Rusia y Corea del Norte han utilizado grandes modelos de lenguaje para investigar varias empresas y herramientas de ciberseguridad, depurar código, generar scripts y crear contenido probablemente para su uso en campañas de phishing y spear-phishing.
Anthropic está tratando de evitar que sus modelos se utilicen de manera similar. A partir del lanzamiento de Opus 4.7, la compañía incluye nuevas salvaguardas cibernéticas que detectan y bloquean automáticamente solicitudes que sugieran usos de ciberseguridad prohibidos o de alto riesgo.