Anthropic ने Claude Security की घोषणा की है, एक नया सुरक्षात्मक साइबर सुरक्षा उत्पाद जो वर्तमान में Enterprise-स्तर के Claude उपयोगकर्ताओं के लिए सार्वजनिक बीटा में उपलब्ध है, और "जल्द ही" Claude Team और Max-स्तर के उपयोगकर्ताओं के लिए उपलब्ध होगा। यह टूल सुरक्षा टीमों को Claude Opus 4.7 मॉडल का उपयोग करके "कोडबेस में कमजोरियों को स्कैन करने और लक्षित पैच उत्पन्न करने" की अनुमति देता है।
इस महीने की शुरुआत में, Anthropic ने Project Glasswing का अनावरण किया, एक AI मैनहट्टन प्रोजेक्ट जिसका उद्देश्य दुनिया के ओपन-सोर्स सॉफ्टवेयर बुनियादी ढांचे में कमजोरियां ढूंढना है। Glasswing एक Anthropic मॉडल का उपयोग करता है जिसे Mythos कहा जाता है, एक मॉडल जिसे इतना खतरनाक माना जाता है कि इसे जनता के लिए जारी नहीं किया जा रहा है। इसे Glasswing प्रतिभागियों के साथ साझा किया जा रहा है, जिसमें पूर्व प्रतिस्पर्धी जैसे Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia, और Palo Alto Networks शामिल हैं।
Project Glasswing और Claude Security दोनों के मूल में कमजोरी स्कैनिंग है। अधिकांश साइबर हमले एक दुश्मन अभिनेता द्वारा कमजोरी का शोषण करने से शुरू होते हैं। इसलिए, यदि रक्षक कमजोरियों को ढूंढ और पैच कर सकते हैं, तो दुर्भावनापूर्ण अपराधी के पास हमला करने की छोटी सतह होती है। स्टार वार्स याद है? ए न्यू होप का पूरा प्लॉट डेथ स्टार योजनाओं के इर्द-गिर्द घूमता है जो राजकुमारी लीया R2-D2 में संग्रहीत करती हैं। एक बार जब विद्रोहियों को वे योजनाएँ मिल जाती हैं, तो वे एक कमजोरी खोजने में सक्षम हो जाते हैं। ल्यूक और अन्य पायलटों को बस इतना करना है कि डेथ स्टार पर एक निकास पोर्ट में एक टारपीडो दागें, और... बूम! वह, लड़कों और लड़कियों, एक कमजोरी है। डेथ स्टार में एक घातक दोष था। आपके कोडबेस में शायद अधिक हैं। Anthropic का नया Claude Security टूल हमलावरों के पहले पहुंचने से पहले उन्हें ढूंढना चाहता है।
वास्तविक दुनिया में वापस, सब कुछ सॉफ्टवेयर पर चलता है, जो स्वाभाविक रूप से कमजोर है। न केवल कमजोरियां विरोधियों के लिए शोषण के दरवाजे खोलती हैं, बल्कि वे केवल अस्तित्व में रहकर और सॉफ्टवेयर के उपयोगकर्ताओं द्वारा अनुभव की गई बग पैदा करके भी नुकसान पहुंचा सकती हैं। मैंने पहली बार सितंबर में OpenAI के Codex के साथ कमजोरी स्कैनिंग के लिए AI का उपयोग किया था। उस समय, यह विफल रहा क्योंकि यह एक प्रोजेक्ट-व्यापी संदर्भ को संभाल नहीं सका। लेकिन जब मैंने AI पेयर प्रोग्रामिंग टूल को ChatGPT के Deep Research के साथ जोड़ा, जो बहुत सारे डेटा के साथ बेहतर था, तो दोनों ने मेरे सुरक्षा सॉफ्टवेयर में कई महत्वपूर्ण कमजोरियां पाईं, जिन्हें मैंने तुरंत ठीक किया। तब से, Codex और Claude Code दोनों में सुधार हुआ है कि वे एक संदर्भ में कितना कोड संसाधित कर सकते हैं, लेकिन कोई भी एक बार में पूरे बड़े कोडबेस को संभालने में सक्षम नहीं है। हालांकि, Mythos ऐसा कर सकता है। यह मैक्रो स्तर पर कोडबेस के बीच संबंधों को भी संभाल सकता है। लेकिन यह जनता के लिए उपलब्ध नहीं है, यहां तक कि Enterprise-स्तर के शुल्क के माध्यम से भी नहीं। पिछले महीने, OpenAI ने Codex Security पेश किया, जो बड़े-दायरे का संदर्भ विश्लेषण भी प्रदान करता है। और अब Claude Security समान बड़े पैमाने पर स्कैन कर सकता है।
यह नया उत्पाद एक पूर्ण रिपॉजिटरी या एक लक्षित निर्देशिका को स्कैन करने में सक्षम है। Anthropic के अनुसार, "Claude कोड के बारे में उसी तरह तर्क करता है जैसे एक सुरक्षा शोधकर्ता करता है, डेटा प्रवाह का पता लगाता है, स्रोत कोड पढ़ता है, और यह पता लगाता है कि घटक फ़ाइलों और मॉड्यूल में कैसे इंटरैक्ट करते हैं।"
Claude Security के बारे में और भी बहुत कुछ है, लेकिन पहले बात करते हैं कमजोरी-स्कैनिंग AI द्वारा पेश की गई बड़ी कमजोरी के बारे में। कमजोरी स्कैनर रक्षकों को बचाव में मदद करते हैं। लेकिन वे हमलावरों को यह खोजने में भी मदद करते हैं कि कहां हमला करना है। डेथ स्टार पर विद्रोहियों के हमले के साथ यही पूरा मुद्दा था। एक बार जब उन्हें एक कमजोरी के बारे में पता चल गया, तो वे इसका शोषण कर सकते थे। उदाहरण के लिए, Microsoft और OpenAI दोनों ने बताया है कि चीन, ईरान, रूस और उत्तर कोरिया के राज्य-संबद्ध अभिनेताओं ने विभिन्न कंपनियों और साइबर सुरक्षा उपकरणों पर शोध करने, कोड डीबग करने, स्क्रिप्ट उत्पन्न करने, और संभवतः फ़िशिंग और स्पीयर-फ़िशिंग अभियानों में उपयोग के लिए सामग्री बनाने के लिए बड़े भाषा मॉडल का उपयोग किया है।
Anthropic अपने मॉडलों को समान तरीकों से उपयोग होने से रोकने की कोशिश कर रहा है। Opus 4.7 के लॉन्च के अनुसार, कंपनी नए साइबर सुरक्षा उपाय शामिल करती है जो स्वचालित रूप से निषिद्ध या उच्च जोखिम वाले साइबर सुरक्षा उपयोगों का सुझाव देने वाले अनुरोधों का पता लगाती है और उन्हें ब्लॉक करती है।