Anthropicの新Claudeセキュリティツール、コードの欠陥をスキャンして最初にパニックになるべきものを決定

Anthropicは、Claude Securityという新しい防御的サイバーセキュリティ製品を発表しました。現在、Enterprise層のClaudeユーザー向けに公開ベータ版として利用可能で、Claude TeamおよびMax層のユーザーには「近日公開」予定です。このツールは、Claude Opus 4.7モデルを使用して、セキュリティチームが「コードベースの脆弱性をスキャンし、対象を絞ったパッチを生成する」ことを可能にします。

今月初め、AnthropicはProject Glasswingを発表しました。これは、オープンソースソフトウェアの世界インフラストラクチャにおける脆弱性を見つけることを目的としたAIマンハッタン計画です。Glasswingは、Mythosと呼ばれるAnthropicモデルを使用しています。このモデルは非常に危険とみなされ、一般公開されていません。Glasswingの参加者（Amazon Web Services、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、Nvidia、Palo Alto Networksなど、かつての競合他社も含む）と共有されています。

Project GlasswingとClaude Securityの核心は、脆弱性スキャンです。ほとんどのサイバー攻撃は、敵対者が脆弱性を悪用することから始まります。したがって、防御側が脆弱性を見つけてパッチを当てることができれば、悪意のある攻撃者の攻撃対象領域は小さくなります。スター・ウォーズを覚えていますか？『新たなる希望』のプロット全体は、レイア姫がR2-D2に保管するデス・スターの設計図を中心に展開します。反乱軍がその設計図を手に入れると、脆弱性を見つけることができます。ルークと他のパイロットがしなければならないのは、デス・スターの排気ポートに1発の魚雷を撃ち込むことだけです。そして...ドカーン！これこそが脆弱性です。デス・スターには致命的な欠陥が1つありました。あなたのコードベースにはおそらくもっと多くの欠陥があります。Anthropicの新しいClaude Securityツールは、攻撃者が先に到達する前にそれらを見つけたいと考えています。

現実世界に戻ると、すべてがソフトウェア上で動作しており、ソフトウェアは本質的に脆弱です。脆弱性は敵対者に悪用の扉を開くだけでなく、存在するだけでソフトウェアのユーザーが経験するバグを引き起こし、損害を与える可能性があります。私は昨年9月にOpenAIのCodexを使用して初めてAIによる脆弱性スキャンを行いました。当時はプロジェクト全体のコンテキストを処理できなかったため失敗しました。しかし、AIペアプログラミングツールをChatGPTのDeep Research（大量のデータに優れていた）と組み合わせたところ、2つは私のセキュリティソフトウェアに多数の重大な脆弱性を発見し、すぐに修正しました。それ以来、CodexとClaude Codeは1つのコンテキストで処理できるコード量が向上しましたが、どちらも大規模なコードベース全体を一度に処理することはできません。しかし、Mythosはそれができます。コードベース間の関係をマクロスケールで処理することさえできます。しかし、Enterprise層の料金を支払っても一般公開されていません。先月、OpenAIはCodex Securityを導入し、より大規模なコンテキスト分析を提供しています。そして今、Claude Securityも同様の大規模スキャンを行うことができます。

この新製品は、リポジトリ全体または対象のディレクトリをスキャンできます。Anthropicによると、「Claudeはセキュリティ研究者のようにコードを推論し、データフローを追跡し、ソースコードを読み、ファイルやモジュール間でのコンポーネントの相互作用を理解します。」

Claude Securityにはさらに多くの機能がありますが、まずは脆弱性スキャンAIによって導入される大きな脆弱性について話しましょう。脆弱性スキャナーは防御側の防御を助けます。しかし同時に、攻撃者がどこを攻撃すべきかを見つけるのにも役立ちます。それが反乱軍のデス・スター攻撃の要点でした。脆弱性を知れば、それを悪用できるのです。例えば、MicrosoftとOpenAIはどちらも、中国、イラン、ロシア、北朝鮮の国家関連アクターが大規模言語モデルを使用して、さまざまな企業やサイバーセキュリティツールを調査し、コードをデバッグし、スクリプトを生成し、フィッシングやスピアフィッシングキャンペーンに使用される可能性のあるコンテンツを作成していると報告しています。

Anthropicは、自社のモデルが同様の方法で使用されるのを防ごうとしています。Opus 4.7のリリース時点で、同社は禁止または高リスクのサイバーセキュリティ使用を示唆するリクエストを自動的に検出してブロックする新しいサイバーセーフガードを含めています。