Anthropic heeft Claude Security aangekondigd, een nieuw defensief cybersecurityproduct dat momenteel beschikbaar is in openbare bèta voor Enterprise-tier Claude-gebruikers, met beschikbaarheid 'binnenkort' voor Claude Team- en Max-tier-gebruikers. De tool stelt beveiligingsteams in staat om 'codebases te scannen op kwetsbaarheden en gerichte patches te genereren' met behulp van het Claude Opus 4.7-model.
Eerder deze maand onthulde Anthropic Project Glasswing, een AI-Manhattanproject gericht op het vinden van kwetsbaarheden in de wereldwijde infrastructuur van open-source software. Glasswing gebruikt een Anthropic-model genaamd Mythos, een model dat als zo gevaarlijk wordt beschouwd dat het niet aan het publiek wordt vrijgegeven. Het wordt gedeeld met Glasswing-deelnemers, waaronder voormalige concurrenten zoals Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, de Linux Foundation, Microsoft, Nvidia en Palo Alto Networks.
De kern van zowel Project Glasswing als Claude Security is kwetsbaarheidsscanning. De meeste cyberaanvallen beginnen met een vijandelijke actor die een kwetsbaarheid exploiteert. Dus als verdedigers de kwetsbaarheden kunnen vinden en patchen, heeft de kwaadwillende dader een kleiner aanvalsoppervlak. Herinner je Star Wars? De hele plot van A New Hope draait om Death Star-plannen die Princess Leia in R2-D2 bewaart. Zodra de Rebellen die plannen krijgen, kunnen ze een kwetsbaarheid vinden. Het enige wat Luke en de andere piloten hoeven te doen is één torpedo in een uitlaatpoort op de Death Star schieten, en... boem! Dat, jongens en meisjes, is een kwetsbaarheid. De Death Star had één fatale fout. Jouw codebase heeft er waarschijnlijk meer. Anthropics nieuwe Claude Security-tool wil ze vinden voordat aanvallers er als eerste zijn.
Terug in de echte wereld draait alles op software, die inherent kwetsbaar is. Niet alleen openen kwetsbaarheden deuren voor tegenstanders om te exploiteren, maar ze kunnen ook schade veroorzaken door simpelweg te bestaan en bugs te veroorzaken die gebruikers van de software ervaren. Ik gebruikte voor het eerst AI voor kwetsbaarheidsscanning in september met OpenAI's Codex. Destijds faalde het omdat het geen projectbrede context aankon. Maar toen ik het AI-paarprogrammeerhulpmiddel combineerde met ChatGPT's Deep Research, dat beter was met veel data, vonden de twee een aantal kritieke kwetsbaarheden in mijn beveiligingssoftware, die ik onmiddellijk repareerde. Sindsdien zijn zowel Codex als Claude Code beter geworden in termen van hoeveel code ze in één context kunnen verwerken, maar geen van beide is in staat om een hele grote codebase in één keer te verwerken. Mythos kan dat echter wel. Het kan zelfs de relaties tussen codebases op macroschaal verwerken. Maar het is niet beschikbaar voor het publiek, zelfs niet via Enterprise-tier-kosten. Vorige maand introduceerde OpenAI Codex Security, dat ook een grootschalige contextanalyse biedt. En nu kan Claude Security vergelijkbare grootschalige scans uitvoeren.
Dit nieuwe product is in staat om een volledige repository of een gerichte directory te scannen. Volgens Anthropic 'redeneert Claude over code zoals een beveiligingsonderzoeker dat doet, door gegevensstromen te traceren, broncode te lezen en uit te zoeken hoe componenten interageren over bestanden en modules heen.'
Er is meer over Claude Security, maar laten we eerst praten over de grote kwetsbaarheid die wordt geïntroduceerd door kwetsbaarheidsscannende AI's. Kwetsbaarheidsscanners helpen verdedigers verdedigen. Maar ze helpen ook aanvallers om te vinden waar ze moeten aanvallen. Dat was het hele punt met de aanval van de Rebellen op de Death Star. Zodra ze van een kwetsbaarheid wisten, konden ze die exploiteren. Zowel Microsoft als OpenAI hebben bijvoorbeeld gemeld dat staatsgebonden actoren uit China, Iran, Rusland en Noord-Korea grote taalmodellen hebben gebruikt om verschillende bedrijven en cybersecuritytools te onderzoeken, code te debuggen, scripts te genereren en inhoud te creëren die waarschijnlijk wordt gebruikt in phishing- en spear-phishing-campagnes.
Anthropic probeert te voorkomen dat zijn modellen op vergelijkbare manieren worden gebruikt. Vanaf de lancering van Opus 4.7 bevat het bedrijf nieuwe cyberbeveiligingsmaatregelen die automatisch verzoeken detecteren en blokkeren die wijzen op verboden of hoogrisicogebruik van cybersecurity.