Anthropic ogłosił Claude Security, nowy defensywny produkt cyberbezpieczeństwa, który jest obecnie dostępny w publicznej becie dla użytkowników Enterprise-tier Claude, z dostępnością „wkrótce” dla użytkowników Claude Team i Max-tier. Narzędzie pozwala zespołom bezpieczeństwa „skanować bazy kodu w poszukiwaniu podatności i generować ukierunkowane łatki” przy użyciu modelu Claude Opus 4.7.
Na początku tego miesiąca Anthropic zaprezentował Project Glasswing, AI Manhattan Project mający na celu znajdowanie podatności w światowej infrastrukturze oprogramowania open source. Glasswing używa modelu Anthropic o nazwie Mythos, modelu uznawanego za tak niebezpieczny, że nie jest udostępniany publicznie. Jest udostępniany uczestnikom Glasswing, w tym byłym konkurentom, takim jak Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia i Palo Alto Networks.
U podstaw zarówno Project Glasswing, jak i Claude Security leży skanowanie podatności. Większość cyberataków zaczyna się od wykorzystania podatności przez wrogiego aktora. Jeśli więc obrońcy mogą znaleźć i załatać podatności, złośliwy sprawca ma mniejszą powierzchnię ataku. Pamiętacie Gwiezdne wojny? Cała fabuła Nowej nadziei kręci się wokół planów Gwiazdy Śmierci, które księżniczka Leia przechowuje w R2-D2. Gdy Rebelianci zdobywają te plany, są w stanie znaleźć podatność. Wszystko, co Luke i inni piloci muszą zrobić, to wystrzelić jedną torpedę w kanał wydechowy na Gwieździe Śmierci, i... bum! To, chłopcy i dziewczęta, jest podatność. Gwiazda Śmierci miała jeden śmiertelny błąd. Twoja baza kodu prawdopodobnie ma ich więcej. Nowe narzędzie Claude Security od Anthropica chce je znaleźć, zanim zrobią to atakujący.
Wracając do realnego świata, wszystko działa na oprogramowaniu, które jest z natury podatne na błędy. Podatności nie tylko otwierają drzwi przeciwnikom do wykorzystania, ale mogą również wyrządzić szkody po prostu przez istnienie i powodowanie błędów doświadczanych przez użytkowników oprogramowania. Po raz pierwszy użyłem AI do skanowania podatności we wrześniu z OpenAI Codex. Wtedy się nie udało, ponieważ nie mogło obsłużyć kontekstu całego projektu. Ale kiedy połączyłem narzędzie do parowego programowania AI z ChatGPT Deep Research, które było lepsze w obsłudze dużej ilości danych, oba znalazły wiele krytycznych podatności w moim oprogramowaniu zabezpieczającym, które natychmiast naprawiłem. Od tego czasu zarówno Codex, jak i Claude Code poprawiły się pod względem ilości kodu, którą mogą przetworzyć w jednym kontekście, ale żadne nie jest w stanie obsłużyć całej dużej bazy kodu naraz. Mythos może. Może nawet obsługiwać relacje między bazami kodu w skali makro. Ale nie jest dostępny publicznie, nawet za opłatą Enterprise-tier. W zeszłym miesiącu OpenAI wprowadził Codex Security, który również oferuje analizę kontekstu o większym zakresie. A teraz Claude Security może wykonywać podobne skanowanie na większą skalę.
Ten nowy produkt jest w stanie skanować całe repozytorium lub ukierunkowany katalog. Według Anthropica: „Claude rozumuje o kodzie tak, jak robi to badacz bezpieczeństwa, śledząc przepływy danych, czytając kod źródłowy i ustalając, jak komponenty oddziałują na siebie między plikami i modułami”.
To nie wszystko o Claude Security, ale najpierw porozmawiajmy o dużej podatności wprowadzonej przez AI do skanowania podatności. Skanery podatności pomagają obrońcom bronić. Ale pomagają też atakującym znaleźć, gdzie zaatakować. O to właśnie chodziło w ataku Rebeliantów na Gwiazdę Śmierci. Gdy dowiedzieli się o podatności, mogli ją wykorzystać. Na przykład zarówno Microsoft, jak i OpenAI zgłosiły, że państwowi aktorzy z Chin, Iranu, Rosji i Korei Północnej używali dużych modeli językowych do badania różnych firm i narzędzi cyberbezpieczeństwa, debugowania kodu, generowania skryptów i tworzenia treści prawdopodobnie do użytku w kampaniach phishingowych i spear-phishingowych.
Anthropic stara się zapobiegać wykorzystywaniu swoich modeli w podobny sposób. Od czasu premiery Opus 4.7 firma wprowadza nowe zabezpieczenia cybernetyczne, które automatycznie wykrywają i blokują żądania sugerujące zabronione lub wysokiego ryzyka zastosowania cyberbezpieczeństwa.