A Anthropic anunciou o Claude Security, um novo produto de cibersegurança defensiva atualmente disponível em beta público para usuários do Claude Enterprise, com disponibilidade "em breve" para usuários dos níveis Team e Max. A ferramenta permite que equipes de segurança "escanem bases de código em busca de vulnerabilidades e gerem patches direcionados" usando o modelo Claude Opus 4.7.
No início deste mês, a Anthropic apresentou o Project Glasswing, um Projeto Manhattan de IA voltado para encontrar vulnerabilidades na infraestrutura mundial de software de código aberto. O Glasswing usa um modelo da Anthropic chamado Mythos, um modelo considerado tão perigoso que não está sendo lançado ao público. Ele está sendo compartilhado com participantes do Glasswing, incluindo ex-concorrentes como Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia e Palo Alto Networks.
No centro tanto do Project Glasswing quanto do Claude Security está a varredura de vulnerabilidades. A maioria dos ciberataques começa com um agente inimigo explorando uma vulnerabilidade. Então, se os defensores conseguirem encontrar e corrigir as vulnerabilidades, o perpetrador malicioso tem uma superfície de ataque menor. Lembra-se de Star Wars? Toda a trama de Uma Nova Esperança gira em torno dos planos da Estrela da Morte que a Princesa Leia armazena em R2-D2. Assim que os Rebeldes obtêm esses planos, eles conseguem encontrar uma vulnerabilidade. Tudo o que Luke e os outros pilotos precisam fazer é disparar um torpedo em um duto de exaustão na Estrela da Morte, e... bum! Isso, meninos e meninas, é uma vulnerabilidade. A Estrela da Morte tinha uma falha fatal. Sua base de código provavelmente tem mais. A nova ferramenta Claude Security da Anthropic quer encontrá-las antes que os atacantes cheguem primeiro.
De volta ao mundo real, tudo funciona com software, que é inerentemente vulnerável. As vulnerabilidades não apenas abrem portas para adversários explorarem, mas também podem causar danos simplesmente por existirem e causarem bugs experimentados pelos usuários do software. Usei IA para fazer varredura de vulnerabilidades pela primeira vez em setembro com o Codex da OpenAI. Na época, falhou porque não conseguia lidar com um contexto de projeto inteiro. Mas quando combinei a ferramenta de programação em par com IA com o Deep Research do ChatGPT, que era melhor com muitos dados, os dois encontraram várias vulnerabilidades críticas no meu software de segurança, que corrigi imediatamente. Desde então, tanto o Codex quanto o Claude Code melhoraram em termos de quanto código conseguem processar em um contexto, mas nenhum é capaz de lidar com uma base de código grande inteira de uma só vez. O Mythos, no entanto, consegue. Ele pode até lidar com as relações entre bases de código em uma escala macro. Mas não está disponível ao público, nem mesmo por taxas de nível Enterprise. No mês passado, a OpenAI introduziu o Codex Security, que também oferece uma análise de contexto de escopo maior. E agora o Claude Security pode fazer varreduras em escala similar.
Este novo produto é capaz de escanear um repositório completo ou um diretório específico. De acordo com a Anthropic, "Claude raciocina sobre código da mesma forma que um pesquisador de segurança, rastreando fluxos de dados, lendo código-fonte e descobrindo como os componentes interagem entre arquivos e módulos."
Há mais sobre o Claude Security, mas primeiro vamos falar sobre a grande vulnerabilidade introduzida pelas IAs de varredura de vulnerabilidades. Os scanners de vulnerabilidades ajudam os defensores a defender. Mas também ajudam os atacantes a encontrar onde atacar. Esse era o ponto principal do ataque dos Rebeldes à Estrela da Morte. Uma vez que soubessem de uma vulnerabilidade, poderiam explorá-la. Por exemplo, tanto a Microsoft quanto a OpenAI relataram que atores estatais da China, Irã, Rússia e Coreia do Norte usaram grandes modelos de linguagem para pesquisar várias empresas e ferramentas de cibersegurança, depurar código, gerar scripts e criar conteúdo provavelmente para uso em campanhas de phishing e spear-phishing.
A Anthropic está tentando evitar que seus modelos sejam usados de maneiras semelhantes. A partir do lançamento do Opus 4.7, a empresa inclui novas salvaguardas cibernéticas que detectam e bloqueiam automaticamente solicitações sugestivas de usos de cibersegurança proibidos ou de alto risco.