Noul instrument de securitate Claude al Anthropic scanează codul pentru defecte și decide care sunt prioritare

Anthropic a anunțat Claude Security, un nou produs defensiv de securitate cibernetică, disponibil în prezent în versiune beta publică pentru utilizatorii Claude de nivel Enterprise, urmând să fie disponibil „în curând” pentru utilizatorii Claude Team și Max. Instrumentul permite echipelor de securitate să „scaneze bazele de cod pentru vulnerabilități și să genereze patch-uri țintite” folosind modelul Claude Opus 4.7.

La începutul acestei luni, Anthropic a lansat Project Glasswing, un Proiect Manhattan AI menit să găsească vulnerabilități în infrastructura mondială a software-ului open-source. Glasswing folosește un model Anthropic numit Mythos, un model considerat atât de periculos încât nu este lansat publicului. Este împărtășit participanților Glasswing, inclusiv foștilor concurenți precum Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia și Palo Alto Networks.

În centrul atât al Project Glasswing, cât și al Claude Security se află scanarea vulnerabilităților. Majoritatea atacurilor cibernetice încep cu un actor inamic care exploatează o vulnerabilitate. Așadar, dacă apărătorii pot găsi și remedia vulnerabilitățile, suprafața de atac a răufăcătorului este mai mică. Vă amintiți de Războiul Stelelor? Întreaga intrigă a filmului „O speranță nouă” se învârte în jurul planurilor Stelei Morții pe care Prințesa Leia le stochează în R2-D2. Odată ce Rebelii obțin acele planuri, pot găsi o vulnerabilitate. Tot ce trebuie să facă Luke și ceilalți piloți este să tragă o torpilă într-un port de evacuare al Stelei Morții și... bum! Asta, băieți și fete, este o vulnerabilitate. Steaua Morții avea un singur defect fatal. Baza voastră de cod are probabil mai multe. Noul instrument Claude Security al Anthropic vrea să le găsească înainte ca atacatorii să ajungă primii.

Înapoi în lumea reală, totul funcționează pe software, care este în mod inerent vulnerabil. Nu numai că vulnerabilitățile deschid uși pentru adversari, dar pot provoca și daune doar prin existența lor, cauzând bug-uri experimentate de utilizatorii software-ului. Am folosit pentru prima dată AI pentru scanarea vulnerabilităților în septembrie, cu OpenAI Codex. La acea vreme, a eșuat pentru că nu putea gestiona un context la nivel de proiect. Dar când am asociat instrumentul de programare AI cu ChatGPT Deep Research, care era mai bun cu cantități mari de date, cele două au găsit o serie de vulnerabilități critice în software-ul meu de securitate, pe care le-am remediat imediat. De atunci, atât Codex, cât și Claude Code s-au îmbunătățit în ceea ce privește cantitatea de cod pe care o pot procesa într-un singur context, dar niciunul nu este capabil să gestioneze o întreagă bază de cod mare deodată. Mythos poate, totuși. Poate chiar gestiona relațiile dintre bazele de cod la scară macro. Dar nu este disponibil publicului, nici măcar prin taxe de nivel Enterprise. Luna trecută, OpenAI a introdus Codex Security, care oferă, de asemenea, o analiză de context la scară mai mare. Și acum Claude Security poate face scanări similare la scară largă.

Acest nou produs este capabil să scaneze un depozit complet sau un director țintit. Potrivit Anthropic, „Claude raționează despre cod așa cum o face un cercetător în securitate, urmărind fluxurile de date, citind codul sursă și stabilind modul în care componentele interacționează între fișiere și module.”

Există mai multe despre Claude Security, dar mai întâi să vorbim despre marea vulnerabilitate introdusă de AI-urile de scanare a vulnerabilităților. Scanerele de vulnerabilități ajută apărătorii să se apere. Dar îi ajută și pe atacatori să găsească unde să atace. Acesta a fost întregul scop al atacului Rebelilor asupra Stelei Morții. Odată ce au știut de o vulnerabilitate, au putut să o exploateze. De exemplu, atât Microsoft, cât și OpenAI au raportat că actori afiliați statului din China, Iran, Rusia și Coreea de Nord au folosit modele de limbaj mari pentru a cerceta diverse companii și instrumente de securitate cibernetică, a depana cod, a genera scripturi și a crea conținut probabil pentru utilizare în campanii de phishing și spear-phishing.

Anthropic încearcă să prevină utilizarea modelelor sale în moduri similare. De la lansarea Opus 4.7, compania include noi măsuri de siguranță cibernetică care detectează și blochează automat solicitările sugestive pentru utilizări interzise sau cu risc ridicat în domeniul securității cibernetice.