Anthropic объявила о запуске Claude Security — нового продукта в области кибербезопасности, который сейчас доступен в публичной бета-версии для пользователей Enterprise-уровня Claude, а для пользователей Claude Team и Max-уровня появится «скоро». Инструмент позволяет командам безопасности «сканировать кодовые базы на уязвимости и генерировать целевые исправления» с использованием модели Claude Opus 4.7.
Ранее в этом месяце Anthropic представила Project Glasswing — ИИ-проект «Манхэттен», направленный на поиск уязвимостей в мировой инфраструктуре открытого программного обеспечения. Glasswing использует модель Anthropic под названием Mythos, которая считается настолько опасной, что не выпускается в открытый доступ. Она предоставляется участникам Glasswing, включая бывших конкурентов, таких как Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia и Palo Alto Networks.
В основе как Project Glasswing, так и Claude Security лежит сканирование уязвимостей. Большинство кибератак начинается с того, что злоумышленник использует уязвимость. Поэтому, если защитники могут найти и исправить уязвимости, у злоумышленника остается меньше возможностей для атаки. Помните «Звездные войны»? Весь сюжет «Новой надежды» вращается вокруг планов Звезды Смерти, которые принцесса Лея хранит в R2-D2. Как только повстанцы получают эти планы, они находят уязвимость. Все, что нужно сделать Люку и другим пилотам, — это запустить одну торпеду в выхлопной порт Звезды Смерти, и... бах! Это, мальчики и девочки, и есть уязвимость. У Звезды Смерти был один фатальный недостаток. У вашей кодовой базы их, вероятно, больше. Новый инструмент Claude Security от Anthropic хочет найти их раньше, чем это сделают атакующие.
Вернемся в реальный мир: всё работает на программном обеспечении, которое по своей сути уязвимо. Уязвимости не только открывают двери для злоумышленников, но и могут нанести вред просто своим существованием, вызывая ошибки у пользователей программного обеспечения. Я впервые использовал ИИ для сканирования уязвимостей в сентябре с помощью OpenAI Codex. Тогда он потерпел неудачу, потому что не мог обработать контекст всего проекта. Но когда я объединил ИИ-инструмент для парного программирования с ChatGPT Deep Research, который лучше работал с большими объемами данных, они вдвоем нашли ряд критических уязвимостей в моем программном обеспечении безопасности, которые я немедленно исправил. С тех пор и Codex, и Claude Code улучшились в плане объема кода, который они могут обработать в одном контексте, но ни один из них не способен обработать всю большую кодовую базу сразу. Mythos, однако, может. Он даже может обрабатывать взаимосвязи между кодовыми базами на макроуровне. Но он недоступен публике, даже за плату на уровне Enterprise. В прошлом месяце OpenAI представила Codex Security, который также предлагает анализ контекста большего масштаба. И теперь Claude Security может выполнять аналогичные крупномасштабные сканирования.
Этот новый продукт способен сканировать полный репозиторий или целевую директорию. По словам Anthropic, «Claude рассуждает о коде так же, как исследователь безопасности: отслеживает потоки данных, читает исходный код и выясняет, как компоненты взаимодействуют между файлами и модулями».
В Claude Security есть и другие функции, но сначала давайте поговорим о большой уязвимости, которую создают ИИ-сканеры уязвимостей. Сканеры уязвимостей помогают защитникам защищаться. Но они также помогают атакующим найти, где атаковать. В этом и был смысл атаки повстанцев на Звезду Смерти. Как только они узнали об уязвимости, они смогли ее использовать. Например, и Microsoft, и OpenAI сообщили, что спонсируемые государствами акторы из Китая, Ирана, России и Северной Кореи использовали большие языковые модели для исследования различных компаний и инструментов кибербезопасности, отладки кода, генерации скриптов и создания контента, вероятно, для фишинговых и целевых фишинговых кампаний.
Anthropic пытается предотвратить использование своих моделей подобным образом. С запуском Opus 4.7 компания включает новые киберзащиты, которые автоматически обнаруживают и блокируют запросы, указывающие на запрещенное или высокорисковое использование в кибербезопасности.