Anthropic har lanserat Claude Security, en ny defensiv cybersäkerhetsprodukt som för närvarande finns i offentlig beta för Enterprise-nivåns Claude-användare, med tillgänglighet "kommer snart" för Claude Team- och Max-nivåanvändare. Verktyget gör det möjligt för säkerhetsteam att "skanna kodbaser efter sårbarheter och generera riktade patchningar" med hjälp av Claude Opus 4.7-modellen.
Tidigare denna månad debuterade Anthropic Project Glasswing, ett AI Manhattan-projekt som syftar till att hitta sårbarheter i världens infrastruktur av öppen källkod. Glasswing använder en Anthropic-modell som heter Mythos, en modell som anses så farlig att den inte släpps till allmänheten. Den delas med Glasswing-deltagare, inklusive tidigare konkurrenter som Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia och Palo Alto Networks.
I kärnan av både Project Glasswing och Claude Security ligger sårbarhetsskanning. De flesta cyberattacker börjar med att en fiende utnyttjar en sårbarhet. Så om försvarare kan hitta och patch sårbarheterna, har den onda aktören en mindre attackyta. Kommer du ihåg Star Wars? Hela handlingen i A New Hope kretsar kring Death Star-planer som prinsessan Leia lagrar i R2-D2. När rebellerna får dessa planer kan de hitta en sårbarhet. Allt Luke och de andra piloterna behöver göra är att avfyra en torped ner i ett avgasrör på Death Star, och... boom! Det, pojkar och flickor, är en sårbarhet. Death Star hade en dödlig brist. Din kodbas har förmodligen fler. Anthropics nya Claude Security-verktyg vill hitta dem innan angripare kommer dit först.
Tillbaka i verkligheten kör allt på programvara, som i sig är sårbar. Inte bara öppnar sårbarheter dörrar för motståndare att utnyttja, utan de kan också orsaka skada bara genom att existera och orsaka buggar som användare av programvaran upplever. Jag använde först AI för sårbarhetsskanning i september med OpenAIs Codex. Då misslyckades det eftersom det inte kunde hantera ett projektomfattande sammanhang. Men när jag teamade AI-parprogrammeringsverktyget med ChatGPTs Deep Research, som var bättre med mycket data, hittade de två ett antal kritiska sårbarheter i min säkerhetsprogramvara, som jag omedelbart fixade. Sedan dess har både Codex och Claude Code blivit bättre när det gäller hur mycket kod de kan bearbeta i ett sammanhang, men ingen av dem kan hantera en hel stor kodbas på en gång. Mythos kan dock. Den kan till och med hantera relationerna mellan kodbaser på makronivå. Men den är inte tillgänglig för allmänheten, inte ens via Enterprise-nivåavgifter. Förra månaden introducerade OpenAI Codex Security, som också erbjuder en större kontextanalys. Och nu kan Claude Security göra liknande storskaliga skanningar.
Denna nya produkt kan skanna en fullständig repository eller en riktad katalog. Enligt Anthropic, "Claude resonerar om kod som en säkerhetsforskare gör, spårar dataflöden, läser källkod och räknar ut hur komponenter interagerar över filer och moduler."
Det finns mer med Claude Security, men låt oss först prata om den stora sårbarheten som introduceras av sårbarhetsskannande AI:er. Sårbarhetsskannare hjälper försvarare att försvara. Men de hjälper också angripare att hitta var de ska attackera. Det var hela poängen med rebellernas attack på Death Star. När de väl visste om en sårbarhet kunde de utnyttja den. Till exempel har både Microsoft och OpenAI rapporterat att statsanknutna aktörer från Kina, Iran, Ryssland och Nordkorea har använt stora språkmodeller för att forska om olika företag och cybersäkerhetsverktyg, debugga kod, generera skript och skapa innehåll som sannolikt används i phishing- och spear-phishing-kampanjer.
Anthropic försöker förhindra att dess modeller används på liknande sätt. Från och med lanseringen av Opus 4.7 inkluderar företaget nya cybersäkerhetsskydd som automatiskt upptäcker och blockerar förfrågningar som tyder på förbjuden eller högrisk cybersäkerhetsanvändning.