Anthropic, Claude Güvenlik adlı yeni bir savunma amaçlı siber güvenlik ürününü duyurdu. Bu ürün şu anda Kurumsal seviye Claude kullanıcılarına açık beta olarak sunulurken, Claude Takım ve Max seviyesi kullanıcılarına da "yakında" sunulacak. Araç, güvenlik ekiplerinin Claude Opus 4.7 modelini kullanarak "kod tabanlarını güvenlik açıkları için taramasına ve hedefli yamalar oluşturmasına" olanak tanıyor.
Bu ayın başlarında Anthropic, açık kaynaklı yazılımların dünya çapındaki altyapısındaki güvenlik açıklarını bulmayı amaçlayan bir AI Manhattan Projesi olan Project Glasswing'i tanıttı. Glasswing, Mythos adı verilen bir Anthropic modelini kullanıyor; bu model o kadar tehlikeli kabul ediliyor ki halka açıklanmıyor. Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia ve Palo Alto Networks gibi eski rakipler de dahil olmak üzere Glasswing katılımcılarıyla paylaşılıyor.
Hem Project Glasswing hem de Claude Güvenlik'in temelinde güvenlik açığı taraması yer alıyor. Çoğu siber saldırı, düşman bir aktörün bir güvenlik açığından yararlanmasıyla başlar. Dolayısıyla, savunmacılar güvenlik açıklarını bulup yamalayabilirse, kötü niyetli failin saldırı yüzeyi küçülür. Star Wars'u hatırlayın? Yeni Bir Umut'un tüm konusu, Prenses Leia'nın R2-D2'de sakladığı Ölüm Yıldızı planları etrafında döner. İsyancılar bu planları ele geçirdiğinde bir güvenlik açığı bulabilirler. Luke ve diğer pilotların tek yapması gereken, Ölüm Yıldızı'ndaki bir egzoz portuna bir torpido ateşlemektir ve... bum! İşte bu, çocuklar, bir güvenlik açığıdır. Ölüm Yıldızı'nın ölümcül bir kusuru vardı. Sizin kod tabanınızda muhtemelen daha fazlası var. Anthropic'in yeni Claude Güvenlik aracı, saldırganlar oraya varmadan önce onları bulmak istiyor.
Gerçek dünyaya dönersek, her şey yazılım üzerinde çalışıyor ve yazılım doğası gereği güvenlik açıklarına sahip. Güvenlik açıkları yalnızca düşmanların sömürmesi için kapılar açmakla kalmaz, aynı zamanda sadece var olarak ve yazılım kullanıcılarının karşılaştığı hatalara neden olarak da hasara yol açabilir. AI ile güvenlik açığı taramasını ilk kez Eylül ayında OpenAI'in Codex'i ile kullanmıştım. O zamanlar, proje genelindeki bağlamı işleyemediği için başarısız olmuştu. Ancak AI çift programlama aracını, çok fazla veriyle daha iyi olan ChatGPT'nin Deep Research'i ile birleştirdiğimde, ikisi güvenlik yazılımımda bir dizi kritik güvenlik açığı buldu ve hemen düzelttim. O zamandan beri, hem Codex hem de Claude Code, tek bir bağlamda işleyebilecekleri kod miktarı açısından iyileşti, ancak hiçbiri aynı anda bütün bir büyük kod tabanını işleyemiyor. Mythos ise bunu yapabiliyor. Hatta kod tabanları arasındaki ilişkileri makro ölçekte işleyebiliyor. Ancak Kurumsal seviye ücretlerle bile halka açık değil. Geçen ay OpenAI, daha geniş kapsamlı bağlam analizi sunan Codex Security'yi tanıttı. Ve şimdi Claude Güvenlik de benzer büyük ölçekli taramalar yapabiliyor.
Bu yeni ürün, tam bir depoyu veya hedeflenmiş bir dizini tarayabiliyor. Anthropic'e göre, "Claude, bir güvenlik araştırmacısının yaptığı gibi kod hakkında akıl yürütür, veri akışlarını izler, kaynak kodunu okur ve bileşenlerin dosyalar ve modüller arasında nasıl etkileşime girdiğini çözer."
Claude Güvenlik hakkında daha fazlası var, ancak önce güvenlik açığı tarayan AI'ların getirdiği büyük güvenlik açığından bahsedelim. Güvenlik açığı tarayıcıları savunmacıların savunmasına yardımcı olur. Ancak aynı zamanda saldırganların nereye saldıracaklarını bulmasına da yardımcı olurlar. İsyancıların Ölüm Yıldızı'na saldırısının tüm amacı buydu. Bir güvenlik açığını öğrendiklerinde, onu sömürebilirlerdi. Örneğin, hem Microsoft hem de OpenAI, Çin, İran, Rusya ve Kuzey Kore'den devlet bağlantılı aktörlerin çeşitli şirketleri ve siber güvenlik araçlarını araştırmak, kod hata ayıklamak, betikler oluşturmak ve muhtemelen kimlik avı ve hedefli kimlik avı kampanyalarında kullanılmak üzere içerik oluşturmak için büyük dil modellerini kullandığını bildirdi.
Anthropic, modellerinin benzer şekillerde kullanılmasını engellemeye çalışıyor. Opus 4.7'nin lansmanı itibarıyla şirket, yasaklanmış veya yüksek riskli siber güvenlik kullanımlarını düşündüren talepleri otomatik olarak algılayan ve engelleyen yeni siber güvenlik önlemleri içeriyor.