Новый инструмент Claude Security от Anthropic: сканирование кода и приоритизация исправлений

Компания Anthropic представила Claude Security — новый продукт в сфере кибербезопасности, предназначенный для защиты кодовых баз. Инструмент сканирует код на наличие уязвимостей и помогает специалистам определить, какие проблемы требуют первоочередного внимания.

Основные преимущества

• Сканирование уязвимостей с использованием искусственного интеллекта (ИИ) интегрируется в рабочие процессы разработчиков.
• Claude Security преобразует обнаруженные проблемы в рекомендации по приоритетному исправлению.
• Важная задача — предотвратить использование этих мощных инструментов злоумышленниками.

В настоящее время Claude Security находится на этапе открытого бета-тестирования и доступен для корпоративных пользователей Claude. Вскоре ожидается его появление для пользователей уровней «Командный» и «Максимальный».

Этот инструмент является частью арсенала средств киберзащиты Anthropic, предоставляя командам безопасности возможность сканировать кодовые базы на наличие уязвимостей и генерировать точечные исправления, используя модель Claude Opus 4.7.

Project Glasswing и секретная модель Mythos

Ранее в этом месяце Anthropic запустила Project Glasswing — масштабный проект, который сравнивают с «Манхэттенским проектом» в области ИИ. Его цель — выявление уязвимостей в глобальной инфраструктуре программного обеспечения с открытым исходным кодом.

В основе Glasswing лежит модель Anthropic под названием Mythos, признанная настолько мощной и потенциально опасной, что её не планируют выпускать в публичный доступ. Доступ к Mythos предоставляется только участникам Glasswing, среди которых крупные игроки отрасли, такие как Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia и Palo Alto Networks.

Суть сканирования уязвимостей

В основе как Project Glasswing, так и Claude Security лежит сканирование уязвимостей. Большинство кибератак начинаются с использования злоумышленником какой-либо бреши в системе защиты. Если защитники смогут своевременно обнаруживать и устранять уязвимости, у киберпреступников останется меньше возможностей для атаки.

Вспомните «Звёздные войны»: сюжет «Новой надежды» строится вокруг планов Звезды Смерти, которые принцесса Лея передаёт роботу R2-D2. Получив эти планы, повстанцы смогли найти уязвимость. Люку Скайуокеру и другим пилотам оставалось лишь выстрелить одной торпедой в вентиляционную шахту Звезды Смерти — и произошёл взрыв. Это наглядный пример уязвимости: Звезда Смерти имела один фатальный изъян. Кодовые базы современного ПО, вероятно, содержат их намного больше, и новый инструмент Claude Security от Anthropic стремится найти их раньше, чем это сделают злоумышленники.

В реальном мире всё работает на программном обеспечении, которое по своей природе уязвимо. Уязвимости не только открывают двери для эксплуатации противниками, но и могут причинить ущерб просто своим существованием, вызывая ошибки, с которыми сталкиваются пользователи.

Эволюция ИИ-сканеров уязвимостей

Ранее, в ходе экспериментов с ИИ-инструментами для сканирования уязвимостей, таких как OpenAI Codex, отмечались сложности с обработкой контекста всего проекта. Однако совместное использование таких инструментов, например, с функцией глубокого поиска ChatGPT, которая лучше справляется с большими объёмами данных, позволяло выявлять критические уязвимости в защитном ПО.

С тех пор возможности Codex и Claude Code по обработке кода в едином контексте значительно улучшились, но ни один из них не способен обрабатывать крупную кодовую базу целиком за один раз.

Модель Mythos, напротив, способна справляться с такими задачами, анализируя даже взаимосвязи между кодовыми базами на макроуровне. Однако она недоступна широкой публике, даже пользователям с корпоративной подпиской. В прошлом месяце OpenAI представила Codex Security, также предлагающий анализ контекста более крупного масштаба. Теперь Claude Security способен выполнять аналогичные крупномасштабные сканирования.

Новый продукт может сканировать как полный репозиторий, так и определённую директорию. По данным Anthropic, Claude анализирует код подобно исследователю безопасности, отслеживая потоки данных, изучая исходный код и выявляя взаимодействие компонентов между файлами и модулями.

Обратная сторона: риски использования ИИ-сканеров

Несмотря на защитные возможности, ИИ-сканеры уязвимостей представляют собой обоюдоострое оружие. Они не только помогают защитникам, но и могут быть использованы злоумышленниками для поиска точек атаки. Примером служит та же Звезда Смерти: как только повстанцы узнали об уязвимости, они смогли её использовать.

Корпорации Microsoft и OpenAI сообщали, что государственные субъекты из Китая, Ирана, России и Северной Кореи применяли большие языковые модели для исследования различных компаний и инструментов кибербезопасности, отладки кода, генерации скриптов и создания контента, предположительно предназначенного для фишинговых и целевых фишинговых кампаний.

Anthropic стремится предотвратить подобное использование своих моделей. Начиная с версии Opus 4.7, компания внедрила новые киберзащитные механизмы, которые автоматически обнаруживают и блокируют запросы, указывающие на запрещённое или высокорисковое использование в целях кибербезопасности.

Например, Opus 4.7 теперь блокирует действия, «которые почти всегда используются злонамеренно и имеют мало или совсем не имеют легитимного оборонительного применения, такие как массовый несанкционированный вывоз данных или разработка кода программ-вымогателей».

Что касается действий, имеющих легитимное оборонительное применение, например, эксплуатация уязвимостей или разработка инструментов для наступательной безопасности, то Opus 4.7 также блокирует и их. Однако исследователи кибербезопасности, утверждённые для участия в Программе верификации кибербезопасности Anthropic, получают доступ к ИИ-возможностям в этой ограниченной «серой зоне».

Эффективно, те, кто получил допуск от Anthropic, могут использовать Opus 4.7 для выполнения обычно заблокированных действий по обеспечению безопасности в рамках своей профессиональной деятельности.

Приоритизация и устранение уязвимостей

Проблема сканирования уязвимостей заключается в том, что оно может генерировать огромный поток информации, часть которой оказывается бесполезной. Существует риск потратить часы или дни на устранение малозначительных ошибок вместо того, чтобы заниматься критическими уязвимостями, способными привести к катастрофическим последствиям.

Claude Security решает эту проблему, внедряя «многоступенчатый конвейер проверки, который независимо верифицирует каждое обнаружение до того, как оно попадёт к аналитику, и каждому результату присваивается рейтинг достоверности».

Искусственный интеллект способен детально объяснять каждое «обнаружение», включая такие факторы, как уровень достоверности, серьёзность, вероятное воздействие, шаги для воспроизведения и рекомендованное исправление. Это значительно упрощает работу, позволяя разработчикам в первую очередь сосредоточиться на высокодостоверных, сильно влияющих и критически важных проблемах, не тратя время на менее значимые вопросы.

На основе полученных результатов Claude Security предоставляет специалистам возможность открывать соответствующий код прямо в Claude Code, в контексте обнаруженной проблемы, для немедленного просмотра и модификации требующих исправления областей.

Anthropic также добавила ряд оптимизаций рабочего процесса, включая «запланированные сканирования для постоянного мониторинга, возможность отклонять обнаружения с документированными причинами (чтобы будущие проверяющие могли доверять предыдущим решениям о приоритизации) и экспорт в форматах CSV и Markdown для интеграции результатов в существующие системы отслеживания и аудита».

Партнёрства для усиления кибербезопасности

Смотрите также:

Google устраняет давнюю проблему Android Auto http://stroybud.com/google-ustranyaet-davnyuyu-problemu-android-auto/.

Интересности на тему: Премьера новой «Нарнии» от Греты Гервиг перенесена на 2027 год

Классные советы в статье "Европейский рынок ПО в 2025 году: обзор инвестиций и ключевых тенденций" здесь.

Подписчики Claude Security могут сотрудничать с технологическими партнёрами и партнёрами по безопасности. Anthropic особо выделила технологических партнёров, таких как CrowdStrike, Palo Alto Networks, SentinelOne, TrendAI и Wiz, которые интегрируют Opus 4.7 в свои платформы кибербезопасности.

Компания также работает с партнёрами по безопасности, включая Accenture, BCG, Deloitte, Infosys и PwC, которые используют Claude Security для помощи предприятиям в укреплении их кибербезопасности.