آنتروپیک «کلود کد سکیوریتی» را راه‌اندازی کرد و سهام شرکت‌های امنیت سایبری را تکان داد

آیا Claude Code Security می‌تواند جای اسکنرهای انسانی را بگیرد؟

افزوده تازه Anthropic به پلتفرم Claude Code با یک وعده ساده می‌آید: بگذارید هوش مصنوعی تمام کدبیس شما را مثل یک پژوهشگر امنیتی باتجربه بخواند و سپس مواردی را که دیگران از دست می‌دهند علامت‌گذاری کند. طبق اطلاعیه شرکت، Claude Code Security آسیب‌پذیری‌ها را اسکن می‌کند، وصله پیشنهاد می‌دهد و یافته‌ها را همراه با رتبه‌بندی شدت و میزان اطمینان ارائه می‌کند—در حالی که انسان‌ها همچنان محکم در جایگاه تأیید نهایی باقی می‌مانند.

برخلاف ابزارهای سنتی آزمون امنیت ایستای برنامه (SAST) که به الگوهای ازپیش‌تعریف‌شده تکیه دارند، Claude Code Security بر مدل‌های زبانی بزرگ (LLM) پیشرفته—از جمله Claude Opus 4.6—متکی است تا درباره جریان داده و نحوه تعامل مؤلفه‌ها استدلال کند. یعنی هدفش این است که ایرادهای منطق کسب‌وکار و کنترل‌های دسترسیِ شکسته‌ای را شکار کند که از اسکنرهای قانون‌محور عبور می‌کنند.

در جریان آزمایش‌های داخلی، Anthropic گفت Opus 4.6 بیش از ۵۰۰ آسیب‌پذیری با شدت بالا را در کدبیس‌های متن‌بازِ در حال استفاده در محیط تولید شناسایی کرده است—برخی از آن‌ها سال‌ها ناشناخته مانده بودند. این یافته‌ها در حال تریاژ و افشای مسئولانه هستند که نشان می‌دهد جاه‌طلبی ابزار فراتر از اصلاحات ظاهری است.

گردش‌کار با گاردریل‌هایی ساختاربندی شده است. پس از یک اسکن جامع، سیستم خودراستی‌آزمایی انجام می‌دهد و تلاش می‌کند یافته‌های خودش را تأیید یا رد کند، پیش از آنکه آن‌ها را در یک داشبورد همراه با وصله‌های پیشنهادی ارائه دهد. اینجا خبری از «ارسال خودکار به پروداکشن» نیست—هر اصلاحی دست‌کم فعلاً به تأیید انسان نیاز دارد.

Anthropic این قابلیت را طی بیش از یک سال از طریق تیم Frontier Red Team توسعه داد و آن را در رقابت‌های امنیت سایبری مانند رویدادهای Capture the Flag، در کنار همکاری با نهادهایی مثل Pacific Northwest National Laboratory آزمایش کرد. این ابزار اکنون در قالب یک پیش‌نمایش پژوهشی محدود برای مشتریان Enterprise و Team ارائه می‌شود و برای نگه‌دارندگان پروژه‌های متن‌باز دسترسی سریع‌تر در نظر گرفته شده است.

با این حال وال‌استریت منتظر جزئیات نماند. سهام شرکت‌های بزرگ امنیت سایبری پس از اعلام این خبر به‌طور محسوس افت کرد؛ شرکت‌هایی از جمله Crowdstrike و Cloudflare هرکدام حدود ۸٪ سقوط کردند و دیگرانی مانند Zscaler، Okta و Gitlab نیز ضربه خوردند. در سطح گسترده‌تر، صندوق Global X Cybersecurity ETF حدود ۵٪ افت کرد که بازتاب‌دهنده نگرانی سراسرِ این بخش بود.

برخی تحلیلگران این واکنش را بیشتر ناشی از تیترها دانستند تا یک تغییر ساختاری، و از آن به‌عنوان یک «مینی فلش‌کرش» یاد کردند که با ترس از این‌که هوش مصنوعی بتواند کشف آسیب‌پذیری را به یک کالای عمومی/استانداردشده تبدیل کند، تغذیه شده بود. دیگران اما استدلال می‌کنند این فروش گسترده نشانه نگرانی‌های عمیق‌تری درباره این است که AI چگونه ممکن است اقتصاد امنیت نرم‌افزار را دگرگون کند.

بحث‌های آنلاین، به‌ویژه در X، نگرانی‌های شغلی را تشدید کرده‌اند. برخی پست‌ها هشدار می‌دهند اسکنرهای مجهز به هوش مصنوعی می‌توانند نقش‌های ارزیابی و رفع آسیب‌پذیری را «از بین ببرند»، خصوصاً در تریاژ باگ در سطوح ابتدایی. در صنعتی که همین حالا هم با اتوماسیون دست‌وپنجه نرم می‌کند، زمان‌بندی این خبر معنادار به نظر می‌رسد.

با این وجود، بسیاری از کارشناسان نگاه خونسردتری دارند. لوگان گراهام از Anthropic گفت: «فکر می‌کنم اگر AGI-pilled هستید، باید واقعاً به امنیت سایبری اهمیت بدهید. زیرساخت‌های سایبر-فیزیکی راهی است که AGI از طریق آن “به جهان دست دراز می‌کند”. به همین دلیل می‌خواهیم کلود آن را امن کند.» گراهام افزود که Anthropic «برای امنیت سایبری نیرو جذب می‌کند». بسیاری دیگر نیز این‌طور چارچوب‌بندی کردند که توانایی جدید کلود برای کمک به تیم‌های تحت فشار در مدیریت انباشت کارها طراحی شده، نه جایگزینی آن‌ها.

نکته کلیدی این است که Claude Code Security نمی‌تواند آزمون زمان اجرا انجام دهد، درخواست‌های API بفرستد یا قابلیت بهره‌برداری را در محیط‌های زنده اعتبارسنجی کند؛ بنابراین آزمون پویا و نظارت انسانی همچنان ضروری است. پس‌زمینه کلی هم قابل چشم‌پوشی نیست. با شتاب‌گرفتن هم تولید کد و هم حملات سایبری توسط AI، مدافعان با مهاجمانی روبه‌رو هستند که می‌توانند سیستم‌ها را با سرعت ماشین وارسی کنند.

Anthropic ابزار خود را به‌عنوان یک هم‌ترازکننده دفاعی معرفی می‌کند؛ ابزاری که خط پایه توسعه امن را بالاتر می‌برد، در حالی که به ماهیت دوکاربردی AI نیز اذعان دارد. از این منظر، Claude Code Security شاید کمتر «مولد اخطار اخراج» باشد و بیشتر «بازنویس نقش‌ها». متخصصان امنیت ممکن است زمان کمتری را صرف زیروروکردن هشدارهای تکراری کنند و زمان بیشتری را به طراحی معماری‌ها، اعتبارسنجی اکسپلویت‌ها و هدایت گردش‌کارهای کمک‌گرفته از AI اختصاص دهند.

این‌که لرزش بازار موقتی باشد یا نشانه یک تغییر ساختاری، به میزان پذیرش، یکپارچه‌سازی با پشته‌های موجود، و همه انواع رویکردها به AI در زیرساخت‌های حیاتی بستگی خواهد داشت. فعلاً Claude Code Security کاری کم‌سابقه در امنیت سایبری انجام داده است: بازبینی کد را به مرکز یک بحث مالی و کارگری تبدیل کرده است.

پرسش‌های متداول ❓

• Claude Code Security چیست؟
  این یک ابزار مبتنی بر هوش مصنوعی از Anthropic است که کل کدبیس‌ها را برای یافتن آسیب‌پذیری‌ها اسکن می‌کند و وصله‌هایی پیشنهاد می‌دهد که توسط انسان بازبینی می‌شوند.
• آیا Claude Code Security جایگزین تیم‌های امنیتی انسانی می‌شود؟
  خیر، برای اعمال اصلاحات به تأیید انسان نیاز دارد و نمی‌تواند آزمون زمان اجرا انجام دهد؛ بنابراین به‌عنوان یک ابزار کمکی مطرح است نه یک جایگزین.
• چرا سهام امنیت سایبری پس از عرضه افت کرد؟
  سرمایه‌گذاران به ترس از این واکنش نشان دادند که اسکن آسیب‌پذیریِ مبتنی بر هوش مصنوعی می‌تواند مدل‌های کسب‌وکار نرم‌افزارهای امنیتی سنتی را مختل کند.
• چه کسانی همین حالا می‌توانند به Claude Code Security دسترسی داشته باشند؟
  این ابزار در پیش‌نمایش پژوهشی محدود برای مشتریان Enterprise و Team است و برای نگه‌دارندگان پروژه‌های متن‌باز دسترسی سریع‌تر فراهم شده است.