एंथ्रोपिक ने क्लॉड कोड सुरक्षा लॉन्च की, साइबर सुरक्षा शेयरों में हलचल

क्या क्लॉड कोड सिक्योरिटी मानव स्कैनरों की जगह ले सकती है?

Anthropic का अपने Claude Code प्लेटफ़ॉर्म में यह नवीनतम जोड़ एक सरल प्रस्ताव के साथ आता है: AI को एक अनुभवी सुरक्षा शोधकर्ता की तरह आपके पूरे कोडबेस को पढ़ने दें, और फिर उन चीज़ों को चिह्नित करे जिन्हें दूसरे लोग चूक जाते हैं। कंपनी की रिलीज़ के अनुसार, Claude Code Security कमजोरियों को स्कैन करता है, पैच का सुझाव देता है, और गंभीरता और विश्वास रेटिंग के साथ निष्कर्ष प्रस्तुत करता है, साथ ही मानवीय अनुमोदन को पूरी तरह से बनाए रखता है।

पारंपरिक स्थिर एप्लिकेशन सुरक्षा परीक्षण उपकरणों के विपरीत जो पूर्वनिर्धारित पैटर्न पर निर्भर करते हैं, क्लॉड कोड सिक्योरिटी उन्नत बड़े भाषा मॉडल (एलएलएम) पर निर्भर करती है, जिसमें क्लॉड ओपस 4.6 भी शामिल है, ताकि यह समझ सके कि डेटा कैसे प्रवाहित होता है और घटक कैसे परस्पर क्रिया करते हैं। इसका मतलब है कि इसका लक्ष्य व्यावसायिक तर्क की खामियों और टूटे हुए एक्सेस नियंत्रणों को पकड़ना है जो नियम-आधारित स्कैनरों से बच जाते हैं।

आंतरिक परीक्षण के दौरान, एंथ्रोपिक ने कहा कि ओपस 4.6 ने प्रोडक्शन ओपन-सोर्स कोडबेस में 500 से अधिक उच्च-गंभीरता वाली कमजोरियों की पहचान की—जिनमें से कुछ सालों से अनदेखी हो गई थीं। उन निष्कर्षों पर ट्राइएज और जिम्मेदार प्रकटीकरण किया जा रहा है, जिससे पता चलता है कि इस टूल की महत्वाकांक्षा केवल दिखावटी सुधारों से कहीं आगे है।

कार्यप्रवाह गार्डरेल के लिए संरचित है। एक व्यापक स्कैन के बाद, सिस्टम स्व-सत्यापन करता है, और सुझाए गए पैच के साथ डैशबोर्ड में अपनी ही खोजों को प्रस्तुत करने से पहले उन्हें पुष्टि या खंडन करने का प्रयास करता है। यहाँ कोई स्वचालित "पुश टू प्रोड" नहीं है—हर सुधार के लिए मानवीय अनुमोदन की आवश्यकता होती है, कम से कम अभी के लिए।

एन्थ्रोपिक ने अपनी फ्रंटियर रेड टीम के माध्यम से एक साल से अधिक समय में इस क्षमता का विकास किया और कैप्चर द फ्लैग इवेंट्स जैसे साइबर सुरक्षा प्रतियोगिताओं में, पैसिफिक नॉर्थवेस्ट नेशनल लैबोरेटरी जैसी संस्थाओं के साथ सहयोग के साथ, इसका परीक्षण किया। यह टूल वर्तमान में एंटरप्राइज और टीम ग्राहकों के लिए एक सीमित अनुसंधान पूर्वावलोकन में है, जिसमें ओपन-सोर्स मेंटेनर्स के लिए त्वरित पहुंच शामिल है।

हालांकि, वॉल स्ट्रीट ने बारीकियों का इंतजार नहीं किया। घोषणा के बाद प्रमुख साइबर सुरक्षा फर्मों के शेयरों में भारी गिरावट आई, जिसमें क्राउडस्ट्राइक और क्लाउडफ्लेयर सहित कंपनियों के शेयर लगभग 8% तक गिर गए, जबकि Zscaler, Okta, और Gitlab जैसे अन्य शेयरों को भी झटका लगा। व्यापक ग्लोबल एक्स साइबरसिक्योरिटी ईटीएफ लगभग 5% गिर गया, जो पूरे क्षेत्र में असंतोष को दर्शाता है।

विश्लेषकों ने इस प्रतिक्रिया को संरचनात्मक होने के बजाय सुर्खी-संचालित बताया, और इसे एक "मिनी-फ्लैश क्रैश" कहा जो इस डर से भड़का कि एआई भेद्यता का पता लगाने को एक सामान्य वस्तु बना सकता है। अन्य का तर्क है कि यह बिकवाली इस बात को लेकर गहरी चिंताओं का संकेत देती है कि एआई सॉफ्टवेयर सुरक्षा की अर्थव्यवस्था को कैसे फिर से आकार दे सकता है।

ऑनलाइन चर्चाओं, विशेष रूप से एक्स (X) पर, ने नौकरी की चिंताओं को बढ़ा दिया है। पोस्ट चेतावनी देते हैं कि एआई-संचालित स्कैनर भेद्यता मूल्यांकन और निवारण में भूमिकाओं को "खत्म" कर सकते हैं, खासकर एंट्री-लेवल बग ट्राइएज में। एक ऐसे उद्योग में जो पहले से ही स्वचालन से जूझ रहा है, यह समय विशेष रूप से सटीक लगता है।

फिर भी कई विशेषज्ञ एक अधिक संतुलित दृष्टिकोण पेश करते हैं। एंथ्रॉपिक के लोगन ग्राहम ने कहा, "मुझे लगता है कि अगर आप एजीआई-पिल्ड हैं, तो आपको साइबर सुरक्षा की बहुत परवाह करनी चाहिए। साइबर-भौतिक बुनियादी ढांचा वह तरीका है जिससे एजीआई 'दुनिया तक पहुंचता है'। इसीलिए हम चाहते हैं कि क्लॉड इसे सुरक्षित करे।" ग्राहम ने यह भी कहा कि एंथ्रॉपिक "साइबर सुरक्षा के लिए भर्ती कर रहा था।" कई अन्य लोगों ने इसे इस तरह से पेश किया कि क्लॉड की नई क्षमता को टीमों को बदलने के बजाय, अभिभूत टीमों को उनके बैकलॉग (काम के बकाए) को प्रबंधित करने में मदद करने के लिए डिज़ाइन किया गया था।

महत्वपूर्ण रूप से, क्लॉड कोड सिक्योरिटी रनटाइम परीक्षण नहीं कर सकता, एपीआई अनुरोध नहीं भेज सकता, या लाइव वातावरण में शोषण क्षमता को मान्य नहीं कर सकता, जिसका अर्थ है कि डायनामिक परीक्षण और मानवीय निगरानी आवश्यक बनी हुई है। व्यापक पृष्ठभूमि को नज़रअंदाज़ करना मुश्किल है। जैसे-जैसे एआई कोड जेनरेशन और साइबर हमलों दोनों में तेजी ला रहा है, रक्षकों को ऐसे विरोधियों का सामना करना पड़ता है जो मशीन की गति से सिस्टम की जांच कर सकते हैं।

एन्थ्रॉपिक अपने टूल को एक रक्षात्मक संतुलनकारी के रूप में पेश करता है, जो एआई की दोहरे उपयोग की प्रकृति को स्वीकार करते हुए सुरक्षित विकास के लिए आधार रेखा को ऊंचा करता है। इस अर्थ में, क्लॉड कोड सिक्योरिटी शायद नौकरी से निकालने वाला उपकरण कम और भूमिकाओं को फिर से लिखने वाला अधिक हो सकता है। सुरक्षा पेशेवर खुद को दोहराव वाले अलर्ट को खंगालने में कम समय और आर्किटेक्चर डिजाइन करने, एक्सप्लॉइट्स को मान्य करने, और एआई-सहायक वर्कफ़्लो का मार्गदर्शन करने में अधिक समय बिताते हुए पा सकते हैं।

बाज़ार में यह हलचल अस्थायी साबित होगी या एक संरचनात्मक बदलाव का संकेत देगी, यह इस बात पर निर्भर करेगा कि इसे कितना अपनाया जाता है, मौजूदा स्टैक्स के साथ एकीकृत किया जाता है, और महत्वपूर्ण बुनियादी ढांचे में एआई के सभी प्रकार के दृष्टिकोणों को अपनाया जाता है। फिलहाल, क्लॉड कोड सिक्योरिटी ने साइबर सुरक्षा में कुछ दुर्लभ किया है: इसने कोड समीक्षा को वित्तीय और श्रम बहस के केंद्र में ला दिया है।

अक्सर पूछे जाने वाले प्रश्न ❓

• क्लॉड कोड सिक्योरिटी क्या है?
  यह एंथ्रॉपिक का एक एआई-संचालित टूल है जो संपूर्ण कोडबेस को कमजोरियों के लिए स्कैन करता है और मानव-समीक्षित पैच का सुझाव देता है।
• क्या क्लॉड कोड सिक्योरिटी मानव सुरक्षा टीमों की जगह ले लेता है?
  नहीं, इसे फिक्स के लिए मानव अनुमोदन की आवश्यकता होती है और यह रनटाइम परीक्षण नहीं कर सकता, जो इसे प्रतिस्थापन के बजाय एक सहायक उपकरण के रूप में स्थापित करता है।
• लॉन्च के बाद साइबर सुरक्षा के शेयर क्यों गिरे?
  निवेशकों ने इस डर पर प्रतिक्रिया दी कि एआई-संचालित भेद्यता स्कैनिंग पारंपरिक सुरक्षा सॉफ्टवेयर व्यावसायिक मॉडलों में व्यवधान डाल सकती है।
• अभी क्लॉड कोड सिक्योरिटी का उपयोग कौन कर सकता है?
  यह एंटरप्राइज और टीम ग्राहकों के लिए सीमित रिसर्च प्रीव्यू में है, जिसमें ओपन-सोर्स मेंटेनर्स के लिए त्वरित पहुँच शामिल है।