Az Anthropic elindította a Claude Code Securityt, felforgatva a kiberbiztonsági részvényeket

Képes a Claude Code Security kiváltani az emberi ellenőrzőket?

Az Anthropic legújabb bővítése a Claude Code platformhoz egy egyszerű ígérettel érkezik: hagyd, hogy az MI egy tapasztalt biztonsági kutató módjára átolvassa a teljes kódbázisodat, majd jelezze azt, amit mások nem vesznek észre. A vállalat közleménye szerint a Claude Code Security sebezhetőségekre szkennel, javításokat javasol, és az eredményeket súlyossági és megbízhatósági (bizalom) értékelésekkel mutatja be, miközben az engedélyezés továbbra is határozottan az emberek kezében marad.

A hagyományos statikus alkalmazásbiztonsági tesztelési eszközökkel szemben, amelyek előre meghatározott mintákra támaszkodnak, a Claude Code Security fejlett nagy nyelvi modellekre (LLM-ekre) épít, köztük a Claude Opus 4.6-ra, hogy végig tudja gondolni, hogyan áramlik az adat és hogyan lépnek kölcsönhatásba az összetevők. Ez azt jelenti, hogy olyan üzleti logikai hibákat és hibás hozzáférés-vezérléseket is célba vehet, amelyek átcsúsznak a szabályalapú szkennereken.

Belső tesztek során az Anthropic szerint az Opus 4.6 több mint 500, magas súlyosságú sebezhetőséget azonosított éles, nyílt forráskódú kódbázisokban — köztük olyanokat, amelyek évekig észrevétlenek maradtak. Ezeket az eredményeket jelenleg triázsolják és felelős közzététel (responsible disclosure) keretében kezelik, ami arra utal, hogy az eszköz ambíciói túlmutatnak a kozmetikai javításokon.

A munkafolyamatot védőkorlátok mentén alakították ki. Egy átfogó szkennelés után a rendszer önellenőrzést végez, megpróbálja megerősíteni vagy cáfolni a saját megállapításait, mielőtt egy irányítópulton (dashboard) javasolt javításokkal együtt bemutatná őket. Nincs automatikus „push élesbe” — minden javításhoz emberi jóváhagyás szükséges, legalábbis egyelőre.

Az Anthropic több mint egy éven át fejlesztette a képességet a Frontier Red Teamjén keresztül, és kiberbiztonsági versenyeken, például Capture the Flag eseményeken tesztelte, továbbá olyan intézményekkel működött együtt, mint a Pacific Northwest National Laboratory. Az eszköz jelenleg korlátozott kutatási előnézetben érhető el Enterprise és Team ügyfelek számára, a nyílt forráskódú karbantartóknak pedig gyorsított hozzáférést biztosítanak.

A Wall Street azonban nem várta meg az apróbetűs részt. A bejelentést követően a nagy kiberbiztonsági cégek részvényei meredeken estek: többek között a Crowdstrike és a Cloudflare egyaránt nagyjából 8%-ot zuhant, míg mások, például a Zscaler, az Okta és a Gitlab szintén komoly ütést kaptak. A szélesebb Global X Cybersecurity ETF körülbelül 5%-ot esett, ami ágazatszintű nyugtalanságot tükröz.

Egyes elemzők szerint a reakció inkább a címsorok által vezérelt, mintsem strukturális, és „mini villám-összeomlásként” írták le, amelyet az a félelem táplált, hogy az MI árucikké teheti a sebezhetőségek felderítését. Mások úgy vélik, az eladási hullám mélyebb aggodalmakat jelez azzal kapcsolatban, hogyan alakíthatja át az MI a szoftverbiztonság közgazdaságtanát.

Az online viták, különösen az X-en, felerősítették a munkahelyi szorongásokat. Bejegyzések arra figyelmeztetnek, hogy az MI-vezérelt szkennerek „eltüntethetik” a sebezhetőség-felmérés és a javítás szerepköreit, különösen a belépő szintű hibatriázs területén. Egy olyan iparágban, amely már eleve az automatizálással küzd, az időzítés különösen beszédesnek tűnik.

Sokan azonban higgadtabban látják. Az Anthropic munkatársa, Logan Graham így fogalmazott: “I think if you’re AGI-pilled, you should care a lot about cybersecurity. Cyberphysical infrastructure is how AGI ‘reaches out into the world.’ That’s why we want Claude to secure it.” Graham hozzátette, hogy az Anthropic „kiberbiztonsági pozíciókra toboroz”. Sok más vélemény szerint Claude új képessége arra készült, hogy a túlterhelt csapatoknak segítsen a felhalmozódott feladatok kezelésében, nem pedig arra, hogy kiváltsa őket.

Lényeges, hogy a Claude Code Security nem képes futásidejű tesztelésre, API-kérések küldésére, vagy az exploitálhatóság élő környezetben történő validálására, ami azt jelenti, hogy a dinamikus tesztelés és az emberi felügyelet továbbra is elengedhetetlen. A tágabb háttér pedig nehezen hagyható figyelmen kívül. Ahogy az MI felgyorsítja mind a kódgenerálást, mind a kibertámadásokat, a védelmi oldalon olyan ellenfelekkel kell szembenézni, akik gépi sebességgel tudják szondázni a rendszereket.

Az Anthropic az eszközét védelmi „kiegyenlítőként” keretezi, amely emeli a biztonságos fejlesztés alapszintjét, miközben elismeri az MI kettős felhasználhatóságát. Ebben az értelemben a Claude Code Security kevésbé lehet „felmondásgenerátor”, és inkább szerepátíró. A biztonsági szakemberek kevesebb időt tölthetnek ismétlődő riasztások átfésülésével, és többet az architektúrák tervezésével, exploitok validálásával, valamint az MI-vel támogatott munkafolyamatok irányításával.

Hogy a piaci megrázkódtatás átmenetinek bizonyul-e, vagy strukturális elmozdulást jelez, az az elfogadottságon, a meglévő technológiai stackekkel való integráción, valamint az MI kritikus infrastruktúrában alkalmazott megközelítéseinek minden típusán múlik. Egyelőre a Claude Code Security valami ritkát tett a kiberbiztonságban: a kódellenőrzést a pénzügyi és munkaerőpiaci vita középpontjába helyezte.

GYIK ❓

• Mi az a Claude Code Security?
  Az Anthropic MI-alapú eszköze, amely teljes kódbázisokat vizsgál sebezhetőségek után, és ember által felülvizsgált javításokat javasol.
• Kiváltja a Claude Code Security az emberi biztonsági csapatokat?
  Nem, a javításokhoz emberi jóváhagyás szükséges, és nem képes futásidejű tesztelésre, így inkább segítő eszközként, mintsem helyettesítőként pozicionálható.
• Miért estek a kiberbiztonsági részvények a bevezetés után?
  A befektetők attól tartottak, hogy az MI-vezérelt sebezhetőség-szkennelés felforgathatja a hagyományos biztonsági szoftverek üzleti modelljeit.
• Ki férhet hozzá most a Claude Code Securityhez?
  Korlátozott kutatási előnézetben érhető el Enterprise és Team ügyfelek számára, a nyílt forráskódú karbantartóknak pedig gyorsított hozzáféréssel.