Anthropic Melancarkan Keselamatan Kod Claude, Menggegarkan Saham Keselamatan Siber

Bolehkah Claude Code Security Menggantikan Pengimbas Manusia?

Tambahan terbaharu Anthropic kepada platform Claude Code hadir dengan tawaran ringkas: biarkan AI membaca seluruh pangkalan kod anda seperti penyelidik keselamatan berpengalaman, kemudian menandakan perkara yang terlepas pandang oleh yang lain. Menurut siaran syarikat itu, Claude Code Security mengimbas kerentanan, mencadangkan tampalan, dan mempersembahkan dapatan dengan penarafan keterukan serta keyakinan, sambil mengekalkan manusia sebagai pihak yang memuktamadkan kelulusan.

Tidak seperti alat pengujian keselamatan aplikasi statik tradisional yang bergantung pada corak yang telah ditakrifkan, Claude Code Security memanfaatkan model bahasa besar (LLM) yang canggih, termasuk Claude Opus 4.6, untuk membuat penaakulan tentang bagaimana data mengalir dan bagaimana komponen berinteraksi. Ini bermakna ia mensasarkan untuk mengesan kelemahan logik perniagaan dan kawalan akses yang rosak yang sering terlepas daripada pengimbas berasaskan peraturan.

Semasa ujian dalaman, Anthropic berkata Opus 4.6 mengenal pasti lebih daripada 500 kerentanan berketerukan tinggi dalam pangkalan kod sumber terbuka yang digunakan dalam produksi—termasuk yang tidak disedari selama bertahun-tahun. Dapatan tersebut sedang melalui proses triage dan pendedahan bertanggungjawab, menunjukkan cita-cita alat ini melangkaui pembaikan kosmetik.

Aliran kerja disusun dengan pagar keselamatan. Selepas imbasan menyeluruh, sistem melakukan pengesahan kendiri, cuba mengesahkan atau menafikan dapatan sendiri sebelum membentangkannya dalam papan pemuka bersama tampalan yang dicadangkan. Tiada “tolak terus ke produksi” automatik di sini—setiap pembaikan memerlukan kelulusan manusia, sekurang-kurangnya buat masa ini.

Anthropic membangunkan keupayaan itu selama lebih setahun melalui Frontier Red Team mereka dan mengujinya dalam pertandingan keselamatan siber seperti acara Capture the Flag, di samping kerjasama dengan institusi seperti Pacific Northwest National Laboratory. Alat ini kini berada dalam pratonton penyelidikan terhad untuk pelanggan Enterprise dan Team, dengan akses dipercepatkan untuk penyelenggara sumber terbuka.

Namun Wall Street tidak menunggu perincian halus. Saham firma keselamatan siber utama merosot ketara selepas pengumuman itu, dengan syarikat termasuk Crowdstrike dan Cloudflare masing-masing turun kira-kira 8%, manakala yang lain seperti Zscaler, Okta dan Gitlab turut menerima tempias. Global X Cybersecurity ETF yang lebih luas turun sekitar 5%, mencerminkan kegelisahan seluruh sektor.

Sesetengah penganalisis menyifatkan reaksi itu dipacu tajuk berita dan bukannya bersifat struktur, menggambarkannya sebagai “mini-flash crash” yang didorong oleh ketakutan bahawa AI boleh menjadikan pengesanan kerentanan sebagai komoditi. Yang lain pula berhujah bahawa penjualan besar-besaran itu menandakan kebimbangan lebih mendalam tentang bagaimana AI mungkin membentuk semula ekonomi keselamatan perisian.

Perbincangan dalam talian, khususnya di X, telah memperkuat kebimbangan tentang pekerjaan. Hantaran memberi amaran bahawa pengimbas berkuasa AI boleh “menghapuskan” peranan dalam penilaian kerentanan dan pemulihan, terutama dalam triage pepijat peringkat permulaan. Dalam industri yang sudah bergelut dengan automasi, masanya terasa tepat dan tajam.

Namun ramai pakar memberi pandangan yang lebih tenang. Logan Graham dari Anthropic berkata, “Saya fikir jika anda ‘AGI-pilled’, anda patut sangat mengambil berat tentang keselamatan siber. Infrastruktur siber-fizikal ialah cara AGI ‘mencapai ke dunia.’ Itulah sebabnya kami mahu Claude mengamankannya.” Graham menambah bahawa Anthropic sedang “mengambil pekerja untuk keselamatan siber.” Ramai yang lain membingkaikannya sebagai keupayaan baharu Claude direka untuk membantu pasukan yang terbeban mengurus tunggakan kerja, bukannya menggantikan mereka.

Yang penting, Claude Code Security tidak boleh melakukan ujian masa jalan (runtime), menghantar permintaan API, atau mengesahkan keboleh-eksploitan dalam persekitaran langsung, bermakna ujian dinamik dan pengawasan manusia kekal penting. Latar yang lebih luas sukar diabaikan. Ketika AI mempercepatkan penjanaan kod dan serangan siber, pihak pertahanan berdepan musuh yang boleh menyiasat sistem pada kelajuan mesin.

Anthropic membingkaikan alatnya sebagai penyamarata pertahanan, menaikkan garis asas untuk pembangunan yang selamat sambil mengakui sifat dwi-guna AI. Dalam erti kata itu, Claude Code Security mungkin kurang sebagai mesin pengeluar surat pemberhentian dan lebih sebagai penulis semula peranan. Profesional keselamatan mungkin mendapati diri mereka menghabiskan kurang masa menyemak amaran berulang dan lebih masa mereka bentuk seni bina, mengesahkan eksploit, serta mengemudi aliran kerja berbantukan AI.

Sama ada gegaran pasaran ini terbukti sementara atau menandakan peralihan struktur akan bergantung pada kadar penerimaan, integrasi dengan susunan (stack) sedia ada, dan pelbagai pendekatan terhadap AI dalam infrastruktur kritikal. Buat masa ini, Claude Code Security telah melakukan sesuatu yang jarang berlaku dalam keselamatan siber: ia menjadikan semakan kod pusat kepada perdebatan kewangan dan tenaga kerja.

Soalan Lazim ❓

• Apakah itu Claude Code Security?
  Ia ialah alat berkuasa AI daripada Anthropic yang mengimbas keseluruhan pangkalan kod untuk kerentanan dan mencadangkan tampalan yang disemak manusia.
• Adakah Claude Code Security menggantikan pasukan keselamatan manusia?
  Tidak, ia memerlukan kelulusan manusia untuk pembaikan dan tidak boleh melakukan ujian masa jalan (runtime), menjadikannya alat bantuan dan bukannya pengganti.
• Mengapa saham keselamatan siber jatuh selepas pelancaran?
  Pelabur bertindak balas terhadap kebimbangan bahawa pengimbasan kerentanan dipacu AI boleh mengganggu model perniagaan perisian keselamatan tradisional.
• Siapa yang boleh mengakses Claude Code Security sekarang?
  Ia berada dalam pratonton penyelidikan terhad untuk pelanggan Enterprise dan Team, dengan akses dipercepatkan untuk penyelenggara sumber terbuka.