Anthropic uruchamia Claude Code Security, wstrząsając akcjami spółek z branży cyberbezpieczeństwa

Czy Claude Code Security może zastąpić ludzkich skanerów?

Najnowszy dodatek Anthropic do platformy Claude Code przychodzi z prostą obietnicą: pozwól AI przeczytać całą bazę kodu jak doświadczony badacz bezpieczeństwa, a następnie wskazać to, co umyka innym. Zgodnie z komunikatem firmy, Claude Code Security skanuje w poszukiwaniu podatności, proponuje poprawki i prezentuje wyniki wraz z oceną dotkliwości oraz poziomem pewności, pozostawiając ludziom decydujący głos w procesie akceptacji.

W przeciwieństwie do tradycyjnych narzędzi statycznego testowania bezpieczeństwa aplikacji, które opierają się na z góry zdefiniowanych wzorcach, Claude Code Security korzysta z zaawansowanych dużych modeli językowych (LLM), w tym Claude Opus 4.6, aby rozumować o tym, jak przepływają dane i jak współdziałają komponenty. Oznacza to, że ma wyłapywać błędy logiki biznesowej oraz zepsute mechanizmy kontroli dostępu, które prześlizgują się przez skanery oparte na regułach.

Podczas testów wewnętrznych Anthropic podał, że Opus 4.6 zidentyfikował ponad 500 podatności o wysokiej dotkliwości w produkcyjnych bazach kodu open source — w tym takie, które pozostawały niezauważone przez lata. Te ustalenia przechodzą triage i odpowiedzialne ujawnianie, co sugeruje, że ambicje narzędzia wykraczają poza kosmetyczne poprawki.

Przepływ pracy jest zaprojektowany z zabezpieczeniami. Po kompleksowym skanie system wykonuje samoweryfikację, próbując potwierdzić lub obalić własne ustalenia, zanim przedstawi je w panelu wraz z proponowanymi poprawkami. Nie ma tu automatycznego „wdrożenia na produkcję” — każda poprawka wymaga akceptacji człowieka, przynajmniej na razie.

Anthropic rozwijał tę funkcjonalność przez ponad rok w ramach Frontier Red Team i testował ją w konkursach cyberbezpieczeństwa, takich jak wydarzenia Capture the Flag, a także we współpracy z instytucjami pokroju Pacific Northwest National Laboratory. Narzędzie jest obecnie dostępne w ograniczonym podglądzie badawczym dla klientów Enterprise i Team, z przyspieszonym dostępem dla opiekunów projektów open source.

Wall Street jednak nie czekało na drobny druk. Akcje głównych firm z branży cyberbezpieczeństwa gwałtownie spadły po ogłoszeniu, a spółki takie jak Crowdstrike i Cloudflare straciły po około 8%, podczas gdy inne, jak Zscaler, Okta i Gitlab, również oberwały. Szeroki Global X Cybersecurity ETF spadł o około 5%, odzwierciedlając niepokój w całym sektorze.

Część analityków określiła tę reakcję jako napędzaną nagłówkami, a nie strukturalną, nazywając ją „mini-flash crashem” podsycanym obawami, że AI może skomodytyzować wykrywanie podatności. Inni twierdzą, że wyprzedaż sygnalizuje głębsze obawy o to, jak AI może przekształcić ekonomię bezpieczeństwa oprogramowania.

Dyskusje online, szczególnie na X, wzmocniły lęki związane z pracą. Posty ostrzegają, że skanery napędzane AI mogą „wymieść” role związane z oceną podatności i usuwaniem błędów, zwłaszcza w obszarze podstawowego triage błędów. W branży, która już zmaga się z automatyzacją, moment wydaje się znaczący.

Jednak wielu ekspertów prezentuje chłodniejsze podejście. Logan Graham z Anthropic powiedział: „Myślę, że jeśli łykasz narrację o AGI, powinieneś bardzo przejmować się cyberbezpieczeństwem. Infrastruktura cyberfizyczna to sposób, w jaki AGI ‘wyciąga ręce do świata’. Dlatego chcemy, żeby Claude ją zabezpieczał.” Graham dodał też, że Anthropic „rekrutował do cyberbezpieczeństwa”. Wielu innych przedstawiało to tak, że nowa zdolność Claude’a ma pomóc przeciążonym zespołom zarządzać zaległościami, a nie je zastępować.

Co kluczowe, Claude Code Security nie potrafi wykonywać testów w czasie działania, wysyłać zapytań API ani potwierdzać wykonalności exploitów w środowiskach na żywo, co oznacza, że testowanie dynamiczne i nadzór człowieka pozostają niezbędne. Szerszego tła nie da się zignorować. Gdy AI przyspiesza zarówno generowanie kodu, jak i cyberataki, obrońcy mierzą się z przeciwnikami, którzy mogą sondować systemy z prędkością maszyny.

Anthropic przedstawia swoje narzędzie jako defensywny „wyrównywacz”, podnoszący bazowy poziom bezpiecznego wytwarzania oprogramowania, przy jednoczesnym uznaniu dwoistego zastosowania AI. W tym sensie Claude Code Security może być mniej generatorem wypowiedzeń, a bardziej narzędziem przepisującym role. Specjaliści ds. bezpieczeństwa mogą spędzać mniej czasu na przekopywaniu się przez powtarzalne alerty, a więcej na projektowaniu architektur, weryfikowaniu exploitów i sterowaniu przepływami pracy wspomaganymi przez AI.

To, czy rynkowe drgnięcie okaże się tymczasowe, czy będzie oznaczać zmianę strukturalną, zależy od adopcji, integracji z istniejącymi stosami oraz wszelkich rodzajów podejść do AI w infrastrukturze krytycznej. Na razie Claude Code Security zrobił coś rzadkiego w cyberbezpieczeństwie: uczynił przegląd kodu centrum debaty finansowej i pracowniczej.

FAQ ❓

• Czym jest Claude Code Security?
  To narzędzie Anthropic napędzane AI, które skanuje całe bazy kodu pod kątem podatności i sugeruje poprawki weryfikowane przez ludzi.
• Czy Claude Code Security zastępuje ludzkie zespoły bezpieczeństwa?
  Nie, wymaga zatwierdzenia poprawek przez człowieka i nie potrafi wykonywać testów w czasie działania, więc jest pozycjonowane jako narzędzie wspomagające, a nie zastępstwo.
• Dlaczego akcje spółek cyberbezpieczeństwa spadły po premierze?
  Inwestorzy zareagowali obawami, że skanowanie podatności napędzane AI może zakłócić tradycyjne modele biznesowe oprogramowania bezpieczeństwa.
• Kto może uzyskać dostęp do Claude Code Security teraz?
  Jest dostępne w ograniczonym podglądzie badawczym dla klientów Enterprise i Team, z przyspieszonym dostępem dla opiekunów projektów open source.