Anthropic lansira Claude Code Security, kar pretrese delnice na področju kibernetske varnosti

Ali lahko Claude Code Security nadomesti človeške pregledovalce?

Anthropicov najnovejši dodatek platformi Claude Code prihaja s preprostim sporočilom: naj UI prebere celotno vašo kodno bazo kot izkušen varnostni raziskovalec, nato pa označi tisto, kar drugi spregledajo. Po navedbah podjetja v objavi Claude Code Security pregleduje ranljivosti, predlaga popravke in rezultate predstavlja z ocenami resnosti ter stopnje zaupanja, pri čemer pa odločitev o odobritvi ostaja trdno v rokah ljudi.

Za razliko od tradicionalnih orodij za statično testiranje varnosti aplikacij, ki se zanašajo na vnaprej določene vzorce, se Claude Code Security opira na napredne velike jezikovne modele (LLM), vključno s Claude Opus 4.6, da razume tok podatkov in interakcije med komponentami. To pomeni, da želi ujeti napake v poslovni logiki in pokvarjene kontrole dostopa, ki jih pregledovalniki, temelječi na pravilih, spregledajo.

Med internim testiranjem je Anthropic povedal, da je Opus 4.6 v produkcijskih odprtokodnih kodnih bazah identificiral več kot 500 ranljivosti visoke resnosti—nekatere so ostale neopažene več let. Te ugotovitve so v postopku triaže in odgovornega razkritja, kar nakazuje, da ambicije orodja segajo dlje od zgolj kozmetičnih popravkov.

Delovni proces je zasnovan z varovalnimi mehanizmi. Po celovitem pregledu sistem izvede samopreverjanje in poskuša lastne ugotovitve potrditi ali ovreči, preden jih prikaže na nadzorni plošči s predlaganimi popravki. Tu ni avtomatiziranega “push v produkcijo”—vsak popravek zahteva človeško odobritev, vsaj za zdaj.

Anthropic je to zmožnost razvijal več kot leto dni prek svoje ekipe Frontier Red Team in jo preizkušal na tekmovanjih kibernetske varnosti, kot so dogodki Capture the Flag, ter v sodelovanju z institucijami, kot je Pacific Northwest National Laboratory. Orodje je trenutno v omejenem raziskovalnem predogledu za stranke Enterprise in Team, z pospešenim dostopom za vzdrževalce odprtokodnih projektov.

Wall Street pa ni čakal na drobni tisk. Delnice večjih podjetij s področja kibernetske varnosti so po objavi močno zdrsnile; podjetja, vključno s Crowdstrike in Cloudflare, so padla za približno 8 %, medtem ko so udarce utrpeli tudi Zscaler, Okta in Gitlab. Širši Global X Cybersecurity ETF je padel za okoli 5 %, kar odraža nelagodje v celotnem sektorju.

Nekateri analitiki so odziv označili kot posledico naslovnic in ne strukturnih sprememb ter ga opisali kot “mini-flash crash”, ki ga poganjajo strahovi, da bi UI lahko komoditizirala odkrivanje ranljivosti. Drugi menijo, da razprodaja kaže na globlje skrbi glede tega, kako bi UI lahko preoblikovala ekonomiko varnosti programske opreme.

Spletne razprave, zlasti na X, so okrepile skrbi glede delovnih mest. Objave opozarjajo, da bi pregledovalniki, ki jih poganja UI, lahko “izbrisali” vloge pri ocenjevanju ranljivosti in odpravljanju napak, še posebej pri začetniškem triažiranju hroščev. V panogi, ki se že spopada z avtomatizacijo, se časovna umestitev zdi pomenljiva.

Vendar številni strokovnjaki ponujajo bolj zadržan pogled. Logan Graham iz Anthropic je dejal: “Mislim, da če ste ‘AGI-pilled’, bi vas morala kibernetska varnost zelo zanimati. Kibernetsko-fizična infrastruktura je način, kako AGI ‘seže v svet’. Zato želimo, da jo Claude zavaruje.” Graham je dodal, da Anthropic “zaposluje na področju kibernetske varnosti”. Mnogi drugi so to predstavili kot to, da je nova zmožnost Clauda zasnovana za pomoč preobremenjenim ekipam pri obvladovanju zaostankov, ne pa za njihovo zamenjavo.

Ključno je, da Claude Code Security ne more izvajati testiranja med izvajanjem, pošiljati API zahtevkov ali potrjevati izkoriščljivosti v živih okoljih, kar pomeni, da dinamično testiranje in človeški nadzor ostajata nujna. Širšega ozadja je težko prezreti. Ker UI pospešuje tako generiranje kode kot kibernetske napade, se branilci soočajo z nasprotniki, ki lahko sisteme preizkušajo s hitrostjo stroja.

Anthropic svoje orodje predstavlja kot obrambni izenačevalnik, ki dviguje osnovno raven varnega razvoja, hkrati pa priznava dvojno rabo UI. V tem smislu je Claude Code Security morda manj generator odpovedi in bolj prepisovalec vlog. Varnostni strokovnjaki lahko ugotovijo, da porabijo manj časa za prečesavanje ponavljajočih se opozoril in več časa za načrtovanje arhitektur, validacijo izkoriščanj ter usmerjanje delovnih tokov, podprtih z UI.

Ali se bo tržni pretres izkazal za začasen ali bo označil strukturni premik, bo odvisno od sprejetja, integracije z obstoječimi sklopi in vseh vrst pristopov k UI v kritični infrastrukturi. Za zdaj je Claude Code Security naredil nekaj redkega v kibernetski varnosti: pregled kode je postavil v središče finančne in delovne razprave.

FAQ ❓

• Kaj je Claude Code Security?
  To je orodje podjetja Anthropic, ki ga poganja UI, in pregleduje celotne kodne baze za ranljivosti ter predlaga popravke, ki jih pregleda človek.
• Ali Claude Code Security nadomešča človeške varnostne ekipe?
  Ne, za popravke zahteva človeško odobritev in ne more izvajati testiranja med izvajanjem, zato je pozicionirano kot pomoč in ne kot zamenjava.
• Zakaj so delnice kibernetske varnosti po lansiranju padle?
  Vlagatelji so se odzvali na strahove, da bi lahko pregledovanje ranljivosti, gnano z UI, premešalo tradicionalne poslovne modele varnostne programske opreme.
• Kdo lahko trenutno dostopa do Claude Code Security?
  Je v omejenem raziskovalnem predogledu za stranke Enterprise in Team, z pospešenim dostopom za vzdrževalce odprtokodnih projektov.