Claude Code Security: ИИ Anthropic находит многоуровневые уязвимости

Claude Code Security от Anthropic «читает» код, как исследователь: понимает потоки данных, находит логику ошибок и генерирует патчи с рейтингом. Минус ложных позитивов — многоступенчатая проверка ИИ. Уже нашёл 500+ багов в open-source, но риски: такие же инструменты помогут хакерам.

Оглавление

Принципы работы и отличие от классического анализа
Верификация результатов и система оценок
Спорные стандарты и двойное назначение

Компания Anthropic представила Claude Code Security, новый инструмент для сканирования кодовых баз на предмет сложных уязвимостей, доступный пока в режиме ограниченного предварительного просмотра. Как сообщает Techzine Global, разработка призвана облегчить работу перегруженных команд безопасности, автоматизируя поиск угроз, которые традиционные методы анализа часто упускают.

Существующие инструменты, по мнению Anthropic, не справляются с задачей, поскольку ограничиваются проверкой на известные уязвимости. Claude Code Security же обещает выявлять многоуровневые угрозы, возникающие из особенностей архитектуры конкретной кодовой базы. Это критически важно, поскольку обнаружение тонких, контекстно-зависимых уязвимостей обычно требует кропотливой ручной работы высококвалифицированных исследователей.

Принципы работы и отличие от классического анализа

Новая функция кардинально отличается от классического статического анализа, который является основой для обеспечения базовой безопасности кода. Вместо сравнения кода с известными сигнатурами атак, Claude Code Security «читает» его подобно человеку-исследователю безопасности. Система способна понимать взаимодействие компонентов, отслеживать потоки данных в приложениях и выявлять сложные уязвимости, такие как логические ошибки или некорректно реализованные механизмы контроля доступа.

Anthropic утверждает, что их подход позволяет обнаруживать потенциальные эксплойты, недоступные традиционным методам. Это особенно актуально в условиях растущей сложности кодовых баз и ограниченности кадровых ресурсов в сфере кибербезопасности.

Верификация результатов и система оценок

Одной из главных проблем ИИ-инструментов в безопасности является риск ложных срабатываний, которые могут лишь усугубить нагрузку на аналитиков. Anthropic заявляет, что Claude Code Security минимизирует эту проблему благодаря многоступенчатому процессу верификации. Каждое обнаружение проходит самопроверку Claude, которая пытается подтвердить или опровергнуть свои выводы, отфильтровывая ложные позитивы.

Кроме того, каждому обнаружению присваивается оценка уязвимости и уровень достоверности, что позволяет командам сосредоточиться на наиболее критичных проблемах. Проверенные результаты отображаются на дашборде Claude Code Security, где аналитики могут их просмотреть, изучить предложенные патчи и одобрить исправления. Человек всегда остаётся в контуре принятия решений, и без его одобрения никакие изменения не применяются.

Спорные стандарты и двойное назначение

Введение Anthropic собственной системы оценки уязвимостей вызывает вопросы в контексте уже существующих, но не всегда последовательных, CVSS-оценок. Хотя компания стремится к созданию нового стандарта или интеграции с будущими версиями CVSS, на данном этапе это может лишь усугубить фрагментацию систем оценки.

Хотя Claude Code Security демонстрирует впечатляющие возможности в поиске неочевидных уязвимостей, его появление лишь обостряет фундаментальную проблему: ИИ — это обоюдоострый меч. Инструмент, способный находить ошибки, которые десятилетиями ускользали от экспертов, неизбежно станет доступен и злоумышленникам. Истинная ценность здесь не в автоматизации поиска, а в способности Anthropic убедительно доказать, что их ИИ-решения не создают новых, ещё более изощрённых векторов атак, чем те, что они призваны устранять.

Anthropic уже использовала Claude для анализа собственного кода, что, по их словам, оказалось «чрезвычайно эффективным». Компания также заявляет, что Claude Opus 4.6 обнаружил более 500 уязвимостей в производственных кодовых базах с открытым исходным кодом, которые оставались незамеченными годами.

Однако сам Claude ранее сталкивался с проблемами безопасности. Сообщалось, что китайские хакеры использовали его для крупномасштабных кибератак, а также была обнаружена уязвимость к атакам с инъекцией промптов, позволявшая утечку конфиденциальных данных. Это подчёркивает, что ИИ-инструменты, предназначенные для защиты, сами могут стать мишенью или инструментом для атак. В конечном итоге, Claude Code Security, как и другие подобные разработки, станет инструментом как для защитников, так и для злоумышленников, что делает презумпцию компрометации ещё более критичной.