Anthropic，обнаружение уязвимостей·предложения патчей 'Claude Security' публичная тестовая версия

Anthropic PBC выпустила “Claude Security” в виде публичной бета-версии, предназначенной для поддержки команд по кибербезопасности в обнаружении уязвимостей и их устранении. Это функция подписки “Claude Enterprise”, которая фокусируется на проверке всего кодового базиса, выявлении уязвимостей и предложении решений по их исправлению.

Этот продукт впервые был представлен в феврале этого года в виде исследовательской предварительной версии под названием “Claude Code Security”. Anthropic позже заявил, что сотни организаций использовали этот инструмент для обнаружения и исправления уязвимостей в реальных рабочих кодах. По словам компании, он даже обнаружил уязвимости, которые оставались незамеченными для существующих инструментов безопасности много лет.

Основанный на Opus 4.7… “рассуждение как у специалиста по безопасности”

Публичная бета-версия Claude Security работает на базе основного искусственного интеллекта Anthropic — модели Opus 4.7. Особенность заключается не в простом сравнении с известными шаблонами уязвимостей, а в том, что модель ведет себя как настоящий специалист по кибербезопасности: отслеживает поток данных, читает исходный код и анализирует взаимодействие файлов и компонентов кода.

Anthropic объясняет, что таким образом модель может понять весь контекст кодовой базы и сделать комплексную оценку сложных цепных эффектов. Затем результаты анализа сопровождаются оценкой доверия, после проверки они передаются ответственным за безопасность. Компания отмечает, что в процессе также объясняется, почему модель пришла к тому или иному выводу, насколько вероятно использование уязвимости злоумышленниками, почему необходимо приоритетное реагирование и насколько эффективны предлагаемые решения.

От обнаружения к исправлению… сокращение задержек в сотрудничестве

Еще одним преимуществом Claude Security является возможность прямого соединения между этапами обнаружения и исправления уязвимостей. Пользователи могут открыть сессию Claude Code и сразу применить патчи. Компания утверждает, что это сокращает время, затрачиваемое командами безопасности и инженерами на многократные проверки и тестирование, которые обычно занимают несколько дней.

Обратная связь, полученная во время исследовательской предварительной версии, уже учтена в этой версии. Добавлена функция регулярных запланированных сканирований для постоянного мониторинга; если пользователь отклоняет результаты анализа, он может зафиксировать и сохранить причины. Также реализована возможность экспорта в формате CSV и Markdown, что облегчает интеграцию с существующими системами аудита и проверки безопасности.

Расширение сотрудничества с CrowdStrike, Palo Alto Networks и другими

Недавно Anthropic запустила проект “Project Glasswing”, который активно расширяет сферу безопасности. В рамках этого проекта используется модель “Mitosis”, которая, хотя и не была изначально разработана специально для безопасности, обладает отличными возможностями обнаружения уязвимостей. Компания заявляет, что через Glasswing строится экосистема технического сотрудничества для защиты программного обеспечения в реальных рабочих средах.

В этом направлении клиенты также могут использовать сторонние решения, основанные на функциях безопасности Claude. Anthropic сообщает, что ведет сотрудничество с CrowdStrike Holdings, Palo Alto Networks, SentinelOne, Trend Micro (“Trend AI”), Wiz и другими, интегрируя Opus 4.7 в платформы кибербезопасности этих компаний.

Движение Anthropic показывает, что применение генеративных ИИ быстро расширяется от инструментов повышения производительности к области “защитной безопасности”. Особенно конкуренция среди ИИ-инструментов для понимания и рассуждения о коде, вероятно, станет еще более ожесточенной. Однако в реальных корпоративных условиях уровень ложных срабатываний, процессы верификации и интеграция с существующими системами безопасности, скорее всего, станут ключевыми факторами, определяющими скорость внедрения.

Меры предосторожности AI: В этом тексте использована модель на базе TokenPost.ai для обобщения. Основной содержательный материал может быть неполным или не соответствовать фактам.