ai-pocalypse В пятницу компания Anthropic привела в смятение сообщество по информационной безопасности, выпустив Claude Code Security — новую функцию, которая сканирует кодовые базы на предмет уязвимостей и предлагает исправления для устранения проблем.
Новая функция безопасности в настоящее время доступна в виде ограниченного исследовательского превью для корпоративных клиентов и команд, которые могут протестировать ее в своих средах; разработчики открытого исходного кода могут подать заявку на бесплатный ускоренный доступ.
Это объявление вызвало падение акций некоторых компаний в сфере кибербезопасности и спровоцировало множество рассуждений о конце безопасности в том виде, в каком мы ее знаем, а также мнение, идущее вразрез, от соучредителя и генерального директора CrowdStrike Джорджа Курца. Акции его компании оказались среди тех, что пострадали в пятницу, закрывшись падением почти на 8 процентов по сравнению с предыдущим закрытием, и Курц спросил Claude, может ли их новый инструмент безопасности заменить то, что делает CrowdStrike (краткий ответ: Claude сказал, что нет).
Однако реальность для индустрии безопасности не так мрачна — и не так захватывающа и «секси», как ее представляют евангелисты ИИ. Да, большие языковые модели продемонстрировали способность выявлять некоторые уязвимости на основе шаблонов в больших масштабах. Ранее в этом месяце Anthropic заявила, что Claude Opus 4.6 «обнаружил и подтвердил более 500 уязвимостей высокой степени критичности» в коде с открытым исходным кодом.
Но функция безопасности Claude — это всего лишь новейший и самый обсуждаемый инструмент для исправления ошибок на базе ИИ, что означает, что Anthropic теперь делает то же самое, что и другие компании, находящиеся на переднем крае агентного ИИ. Когда дело доходит до защиты кода, это шаг в правильном направлении. Но этого недостаточно — люди по-прежнему необходимы.
Amazon также использует агентов ИИ для поиска уязвимостей безопасности и предложения исправлений внутри компании. У Microsoft есть свой собственный рой агентов безопасности, которые, среди прочего, определяют приоритеты устранения уязвимостей, автоматизируют идентификацию затронутых устройств, а затем инициируют исправления.
Google еще в ноябре 2024 года заявила, что ее инструмент для поиска ошибок на базе LLM под названием Big Sleep был «первым» ИИ, который обнаружил уязвимость безопасности памяти в реальных условиях и исправил ее до официального выпуска ошибочного кода. Недавно компания выпустила агента ИИ под названием CodeMender, который, по ее словам, «автоматизирует создание патчей, может определить первопричину уязвимости, а затем сгенерировать и проверить рабочий патч».
В октябре прошлого года OpenAI сообщила, что приватном тестировании Aardvark — агентной системы безопасности на базе GPT‑5, которая, как обещают, «поможет разработчикам и командам безопасности обнаруживать и устранять уязвимости безопасности в масштабе».
Как и в случае с инструментом Claude для сканирования и исправления кода, все эти системы по-прежнему требуют одобрения человека для применения исправлений. «Ничто не применяется без одобрения человека: Claude Code Security определяет проблемы и предлагает решения, но окончательное решение всегда принимают разработчики», — заявила Anthropic при анонсе новой функции.
По словам разработчика ИИ, Claude Code Security осведомлен о контексте — в отличие от простого статического анализа кода. Он «читает и анализирует ваш код так, как это сделал бы исследователь безопасности-человек: понимает, как взаимодействуют компоненты, отслеживает движение данных в вашем приложении и обнаруживает сложные уязвимости, которые пропускают инструменты, основанные на правилах», — сообщила компания.
Это, вероятно, окажется полезным инструментом для разработчиков и аналитиков безопасности, поскольку исследователи неоднократно показывали, что ИИ очень хорош в обнаружении уязвимостей. (Он также хорош в написании ошибочного кода и открытии новых векторов атак для злоумышленников.)
«Все, что помогает разработчикам писать лучший, более безопасный код, — это хорошо», — сказал The Register Гленн Вайнштейн, генеральный директор компании Cloudsmith, специализирующейся на безопасности цепочек поставок. «Claude Code Security — это одна из многих защитных мер в широком спектре обороны».
Айзек Эванс, генеральный директор фирмы Semgrep, ориентированной на разработчиков, сообщил The Register, что он «очень рад за Claude Code Security, хотя мы еще не пробовали его».
«LLM фантастически подходят для безопасности и имеют прекрасную возможность реально повлиять на надвигающуюся волну программных уязвимостей», — сказал он.
Однако, по словам Эванса, настоящее испытание для таких агентов ИИ, охотящихся за ошибками, будет заключаться в том, насколько хорошо они покажут себя в масштабе.
«Пока ни одна из компаний, занимающихся базовыми моделями — Big Sleep, Aardvark, OpenAI — не опубликовала подробной статистики о том, сколько ложных срабатываний они получили для достижения своих результатов, или о стоимости этого», — сказал Эванс. «Это имеет значение: это были инвестиции в 1 миллион долларов? 10 миллионов? Это в некоторой степени маркетинг впереди науки. Мы также слышим от друзей-исследователей безопасности, что из 500 уязвимостей не все из них действительно являются «высококритичными», как заявлено». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
