На этой неделе гигант искусственного интеллекта Anthropic запустил Claude Code Security — инструмент сканирования кода на основе ИИ, который выявляет уязвимости и создает патчи, вызвав волну на рынках кибербезопасности и подняв острые вопросы о рабочих местах и сдвигах власти в отрасли.
Может ли безопасность Claude Code заменить человеческих сканеров?
Последнее дополнение Anthropic к платформе Claude Code поступает с простым предложением: пусть ИИ прочитает всю вашу кодовую базу, как опытный исследователь безопасности, а затем отметит то, что другие упускают. Согласно релизу компании, Claude Code Security сканирует на уязвимости, предлагает исправления и представляет результаты с оценками серьезности и уверенности, оставляя людей на роли одобрения.
В отличие от традиционных инструментов статического тестирования безопасности приложений, основанных на заранее заданных шаблонах, Claude Code Security использует передовые большие языковые модели (LLM), включая Claude Opus 4.6, для анализа того, как перемещаются данные и как взаимодействуют компоненты. Это означает, что он направлен на выявление ошибок бизнес-логики и нарушенного контроля доступа, которые ускользают от сканеров, основанных на правилах.
Во время внутреннего тестирования Anthropic сообщила, что Opus 4.6 выявил более 500 уязвимостей высокой степени серьезности в производственных открытых исходных кодах — некоторые из них оставались незамеченными годами. Эти находки находятся на стадии приоритизации и ответственного раскрытия, что свидетельствует о том, что цели инструмента выходят за рамки поверхностных исправлений.
Рабочий процесс структурирован для обеспечения контроля. После всестороннего сканирования система выполняет самопроверку, пытаясь подтвердить или опровергнуть свои собственные выводы перед отображением их на панели управления с предложенными исправлениями. Здесь нет автоматической «пуш-отправки в продакшн» — каждое исправление требует одобрения человека, по крайней мере, пока.
Anthropic разработала эту функцию более чем за год через свою Frontier Red Team и протестировала её на кибербезопасностных соревнованиях, таких как Capture the Flag, а также в сотрудничестве с такими учреждениями, как Национальная лаборатория Тихоокеанского Северо-Запада. Инструмент сейчас доступен в ограниченном исследовательском предварительном выпуске для клиентов Enterprise и Team, с ускоренным доступом для сопровождающих открытого исходного кода.
Уолл-стрит, однако, не стала ждать мелких деталей. Акции крупных компаний в сфере кибербезопасности резко упали после объявления: компании, включая Crowdstrike и Cloudflare, снизились примерно на 8%, а другие, такие как Zscaler, Okta и Gitlab, также пострадали. Широкий Global X Cybersecurity ETF упал примерно на 5%, отразив общую обеспокоенность в секторе.
Некоторые аналитики характеризовали реакцию как обусловленную заголовками, а не структурными факторами, назвав её «мини-флеш-крахом», спровоцированным опасениями, что ИИ может сделать детекцию уязвимостей товаром. Другие считают, что продажи сигнализируют о более глубоких опасениях относительно того, как ИИ может изменить экономическую модель программной безопасности.
Онлайн-обсуждения, особенно в X, усилили тревоги по поводу потери работы. Посты предупреждают, что сканеры на основе ИИ могут «устранить» должности в области оценки уязвимостей и устранения их последствий, особенно на начальных уровнях сортировки багов. В отрасли, уже сталкивающейся с автоматизацией, это кажется целенаправленным.
Однако многие эксперты дают более сдержанную оценку. Anthropic’с Логан Грэм сказал: «Я думаю, если вы убеждены в существовании AGI, вам следует серьезно относиться к кибербезопасности. Киберфизическая инфраструктура — это способ, которым AGI „взаимодействует с миром“. Именно поэтому мы хотим, чтобы Claude обеспечивал ее безопасность». Грэм добавил, что Anthropic «нанимает специалистов по кибербезопасности». Многие другие рассматривали новую способность Claude как средство помощи перегруженным командам в управлении накопившимися задачами, а не как замену им.
Важно, что Claude Code Security не может выполнять тестирование во время выполнения, отправлять API-запросы или проверять возможность эксплуатации в реальных средах, что означает, что динамическое тестирование и человеческий контроль остаются необходимыми. Более широкий контекст невозможно игнорировать. По мере ускорения ИИ как генерации кода, так и кибератак, защитникам приходится сталкиваться с противниками, способными исследовать системы со скоростью машины.
Anthropic представляет свой инструмент как оборонительный равнитель, повышая базовый уровень безопасной разработки, при этом признавая двойное назначение ИИ. В этом смысле Claude Code Security может быть скорее переписчиком ролей, чем генератором увольнений. Специалисты по безопасности могут тратить меньше времени на анализ повторяющихся оповещений и больше — на проектирование архитектур, проверку эксплойтов и управление рабочими процессами с помощью ИИ.
Будет ли этот рыночный толчок временным или станет признаком структурных изменений, зависит от масштабов внедрения, интеграции с существующими системами и различных подходов к ИИ в критической инфраструктуре. Пока что Claude Code Security сделал то, что редко встречается в кибербезопасности: он сделал проверку кода центром финансовых и трудовых дебатов.
ЧАВО ❓
- Что такое Claude Code Security?
Это инструмент на основе ИИ от Anthropic, который сканирует весь код на уязвимости и предлагает исправления, проверенные людьми. - Заменяет ли Claude Code Security человеческие команды безопасности?
Нет, для устранения ошибок требуется одобрение человека, и он не может выполнять тестирование в режиме реального времени, что делает его вспомогательным инструментом, а не заменой. - Почему акции кибербезопасности упали после запуска?
Инвесторы отреагировали на опасения, что сканирование уязвимостей на основе ИИ может нарушить традиционные бизнес-модели программного обеспечения для безопасности. - Кто сейчас может получить доступ к Claude Code Security?
Он доступен в ограниченном исследовательском превью для клиентов Enterprise и Team, а также с ускоренным доступом для сопровождающих открытого исходного кода.