Цього тижня великий гігант штучного інтелекту Anthropic запустив Claude Code Security — інструмент для сканування коду на основі ШІ, який виявляє вразливості та створює патчі, викликавши хвилю на ринках кібербезпеки та поставивши гострі питання щодо робочих місць та змін у владі галузі.
Чи може безпека Claude Code замінити людей-сканерів?
Останнє додавання Anthropic до платформи Claude Code має простий пропозицію: дайте ШІ прочитати весь ваш код, як досвідчений дослідник безпеки, а потім позначте те, що інші пропускають. За даними випуску компанії, Claude Code Security сканує на наявність вразливостей, пропонує виправлення та представляє знайдені дані з оцінками серйозності та впевненості, залишаючи людей на посаді схвалення.
На відміну від традиційних інструментів статичного тестування безпеки застосунків, які ґрунтуються на передвизначених шаблонах, Claude Code Security використовує просунуті великі мовні моделі (LLM), включаючи Claude Opus 4.6, для аналізу того, як потоки даних і як компоненти взаємодіють. Це означає, що він спрямований на виявлення недоліків бізнес-логіки та порушень контролю доступу, які уникнули правил-based сканерів.
Під час внутрішнього тестування Anthropic повідомила, що Opus 4.6 виявив більше 500 вразливостей високого рівня серйозності у виробничих відкритих кодових базах — деякі з них залишалися непоміченими роками. Ці знахідки підлягають класифікації та відповідальному розголошенню, що свідчить про те, що амбіції інструменту поширюються далі за косметичні виправлення.
Робочий процес структурований для забезпечення безпеки. Після всестороннього сканування система виконує самоперевірку, намагаючись підтвердити або спростувати власні висновки, перш ніж представити їх на панелі з запропонованими виправленнями. Тут немає автоматичного «впровадження в продакшн» — кожне виправлення вимагає схвалення людини, принаймні наразі.
Anthropic розробила цю функцію протягом більше ніж року через свою Frontier Red Team і протестувала її на кібербезпекових змаганнях, таких як Capture the Flag, а також у співпраці з такими установами, як Національна лабораторія Тихоокеанського північного заходу. Інструмент зараз перебуває в обмеженому дослідному попередньому огляді для клієнтів Enterprise і Team, з прискореним доступом для супроводжувачів відкритого коду.
Втім, Волл-стріт не чекала на дрібні деталі. Акції провідних компаній у сфері кібербезпеки різко впали після оголошення: компанії, зокрема Crowdstrike та Cloudflare, втратили приблизно 8%, тоді як інші, такі як Zscaler, Okta та Gitlab, також постраждали. Широкий Global X Cybersecurity ETF впав приблизно на 5%, що відображає загальну невпевненість у секторі.
Деякі аналітики охарактеризували реакцію як спричинену заголовками, а не структурними факторами, назвавши її «міні-флеш-крахом», спровокованим страхами, що ШІ може комплектувати виявлення вразливостей. Інші вважають, що продажі свідчать про глибші занепокоєння щодо того, як ШІ може перетворити економіку безпеки програмного забезпечення.
Онлайн-обговорення, зокрема на X, посилили тривоги щодо роботи. Пости попереджають, що сканери на основі ШІ можуть «знищити» посади у сфері оцінки вразливостей та їх усунення, особливо на початкових рівнях класифікації багів. У галузі, яка вже стикається з автоматизацією, цей момент здається дуже вдалим.
Але багато експертів дають більш спокійну оцінку. Anthropic’с Логан Грем сказав: «Я вважаю, що якщо ви під впливом AGI, вам слід дуже турбуватися про кібербезпеку. Кіберфізична інфраструктура — це спосіб, за допомогою якого AGI «входить у світ». Саме тому ми хочемо, щоб Claude забезпечував її безпеку». Грем додав, що Anthropic «набирає фахівців з кібербезпеки». Багато інших вважали, що нова здатність Claude була розроблена, щоб допомогти перевантаженим командам керувати відкладеними завданнями, а не замінювати їх.
Важливо, що Claude Code Security не може виконувати тестування в час виконання, надсилати API-запити чи перевіряти можливість експлуатації в реальних середовищах, що означає, що динамічне тестування та людський контроль залишаються необхідними. Ширший контекст важко ігнорувати. Оскільки ШІ прискорює як генерацію коду, так і кібератаки, захисники стикаються з противниками, які можуть перевіряти системи зі швидкістю машини.
Anthropic позиціонує свій інструмент як оборонний рівноважник, підвищуючи базовий рівень безпечного розроблення, одночасно визнаючи двоїсту природу ШІ. У цьому сенсі Claude Code Security може бути не стільки генератором звільнень, скільки переписувачем ролей. Професіонали з безпеки можуть знайти себе, витрачаючи менше часу на аналіз повторюваних сповіщень і більше часу на проектування архітектур, перевірку експлойтів та керування робочими процесами з допомогою ШІ.
Чи буде цей ринковий тремтіння тимчасовим, чи позначить структурний зсув, залежатиме від масового прийняття, інтеграції з існуючими стеками та різних підходів до використання ШІ в критичній інфраструктурі. На даний момент Claude Code Security зробив те, що рідко зустрічається в кібербезпеці: він зробив перевірку коду центром фінансової та трудової дискусії.
ППЗ ❓
- Що таке Claude Code Security?
Це інструмент на основі ШІ від Anthropic, який сканує цілі кодові бази на наявність вразливостей та пропонує виправлення, перевірені людьми. - Чи замінює Claude Code Security людські команди безпеки?
Ні, для виправлення потрібна людська схвалення, і він не може проводити тестування в час виконання, тому він є допоміжним інструментом, а не заміною. - Чому акції кібербезпеки впали після запуску?
Інвестори відреагували на побоювання, що AI-засноване сканування вразливостей може порушити традиційні бізнес-моделі програмного забезпечення для безпеки. - Хто зараз може отримати доступ до Claude Code Security?
Він доступний у обмеженому дослідницькому попередньому огляді для клієнтів Enterprise і Team, а також з прискореним доступом для супроводжувачів відкритого коду.