Tuần này, gã khổng lồ trí tuệ nhân tạo (AI) Anthropic đã ra mắt Claude Code Security, một công cụ quét mã do AI dẫn dắt nhằm phát hiện lỗ hổng và soạn thảo bản vá, gây chấn động thị trường an ninh mạng đồng thời đặt ra những câu hỏi sắc nét về việc làm và sự dịch chuyển quyền lực trong ngành.
Claude Code Security có thể thay thế các nhà quét con người không?
Sản phẩm mới nhất của Anthropic dành cho nền tảng Claude Code mang đến một lời mời gọi đơn giản: để AI đọc toàn bộ mã nguồn của bạn như một chuyên gia bảo mật dày dạn, sau đó phát hiện những lỗ hổng mà người khác bỏ sót. Theo bản release của công ty, Claude Code Security quét tìm lỗ hổng bảo mật, đề xuất bản vá và trình bày kết quả kèm đánh giá mức độ nghiêm trọng và độ tin cậy, đồng thời vẫn giữ con người ở vị trí quyết định cuối cùng.
Khác với các công cụ kiểm tra bảo mật ứng dụng tĩnh truyền thống dựa trên các mẫu đã định trước, Claude Code Security sử dụng các mô hình ngôn ngữ lớn (LLMs) tiên tiến, bao gồm Claude Opus 4.6, để suy luận về cách dữ liệu chảy và các thành phần tương tác với nhau. Điều đó có nghĩa là nó nhắm đến việc phát hiện các lỗ hổng logic kinh doanh và các kiểm soát truy cập bị hỏng mà các công cụ quét dựa trên quy tắc bỏ sót.
Trong quá trình kiểm thử nội bộ, Anthropic cho biết Opus 4.6 đã phát hiện hơn 500 lỗ hổng bảo mật nghiêm trọng trong các cơ sở mã nguồn mở đang chạy—một số đã không được phát hiện trong nhiều năm. Những phát hiện này đang được phân loại và công bố có trách nhiệm, cho thấy công cụ này có tham vọng vượt xa các sửa đổi mang tính bề ngoài.
Quy trình được thiết kế để đảm bảo an toàn. Sau khi quét toàn diện, hệ thống thực hiện xác minh tự động, nỗ lực xác nhận hoặc bác bỏ các phát hiện của chính nó trước khi hiển thị chúng trên bảng điều khiển kèm theo các đề xuất sửa chữa. Không có tính năng “đẩy tự động lên sản xuất” ở đây—mỗi lần sửa đổi đều cần sự phê duyệt của con người, ít nhất là hiện tại.
Anthropic đã phát triển tính năng này trong hơn một năm thông qua Đội Red Team Frontier và thử nghiệm nó trong các cuộc thi an ninh mạng như các sự kiện Capture the Flag, cùng với sự hợp tác với các tổ chức như Phòng thí nghiệm Quốc gia Pacific Northwest. Công cụ hiện đang trong giai đoạn dùng thử nghiên cứu giới hạn dành cho khách hàng Doanh nghiệp và Nhóm, với quyền truy cập ưu tiên dành cho những người duy trì mã nguồn mở.
Tuy nhiên, Phố Wall không chờ đợi các điều khoản chi tiết. Cổ phiếu của các công ty an ninh mạng lớn đã giảm mạnh sau thông báo, với các công ty bao gồm Crowdstrike và Cloudflare mỗi bên giảm khoảng 8%, trong khi các công ty khác như Zscaler, Okta và Gitlab cũng chịu ảnh hưởng. Quỹ ETF an ninh mạng toàn cầu Global X Cybersecurity ETF giảm khoảng 5%, phản ánh sự lo ngại trên toàn ngành.
Một số chuyên gia phân tích cho rằng phản ứng này mang tính chất bị thúc đẩy bởi tin tức hơn là mang tính cấu trúc, mô tả đây là một “cuộc sụp đổ chớp nhoáng nhỏ” do lo ngại rằng AI có thể biến việc phát hiện lỗ hổng thành hàng hóa. Những người khác cho rằng đợt bán tháo này cho thấy những lo ngại sâu sắc hơn về cách AI có thể định hình lại kinh tế bảo mật phần mềm.
Các cuộc thảo luận trực tuyến, đặc biệt trên X, đã làm gia tăng nỗi lo về việc làm. Các bài đăng cảnh báo rằng các công cụ quét được hỗ trợ bởi AI có thể “xóa bỏ” các vị trí trong đánh giá và khắc phục lỗ hổng, đặc biệt là ở cấp độ phân loại lỗi cơ bản. Trong một ngành đã đối mặt với tự động hóa, thời điểm này dường như rất có chủ đích.
Tuy nhiên, nhiều chuyên gia đưa ra quan điểm bình tĩnh hơn. Anthropic’s Logan Graham cho biết: “Tôi nghĩ nếu bạn đang bị AGI ‘hấp dẫn’, bạn nên quan tâm nhiều đến an ninh mạng. Cơ sở hạ tầng cyber-physical là cách AGI ‘tiếp cận thế giới’. Đó là lý do chúng tôi muốn Claude bảo vệ nó.” Graham bổ sung rằng Anthropic đang “tuyển dụng nhân sự về an ninh mạng.” Nhiều người khác cho rằng khả năng mới của Claude được thiết kế để giúp các đội ngũ quá tải quản lý danh sách công việc tồn đọng, thay vì thay thế họ.
Quan trọng nhất, Claude Code Security không thể thực hiện kiểm thử thời gian chạy, gửi yêu cầu API hoặc xác minh khả năng khai thác trong các môi trường thực tế, nghĩa là kiểm thử động và sự giám sát của con người vẫn là điều thiết yếu. Bối cảnh rộng lớn hơn khó có thể bỏ qua. Khi AI đẩy nhanh cả việc tạo mã và các cuộc tấn công mạng, các bên phòng thủ phải đối mặt với những kẻ tấn công có thể dò xét hệ thống với tốc độ máy móc.
Anthropic mô tả công cụ của mình như một yếu tố cân bằng phòng thủ, nâng cao tiêu chuẩn cơ bản cho phát triển an toàn đồng thời thừa nhận bản chất hai mặt của AI. Về mặt này, Claude Code Security có thể ít giống một công cụ tạo ra giấy sa thải và nhiều hơn là một công cụ thay đổi vai trò. Các chuyên gia bảo mật có thể thấy mình dành ít thời gian hơn để rà soát các cảnh báo lặp đi lặp lại và nhiều thời gian hơn để thiết kế kiến trúc, xác minh lỗ hổng và điều hướng các quy trình làm việc được hỗ trợ bởi AI.
Việc cú sốc thị trường này có mang tính tạm thời hay đánh dấu một sự thay đổi về cấu trúc sẽ phụ thuộc vào mức độ áp dụng, sự tích hợp với các hệ thống hiện có và mọi loại tiếp cận AI trong cơ sở hạ tầng then chốt. Hiện tại, Claude Code Security đã làm điều hiếm có trong an ninh mạng: biến việc xem xét mã thành trung tâm của một cuộc tranh luận về tài chính và lao động.
Câu hỏi thường gặp ❓
- Claude Code Security là gì?
Đó là một công cụ được hỗ trợ bởi AI từ Anthropic, quét toàn bộ mã nguồn để phát hiện lỗ hổng và đề xuất các bản vá đã được con người kiểm duyệt. - Claude Code Security có thay thế các đội ngũ bảo mật con người không?
Không, nó yêu cầu sự phê duyệt của con người để thực hiện các bản sửa lỗi và không thể thực hiện kiểm thử trong thời gian chạy, do đó đóng vai trò là công cụ hỗ trợ thay vì thay thế. - Tại sao cổ phiếu an ninh mạng lại giảm sau khi ra mắt?
Các nhà đầu tư phản ứng trước những lo ngại rằng việc quét lỗ hổng do AI dẫn dắt có thể làm xáo trộn các mô hình kinh doanh phần mềm bảo mật truyền thống. - Ai hiện có thể truy cập Claude Code Security?
Hiện đang trong giai đoạn thử nghiệm nghiên cứu giới hạn dành cho khách hàng Doanh nghiệp và Nhóm, với quyền truy cập ưu tiên cho những người duy trì mã nguồn mở.