Firma zajmująca się sztuczną inteligencją (AI), Anthropic, rozpoczęła wprowadzanie nowej funkcji bezpieczeństwa dla Claude Code, która umożliwia skanowanie kodu źródłowego użytkowników w poszukiwaniu luk bezpieczeństwa oraz sugeruje poprawki.
Funkcjonalność, znana jako Claude Code Security, jest obecnie dostępna w ograniczonej wersji badawczej dla klientów z sektora Enterprise oraz Team.
„Skanuje bazy kodu w poszukiwaniu luk bezpieczeństwa oraz sugeruje ukierunkowane poprawki programowe do przeglądu przez ludzi, co pozwala zespołom na identyfikację i naprawę problemów bezpieczeństwa, które często umykają tradycyjnym metodom” – podała firma w piątkowym ogłoszeniu.
Rola sztucznej inteligencji w zabezpieczeniach
Aimem Anthropic jest wykorzystanie AI jako narzędzia do wykrywania i rozwiązywania luk w zabezpieczeniach, aby przeciwdziałać atakom, w których aktorzy zagrożeń wykorzystują te same narzędzia do automatyzacji odkrywania słabości. W miarę jak agenci AI stają się coraz bardziej zdolni do wykrywania luk bezpieczeństwa, które wcześniej umykały ludzkiej uwadze, firma zwróciła uwagę, że te same możliwości mogą być używane przez przeciwników do szybszego odkrywania potencjalnych słabości.
Claude Code Security została zaprojektowana, aby przeciwdziałać takim atakom wspieranym przez AI, dając obrońcom przewagę i poprawiając podstawowy poziom bezpieczeństwa.
Zaawansowana analiza kodu
Anthropic twierdzi, że Claude Code Security wykracza poza statyczną analizę oraz skanowanie w poszukiwaniu znanych wzorców. System rozumie kod źródłowy jak ludzki badacz bezpieczeństwa, analizując interakcje różnych komponentów, śledząc przepływ danych przez aplikację oraz oznaczając luki, które mogą być ignorowane przez narzędzia oparte na regułach.
Każda zidentyfikowana luka jest następnie poddawana „wielostopniowemu procesowi weryfikacji”, w którym wyniki są ponownie analizowane w celu odfiltrowania fałszywych pozytywów. Luki otrzymują również oceny ciężkości, co pozwala zespołom skupić się na najważniejszych zagadnieniach.
Interakcja z użytkownikiem i podejmowanie decyzji
Ostateczne wyniki prezentowane są analitykowi na pulpicie nawigacyjnym Claude Code Security, gdzie zespoły mogą przeglądać kod oraz sugerowane poprawki i je zatwierdzać. Anthropic podkreślił, że decyzje w systemie opierają się na podejściu „człowiek w pętli” (HITL).
„Ponieważ te problemy często wiążą się z niuansami, które są trudne do oceny wyłącznie na podstawie kodu źródłowego, Claude dostarcza również ocenę pewności dla każdego odkrycia” – stwierdził Anthropic. „Nic nie jest stosowane bez zgody człowieka: Claude Code Security identyfikuje problemy i sugeruje rozwiązania, ale to zawsze programiści podejmują ostateczną decyzję.”
