Главная » Технологии » Claude Code Security: Новый подход к выявлению уязвимостей в коде

Claude Code Security: Новый подход к выявлению уязвимостей в коде

Anthropic представила Claude Code Security для обнаружения уязвимостей в коде, используя уникальный подход на основе рассуждений. Новый инструмент выявляет проблемы, игнорируемые традиционными системами, и обещает повысить безопасность опенсорсных проектов.
Опубликовано: Обновлено: Технологии
Содержание
  1. Новые горизонты защиты кода
  2. Что такое Claude Code Security?
  3. Преимущества нового подхода
  4. Примеры работы Claude
  5. Подтверждение уязвимостей
  6. Проблема двойного назначения
  7. Осторожность и ограничения
  8. Кто ещё в игре?
  9. Заключение

Новые горизонты защиты кода

Недавно компания Anthropic, известная в мире искусственного интеллекта, обнаружила более 500 критических уязвимостей в популярных опенсорсных проектах с помощью своей модели Claude Opus 4.6. Эти дыры в безопасности оставались незамеченными на протяжении многих лет, несмотря на колоссальные усилия по тестированию и проверкам. А 20 февраля, всего через две недели после этого открытия, Anthropic представила новый продукт — Claude Code Security, созданный для защиты кода.

Что такое Claude Code Security?

Claude Code Security — это уникальный инструмент для анализа кода, который работает принципиально иначе, чем привычные решения. Он доступен для корпоративных клиентов в формате ограниченного исследовательского превью. В отличие от систем, которые полагаются на заранее заданные паттерны, таких как CodeQL от GitHub, этот инструмент использует рассуждения для поиска логических ошибок и уязвимостей, игнорируемых стандартными правилами. Это позволяет ему выявлять проблемы, которые другие инструменты просто не в состоянии заметить.

Преимущества нового подхода

Обычные инструменты вроде CodeQL ищут известные уязвимости, сопоставляя код с заранее установленными паттернами. Они отлично справляются с анализом данных для известных проблем. Но Claude Code Security идёт дальше: он генерирует и проверяет собственные гипотезы касательно движения данных и управления в приложении. Это особенно полезно в ситуациях, когда нет существующих правил для описания потенциальной уязвимости.

Примеры работы Claude

Anthropic продемонстрировала результаты работы Claude на нескольких примерах:

  • История коммитов (GhostScript): Claude проанализировал изменения в Git и нашёл патч, добавляющий проверку границ стека. Он заметил, что в другом файле, gdevpsfx.c, вызов аналогичной функции не имел этой проверки, что и привело к уязвимости.
  • Проверка предусловий (OpenSC): Модель обнаружила последовательные вызовы strcat без проверки длины выходного буфера. Claude смог создать переполнение буфера, хотя традиционные фаззеры редко достигали этого кода из-за сложных условий.
  • Краевые случаи алгоритмов (CGIF): Claude выявил уязвимость в библиотеке CGIF, связанную с LZW-сжатием. Он осознал, что при заполнении словаря LZW сжатый вывод может превышать несжатый размер, что приводит к переполнению буфера — даже 100% покрытие кода это не ловит.

Подтверждение уязвимостей

Чтобы подтвердить более 500 найденных уязвимостей, Anthropic поместила Claude в изолированную виртуальную машину с набором стандартных утилит. Модель самостоятельно фильтровала и приоритизировала результаты, прежде чем они попадали к людям для проверки. Когда количество подтверждённых уязвимостей продолжало расти, были привлечены внешние эксперты для валидации и создания патчей. Все проекты, на которые были направлены усилия, были опенсорсными и критически важными для корпоративных систем.

Проблема двойного назначения

Однако возникает вопрос: как использовать такие технологии без риска? Рассуждения, которые помогают находить уязвимости, могут быть использованы и злоумышленниками. Anthropic понимает эту проблему и заявляет, что их намерение — «склонить чашу весов в сторону защитников». Тем не менее, многие эксперты по безопасности всё ещё с осторожностью относятся к таким инструментам, так как считали, что подобные решения появятся не раньше 2026 года.

Осторожность и ограничения

Мерритт Бэр, CSO в Enkrypt AI, подчеркивает, что такие инструменты не «вооружают» защиту, а скорее «обнажают» риски. Существует также угроза утечки интеллектуальной собственности, так как модели могут усваивать и переформулировать закрытые данные. Anthropic установила строгие ограничения: продукт доступен только корпоративным клиентам, а опенсорсные разработчики могут подать заявку на бесплатный доступ. Все патчи требуют одобрения человека, а в саму модель встроены механизмы для обнаружения возможного злоупотребления.

Кто ещё в игре?

Anthropic не единственная компания, которая движется в этом направлении. Исследователь Шон Хилан использовал модель o3 от OpenAI для обнаружения ранее неизвестной уязвимости в ядре Linux. Стартап AISLE с помощью ИИ нашёл 12 из 12 уязвимостей нулевого дня, объявленных в январском патче OpenSSL 2026 года, включая ту, которую традиционные фаззеры не могли выявить годами.

Заключение

Обнаруженные 500 уязвимостей находятся в опенсорсных проектах, которые являются основой многих корпоративных приложений. Anthropic раскрывает их и выпускает патчи, но временной промежуток между обнаружением и внедрением этих патчей — это «окно», в котором активны злоумышленники. Возможности, которые предоставляет Claude Code Security, доступны всем, у кого есть доступ к API. Директора по безопасности, которые начнут использовать эти инструменты раньше, смогут задать свои правила игры.

Anthropic Claude AI безопасность кода ИИ искусственный интеллект кибербезопасность уязвимости
admin/ автор статьи

Успех неизбежен.

True game
Вам также может быть интересно
Судебный иск может заставить комикс изменить название
Nihon Falcom отмечает 45-летие и анонсирует новый проект Dragon Slayer
Sony тестирует динамическое ценообразование в PS Store
Патч для Returnal добавляет новые элементы сюжета в roguelike
Microsoft анонсировала Project Helix — новую консоль Xbox
Ремейк Myst и Riven готовятся к выходу на PS5