Anthropic представила Claude Code Security — инструмент для выявления уязвимостей в коде, которые ускользают от стандартных сканеров. Объявление мгновенно спровоцировало распродажу акций компаний из сферы кибербезопасности.
Anthropic внедрила Claude Code Security — новую опцию непосредственно в Claude Code через веб-интерфейс. Система просматривает кодовые базы на наличие security-дыр и предлагает точные исправления, однако каждый патч требует проверки человеком. На старте функция доступна в ограниченном исследовательском preview для клиентов Enterprise и Team. Руководители open-source проектов могут запросить бесплатный доступ с приоритетом.
От шаблонного поиска к человеческому пониманию кода
Текущие инструменты для анализа кода опираются на набор правил, чтобы сопоставлять фрагменты с каталогом известных уязвимостей. Такой подход эффективен против банальных промахов вроде незащищенных паролей или устаревших методов шифрования, но, по словам Anthropic, слеп к более хитрым дефектам — ошибкам в бизнес-логике или сбоям в механизмах контроля доступа.
Claude Code Security от Anthropic работает иначе: разбирает и оценивает код подобно специалисту по безопасности. Система прослеживает связи между модулями, мониторит перемещение данных по приложению и высвечивает те проблемы, мимо которых проходят инструменты на правилах.
Перед демонстрацией аналитикам каждый вывод проходит многоступенчатую проверку. Claude самостоятельно возвращается к своим выводам, стремясь их подтвердить или опровергнуть, — это помогает отсеивать ложные тревоги. К выводам прилагаются оценки серьезности и достоверности, чтобы помочь командам сосредоточиться на приоритетах.
Проверенные находки попадают в удобную панель, где разработчики изучают детали, смотрят на рекомендуемые патчи и дают добро на внедрение. Anthropic подчеркивает: без явного согласия человека ничего не меняется. Инструмент всего лишь сигнализирует об угрозах и подсказывает фиксы, а последнее слово остается за программистом.
Свыше 500 уязвимостей выявили в боевом коде
Функция опирается на более чем год исследований возможностей Claude в области кибербезопасности. Собственная Frontier Red team Anthropic проверяла их в capture-the-flag соревнованиях, совместном проекте с Pacific Northwest National Laboratory по охране ключевой инфраструктуры, а также в постоянных тестах на обнаружение и устранение реальных дефектов.
С выходом Claude Opus 4.6 в начале месяца специалисты выявили свыше 500 уязвимостей в рабочих open-source репозиториях — ошибки, которые годами или даже десятилетиями оставались незамеченными экспертами. Сейчас идет сортировка находок и ответственное уведомление владельцев.
Anthropic уверена: в ближайшее время ИИ охватит сканированием львиную долю глобального кода, высвечивая глубоко спрятанные баги и дыры. При этом и злоумышленники активизируют ИИ для молниеносного поиска уязвимых мест.
Анонс ударил по акциям cybersecurity-компаний
Новость от Anthropic отразилась на бирже незамедлительно. Как сообщает Bloomberg, в день релиза акции по кибербезопасности резко подешевели: CrowdStrike потеряла 8 процентов, Cloudflare — 8,1 процента, Okta — 9,2 процента, SailPoint — 9,4 процента. Фонд Global X Cybersecurity ETF скатился на 4,9 процента — до минимума с ноября 2023 года.
Текущая волна продаж укладывается в общую картину. Ранее анонс нишевых плагинов для Cowork, в том числе для юридических исследований, уже обрушил котировки софтверных фирм. Инвесторы опасаются: ИИ позволит создавать собственные приложения, что сократит спрос на коммерческие решения, подорвав рост, маржу и ценообразование в секторе.
Впрочем, сценарий, при котором каждая фирма напишет свой security-пакет или сложный софт, выглядит нереалистичным. Разделение труда повышает эффективность экономики. Без него возникнет хаос: тысячи самописных инструментов, каждый из которых потребует обслуживания, обновлений и защиты, — без преимуществ масштаба от проверенных вендоров.
Скорее всего, ИИ просто удешевит разработку, распахнув двери нишевым решениям, которые раньше не окупались. Фирмы оперативно закроют узкие задачи кастомными средствами, но на базовые нужды продолжат полагаться на надежные продукты — тем более что те сами интегрируют ИИ-функции.
Однако низкая цена сборки не гарантирует дешевизну в эксплуатации. Поддержка, апдейты, соблюдение норм, техподдержка и связка с legacy-системами — это львиная доля IT-бюджетов. ИИ-приложение, слепленное за часы, годами живет в продакшене. Рынок фиксирует падение затрат на создание, но упускает из виду операционные реалии.