Antropik Gemiler AI tarafından üretilen güvenlik açıkları olarak Claude Kodu için otomatik güvenlik incelemeleri

Antropik lansmanlı Otomatik Güvenlik İncelemesi onun için yetenekler Claude kodu Platform Çarşamba günü, güvenlik açıkları için kod tarayabilen ve yapay zeka olarak yapılandırmaları öneren araçlar sunarak sektör genelinde yazılım gelişimini önemli ölçüde hızlandırın.

. Yeni Özellikler Şirketler, her zamankinden daha hızlı kod yazmak için AI’ya giderek daha fazla güvenerek, güvenlik uygulamalarının AI destekli gelişimin hızına ayak uydurup koruyamayacağı konusunda eleştirel sorular gündeme getirdik. Antropic’in çözümü, güvenlik analizini doğrudan basit bir şekilde geliştiricilerin iş akışlarına yerleştirir terminal komutu ve otomatik Github Yorumları.

VentureBeat ile yapılan bir röportajda Antropic’in güvenlik özelliklerinin gelişimini geliştiren Frontier Purple ekibinin bir üyesi olan Logan Graham, “İnsanlar Claude kodunu seviyor, kod yazmak için mannequin kullanmayı seviyorlar ve bu modeller çok iyi ve daha iyi hale geliyor” dedi. “Önümüzdeki birkaç yıl içinde, dünyada yazılan kod miktarını 10x, 100x, 1000x’e gideceğimiz gerçekten mümkün görünüyor. Ayaklamanın tek yolu, nasıl güvenli hale getirileceğini anlamak için modelleri kullanmaktır.”

Duyuru, Antropic’in en güçlü AI modelinin kodlama görevlerinde önemli gelişmeler gösteren yükseltilmiş bir versiyonu olan Claude Opus 4.1’i piyasaya sürdükten sadece bir gün sonra geliyor. Zamanlama, AI şirketleri arasında yoğunlaşan bir rekabetin altını çiziyor. Openai GPT-5’i duyurması bekleniyor Agresif bir şekilde ve meta Kaçak avcılık yeteneği Bildirilen 100 milyon dolarlık imza bonusu.

AI Kodu üretimi neden büyük bir güvenlik sorunu yaratıyor?

Güvenlik araçları yazılım endüstrisinde artan bir kaygıyı ele alıyor: AI modelleri yazma kodunda daha yetenekli hale geldikçe, üretilen kod hacmi patlıyor, ancak geleneksel güvenlik inceleme süreçleri eşleşmedi. Şu anda, güvenlik incelemeleri, AI tarafından oluşturulan çıktıya ayak uyduramayan bir süreç olan güvenlik açıkları için kod manuel olarak inceleyen insan mühendislerine dayanmaktadır.

Antropic’in yaklaşımı, AI’nın oluşturduğu sorunu çözmek için AI kullanır. Şirket, SQL enjeksiyon riskleri, siteler arası komut dosyası güvenlik açıkları, kimlik doğrulama kusurları ve güvensiz veri işleme gibi ortak güvenlik açıklarını otomatik olarak tanımlamak için Claude’un yeteneklerinden yararlanan iki tamamlayıcı araç geliştirmiştir.

. ilk araç bir /security-review Geliştiricilerin, taahhütte bulunmadan önce kod taraması için terminallerinden çalışabilecekleri komutu. Graham, “Kelimenin tam anlamıyla 10 tuş vuruşu ve daha sonra yazdığınız kodu veya deponuzu gözden geçirmek için bir Claude acentesi başlatacak” dedi. Sistem kodu analiz eder ve önerilen düzeltmelerle birlikte yüksek teminat güvenlik açığı değerlendirmelerini döndürür.

. ikinci bileşen bir Github Eylemi Bu, geliştiriciler çekme istekleri gönderdiğinde güvenlik incelemelerini otomatik olarak tetikler. Sistem, güvenlik endişeleri ve önerileri ile kod hakkında satır içi yorumlar yayınlar ve her kod değişikliğinin üretime ulaşmadan önce bir temel güvenlik incelemesi almasını sağlar.

Antropik güvenlik tarayıcısını kendi savunmasız kodunda nasıl take a look at etti

Antropic, bu araçları kendi kod tabanında dahili olarak take a look at ediyor, Claude kodu kendisi, etkinliklerinin gerçek dünyadaki doğrulanmasını sağlıyor. Şirket, sistemin üretime ulaşmadan önce yakaladığı güvenlik açıkları örneklerini paylaştı.

Bir durumda, mühendisler yalnızca yerel bağlantılar için tasarlanmış yerel bir HTTP sunucusu başlatan dahili bir araç için bir özellik oluşturdular. . Github Eylemi Kod birleştirilmeden önce sabitlenen DNS yeniden başlatma saldırıları yoluyla kullanılabilir bir uzaktan kod yürütme güvenlik açığı belirlendi.

Başka bir örnek, dahili kimlik bilgilerini güvenli bir şekilde yönetmek için tasarlanmış bir proxy sistemi içeriyordu. Otomatik inceleme, vekilin savunmasız olduğunu işaretledi. Sunucu tarafı istek asmeri (SSRF) saldırılarıderhal bir düzeltme yapmak.

Graham, “Onu kullanıyorduk ve zaten güvenlik açıkları ve kusurları buluyordu ve bizim için üretime ulaşmadan önce onları nasıl düzelteceklerini öneriyordu” dedi. “Düşündük ki, hey, bu o kadar kullanışlı ki, onu da kamuya açıklamaya karar verdik.”

Araçlar, büyük işletmelerin karşılaştığı ölçek zorluklarını ele almanın ötesinde, özel güvenlik personeli olmayan daha küçük kalkınma ekipleri için sofistike güvenlik uygulamalarını demokratikleştirebilir.

Graham, “Beni en çok heyecanlandıran şeylerden biri, güvenlik incelemesinin en küçük takımlara bile kolayca demokratikleştirilebileceği ve bu küçük takımlar gittikçe daha fazla inancına sahip olacakları çok fazla kodu zorlayabileceği anlamına geliyor” dedi.

Sistem hemen erişilebilir olacak şekilde tasarlanmıştır. Graham’a göre, geliştiriciler güvenlik incelemesi özelliğini sürümden sonraki saniyeler içinde kullanmaya başlayabilir ve bu da yaklaşık 15 tuş vuruşunun başlatılmasını gerektirir. Araçlar, diğer Claude kod özelliklerini güçlendiren aynı Claude API’si aracılığıyla kodu yerel olarak işleyerek mevcut iş akışlarıyla sorunsuz bir şekilde entegre eder.

Milyonlarca kodu tarayan AI mimarisinin içinde

Güvenlik inceleme sistemi, Claude’u kodu sistematik olarak analiz eden bir “aracı döngüsü” aracılığıyla çağırarak çalışır. Antropik’e göre, Claude kodu Bir çekme isteğinde yapılan değişiklikleri anlayarak ve daha sonra bağlamı, güvenlik değişmezlerini ve potansiyel riskleri anlamak için daha geniş kod tabanını proaktif olarak keşfederek büyük kod tabanlarını keşfetmek için araç çağrıları kullanır.

Kurumsal müşteriler güvenlik kurallarını belirli politikalarıyla eşleşecek şekilde özelleştirebilir. Sistem, Claude Code’un genişletilebilir mimarisi üzerine inşa edilmiştir, bu da ekiplerin mevcut güvenlik istemlerini değiştirmelerine veya basit işaretleme belgeleri aracılığıyla tamamen yeni tarama komutları oluşturmasına olanak tanır.

Graham, “Slash komutlarına bir göz atabilirsiniz, çünkü çoğu zaman kesik komutları aslında çok basit bir claude.md doktoru ile çalıştırılır” diye açıkladı Graham. “Kendinizi de yazmanız gerçekten çok basit.”

100 milyon dolarlık yetenek savaşı, AI güvenlik gelişimini yeniden şekillendiren

Güvenlik duyurusu, AI güvenliği ve sorumlu konuşlandırma ile ilgili daha geniş bir endüstrinin ortasında geliyor. Antropik’ten yapılan son araştırmalar, AI modellerinin, esneklik oluşturmak için eğitim sırasında mannequin modellerini istenmeyen özelliklere maruz bırakan tartışmalı bir “aşılama” yaklaşımı da dahil olmak üzere zararlı davranışlar geliştirmesini önlemek için teknikleri araştırmıştır.

Zamanlama ayrıca AI alanındaki yoğun rekabeti yansıtır. Antropik çıktı Claude Opus 4.1 Salı günü, şirket yazılım mühendisliği görevlerinde önemli iyileştirmeler talep ediyor-SWE-Bench doğrulanmış kodlama değerlendirmesinde% 74,5’lik, önceki Claude Opus 4 modeli için% 72.5’e kıyasla.

Bu arada Meta, antropik CEO Dario Amodei son zamanlarda bunu belirtmiş olsa da, Meta ai yeteneğini büyük imza bonuslarıyla agresif bir şekilde işe alıyor. Çalışanlarının çoğu bu teklifleri geri çevirdi. Şirket bir Çalışanlar için% 80 elde tutma oranı Openai’de% 67 ve Meta’da% 64 ile karşılaştırıldığında son iki yılda işe alındı.

Devlet kurumları artık kurumsal AI benimseme hızlandığı için Claude’u satın alabilir

Güvenlik özellikleri, Antropik’in kurumsal pazarlara daha geniş itilmesinin bir kısmını temsil ediyor. Geçtiğimiz ay, şirket, yöneticiler için analitik gösterge tabloları, yerel pencere desteği ve çok yönlü desteği de dahil olmak üzere Claude kodu için birden fazla işletme odaklı özellik gönderdi.

ABD hükümeti ayrıca, şirketi Genel Hizmetler İdaresi’ne ekleyerek Antropik’in kurumsal kimlik bilgilerini de onayladı. Onaylı Satıcı Listesi Openai ve Google’ın yanı sıra, Claude’u federal ajans tedariki için kullanılabilir hale getirir.

Graham, güvenlik araçlarının mevcut güvenlik uygulamalarını tamamlamak için tasarlamak için tasarlandığını vurguladı. “Sorunu çözecek tek bir şey yok. Bu sadece bir ek araç” dedi. Bununla birlikte, AI destekli güvenlik araçlarının kod üretimi hızlandıkça giderek daha merkezi bir rol oynayacağına dair güvenini dile getirdi.

İnternet’i kırmadan önce AI tarafından oluşturulan yazılımı güvence altına alma yarışı

Yapay zeka yazılım geliştirmeyi benzeri görülmemiş bir hızda yeniden şekillendirdiğinden, Antropic’in güvenlik girişimi, kod üretiminde patlayıcı büyümeyi yönlendiren aynı teknolojinin de bu kodu güvende tutmak için kullanılması gerektiğine dair eleştirel bir tanınırlığı temsil etmektedir. Frontier Purple Crew olarak adlandırılan Graham’ın ekibi, ileri AI yeteneklerinden elde edilen potansiyel riskleri belirlemeye ve uygun savunmalar oluşturmaya odaklanıyor.

Graham, “Modellerin siber güvenlik yeteneklerini ölçmeye her zaman son derece kararlıydık ve bence savunmaların dünyada giderek daha fazla var olması zamanı geldi” dedi. Şirket, siber güvenlik firmalarını ve bağımsız araştırmacıları, AI’yı “dünyadaki altyapıyı güçlendiren en önemli yazılımı gözden geçirmek ve daha güvenli bir şekilde yemek veya daha güvenli hale getirmek için” iddialı bir hedefle teknolojinin yaratıcı uygulamalarını denemeye teşvik ediyor.

Güvenlik özellikleri hemen herkes için kullanılabilir Claude kodu Github eylemi ile geliştirme ekipleri tarafından bir kerelik yapılandırma gerektiren kullanıcılar. Ancak endüstri üzerinde ortaya çıkan daha büyük soru devam ediyor: Yapay zeka ile çalışan savunmalar, AI tarafından üretilen güvenlik açıklarındaki üstel büyümeye uyacak kadar hızlı ölçeklendirebilir mi?

Şimdilik, en azından makineler diğer makinelerin kırabileceğini düzeltmek için yarışıyor.