В конце прошлой недели компания Anthropic представила Claude Code Security — ИИ-инструмент для поиска уязвимостей в коде. Эта новость привела к заметному падению акций ИБ-компаний, однако специалисты считают, что паниковать рано.
Claude Code Security представляет собой новую функцию Claude Code, которая сканирует кодовую базу на наличие уязвимостей и предлагает патчи. Пока инструмент доступен в ограниченном research preview для клиентов тарифов Enterprise и Team, а мейнтейнеры опенсорсных проектов могут подать заявку на бесплатный доступ.
«Система сканирует кодовые базы в поисках уязвимостей и предлагает целевые исправления конкретных уязвимостей для проверки специалистами, позволяя командам находить и исправлять проблемы, которые часто упускаются при использовании традиционных методов», — пишут разработчики.
В Anthropic позиционируют новый инструмент не как обычный статический анализатор. По заявлениям разработчиков, Claude Code Security «анализирует код так, как это делал бы ИБ-исследователь»: разбирается во взаимодействии компонентов, отслеживает потоки данных и находит уязвимости, которые пропускают опирающиеся на правила инструменты. Каждый найденный баг проходит многоэтапную верификацию для отсеивания ложных срабатываний и получает оценку серьезности. Итоговые результаты отображаются на панели мониторинга Claude Code Security, где специалисты могут просмотреть код и предложенные исправления, а затем утвердить их или забраковать.
Рынок немедленно отреагировал на анонс Claude Code Security, и акции ведущих ИБ-компаний заметно потеряли в цене: CrowdStrike лишилась почти 8%, Cloudflare — более 6%, SailPoint — 6,8%, Okta — 5,7%. CEO компании CrowdStrike Джордж Курц (George Kurtz) даже спросил у Claude, способен ли новый инструмент заменить CrowdStrike, на что получил отрицательный ответ.
Как отмечает издание The Register, ИБ-сообщество реагирует на запуск Claude Code Security спокойнее рынка, ведь это далеко не первый подобный инструмент. Аналогичные решения уже есть у Amazon, Microsoft, Google (Big Sleep и CodeMender) и OpenAI (агентная система Aardvark на базе GPT-5). И все они тоже требуют участия человека.
Как пишут журналисты, вероятно, новый инструмент окажется полезен для разработчиков и ИБ-аналитиков, поскольку уже неоднократно демонстрировалось, что ИИ действительно неплохо обнаруживает уязвимости.
В беседе с изданием глава компании Semgrep Айзек Эванс (Isaac Evans) отметил, что при этом ни один разработчик таких моделей пока не опубликовал статистику по ложным срабатываниям, которые в итоге привели к полученным результатам, а также данные о стоимости этого процесса:
«Это важно: речь идет об инвестициях в миллион долларов? Десять миллионов? В данном случае маркетинг стоит на первом месте, а наука — на втором».
