Anthropic a lansat Claude Code Security. O veste bună pentru industria securității cibernetice contrar opiniei analiștilor de la bursă

Anthropic a anunțat lansarea Claude Code Security (1) pe 20 februarie, iar imediat s-au întâmplat două lucruri. Echipele de securitate au început să solicite accesul. Iar acțiunile companiilor de securitate cibernetică au scăzut dramatic. Experții s-au grăbit să numească acest fenomen începutul sfârșitului pentru furnizorii de servicii de securitate. Vânzarea masivă a acțiunilor din domeniul securității cibernetice este exagerată însă. Piața reacționează la titlurile din presă, nu la produsul oferit.

Claude Code Security este o nouă funcție integrată în Claude Code care folosește AI pentru a scana bazele de cod în căutarea vulnerabilităților de securitate și pentru a sugera patch-uri.

Claude Code Security îmbunătățește securitatea codului, inovația fiind trecerea de la potrivirea tiparelor la raționamentul privind comportamentul codului. Instrumentele de potrivire a tiparelor detectează codul defectuos cunoscut. Instrumentele bazate pe raționament detectează codul care se comportă incorect în raport cu ceea ce ar trebui să facă.

Anthropic a lansat Claude Opus 4.6 la începutul acestei luni. Folosind acest model, echipa Frontier Red Team de la Anthropic a descoperit peste 500 de vulnerabilități în bazele de cod open-source de producție, bug-uri care nu fuseseră detectate de zeci de ani. Demonstrația a fost impresionantă aceasta fiind o capacitate semnificativă de detecție.

Întrebările pe care titlurile le-au omis

Care a fost rata fals pozitivă? Găsirea a 500 de candidați este foarte diferită de confirmarea a 500 de vulnerabilități reale. Fiecare scaner produce falsuri pozitive, descoperiri care par a fi probleme, dar care nu sunt de fapt exploatabile în context. Anthropic spune că instrumentul își verifică propriile rezultate înainte de a le afișa, ceea ce este o alegere inteligentă de proiectare. Dar nu avem încă un punct de referință independent. Ne bazăm pe cuvântul lor.

Aceste vulnerabilități erau într-adevăr exploatabile? „A trecut de evaluarea experților” este o frază convingătoare, dar ne spune că bug-urile nu au fost detectate, nu că erau neapărat periculoase într-un mediu real de implementare. Gravitatea în teorie și gravitatea în practică sunt două lucruri diferite.

Cine suportă costul trierii? Dacă un instrument descoperă sute de rezultate cu severitate ridicată, cineva trebuie să le analizeze pe fiecare în parte. Să înțeleagă contextul și să afle dacă este real, dacă poate fi exploatat, cât de grav este de fapt și ce ar putea strica remedierea lui. Aceasta nu este o problemă a instrumentului. Este o problemă a oamenilor și o problemă de timp.

Ce au omis reacțiile

Povestea reală este însă mult mai nuanțată și interesantă decât „AI înlocuiește instrumentele de securitate”.

Narațiunea predominantă pare să fie: „Anthropic a construit o AI care găsește vulnerabilități, prin urmare instrumentele tradiționale de securitate sunt depășite”. Este ca și cum am spune: „Am construit un detector de fum foarte bun, așa că pompierii sunt depășiți”.

Găsirea vulnerabilităților este importantă dar nu a fost niciodată partea dificilă.

Partea dificilă, cea care generează întârzieri de mai mulți ani este remedierea lor la scară largă, în sute de depozite și fără a strica nimic. Acest lucru trebuie sa se întâmple în timp ce dezvoltatorii lansează noi funcții la o viteză vertiginoasă în cod pe care nu l-au scris, folosind biblioteci pe care nu le-au ales, în limbaje în care s-ar putea să nu fie experți.

Niciun tip de scanare mai bună, fie că este bazată pe AI sau nu, nu rezolvă această buclă fundamentală. În continuare sunt create fluxuri de lucru care ajunge în cele din urmă pe biroul unui dezvoltator.

Claude Code Security pare o tehnologie foarte interesantă. Dar este un instrument de scanare și detectare, găsește probleme și sugerează remedieri. Fără îndoială, este valoros, dar întrebarea pe care fiecare inginer senior și profesionist în securitate cibernetică ar trebui să și-o pună este: ce se întâmplă după scanare?

Ironia despre care nimeni nu a vorbit

Iată partea din conversație care a lipsit în mod evident din discuțiile aprinse: aceleași modele de AI care găsesc vulnerabilități le și creează.

Datele referitoare la acest aspect sunt îngrijorătoare. BaxBench (2), un benchmark de la ETH Zurich, UC Berkeley și INSAIT care evaluează LLM-urile în ceea ce privește sarcinile de programare critice pentru securitate, a constatat că 62% dintre soluțiile generate chiar și de cele mai bune modele sunt incorecte sau conțin vulnerabilități de securitate. Claude Opus 4.5, propriul model al Anthropic, cel mai performant, a produs cod sigur și corect doar în 56% din cazuri, fără solicitări specifice de securitate.

Modelele de AI introduc vulnerabilități în aproape jumătate din codul pe care îl generează. Aceeași tehnologie este atât problema, cât și o parte din soluție. Nu este o contradicție, ci doar realitatea în care ne aflăm. Și asta înseamnă că orice strategie serioasă de securitate trebuie să țină cont de ambele părți ale acestei ecuații.

Și cu programarea asistată de AI care determină o creștere a codului generat, backlog-ul crește mai repede ca niciodată. Mai mult cod înseamnă mai multe bug-uri. Mai multe bug-uri cu același număr (sau mai puțini) de ingineri de securitate înseamnă o coadă din ce în ce mai lungă.

Dar iată ce are dreptate anunțul Anthropic, chiar dacă reacția pieței nu înțelege acest lucru: AI-ul aparține ciclului de remediere, nu doar ciclului de detectare. Descoperirea nu este că „AI-ul poate găsi vulnerabilități”, scanerele bune fac asta de ani de zile. Descoperirea este că „AI-ul poate raționa suficient de bine despre cod pentru a remedia vulnerabilitățile”.

Peisajul concurențial

Anthropic nu este prima companie care face acest pas. OpenAI a lansat Aardvark în octombrie 2025, un agent bazat pe GPT-5 care monitorizează codurile, validează vulnerabilitățile în medii sandbox și generează patch-uri prin Codex. Aardvark a identificat 10 CVE-uri în proiecte open-source și a atins o rată de detectare de 92% în depozitele de referință. Google a lansat CodeMender, care rescrie codul vulnerabil pentru a preveni exploatările viitoare.

Fiecare laborator important de IA are acum un produs de scanare a securității și toate îl poziționează în același mod: IA care raționează despre cod ca un cercetător uman, nu doar un motor bazat pe un set de reguli.

Validare, nu perturbare

Anthropic a analizat peisajul a ceea ce ar putea construi cu modelele lor de frontieră și a decis să construiască un instrument de scanare și remediere a securității. Este un semnal că direcția în care se îndreaptă industria, către fluxuri de lucru de securitate native AI, agentice, care se integrează direct în instrumentele de dezvoltare, este cea corectă.

Nu toate erorile pot fi remediate automat; unele necesită modificări arhitecturale, altele necesită judecata umană cu privire la compromisurile logicii de afaceri, dar marea majoritate a modelelor comune de vulnerabilități, cu care se confruntă echipele în fiecare zi nu ar trebui să necesite niciodată un tichet și o așteptare a soluției de rezolvare.

Problema dublei utilizări

Anthropic a fost directă în privința tensiunii existente aici. Aceeași IA care ajută apărătorii să găsească vulnerabilități poate ajuta atacatorii să le exploateze. Atacatorii vor folosi IA pentru a găsi mai repede ca niciodată punctele slabe care pot fi exploatate, iar apărătorii care acționează rapid pot găsi primii aceleași puncte slabe.

Această formulare, viteza ca factor decisiv, are implicații pentru echipele de securitate cibernetică. Dacă descoperirea vulnerabilităților bazată pe AI devine norma, intervalul dintre existența unei vulnerabilități și descoperirea acesteia se reduce dramatic. Echipele care integrează aceste instrumente în fluxurile lor de lucru vor aplica patch-uri mai rapid. Echipele care tratează scanarea de securitate ca pe un exercițiu trimestrial vor rămâne în urmă.

Claude Code Security este disponibil acum ca previzualizare limitată de cercetare pentru clienții Enterprise și Team. Administratorii open-source beneficiază de acces gratuit și rapid. O mișcare binevenită, având în vedere că componentele open-source constituie majoritatea bazelor de cod ale companiilor.

În prezent ceea ce face este să scaneze baza de cod și să sugereze remedieri pentru ceea ce găsește. Fiecare remediere necesită revizuirea și aprobarea de către o persoană înainte ca orice schimbare să aibă loc.

Sursa: Anthropic, BaxBench