AnthropicはAIモデルを使用して、セキュリティチームが修正責任のある多数のソフトウェアのバグに追いつくのを助ける最初の製品であるClaude Code Securityをリリースしました。大企業の場合、パッチが適用されないソフトウェアのバグは、データ侵害、ダウンタイム、規制問題の主な原因です。一方、セキュリティチームは保護する必要があるコードの量のために圧倒されることがよくあります。
Claude Code Securityは、既知の問題パターンを見つけるためにコードをスキャンするのではなく、人間の専門家のようにコードベース全体を調べて、さまざまなソフトウェアがどのようにやり取りするのか、システム内でデータがどのように移動するかを調べることができます。 AI は自己調査結果を再確認し、各問題の重大度を評価し、修正を提案する。ただし、システムは独自にコードを調査できますが、自動的に修正を適用するわけではありません。これはそれ自体危険です。開発者はすべての変更を確認して承認する必要があります。
Claude Code Securityは、同社の最も進化したAIシステムのストレステストを実施し、サイバーセキュリティなどの分野でどのように悪用されるかを調査する約15人の研究者からなる内部グループであるFrontier Red Teamの1年以上の研究に基づいて構築されました。
Frontier Red Teamの最近の研究によると、Anthropicの新しいOpus 4.6モデルは、膨大な量のコードで、攻撃者が許可なくシステムに侵入したり、機密データを盗んだり、重要なサービスを中断したりするソフトウェアの欠陥である重大度の高い新しい脆弱性を見つけることで大幅に改善されました。実際、Opus 4.6は、エンタープライズシステムと重要なインフラストラクチャで実行されているオープンソースソフトウェアをテストし、何十年も検出されていないこれらの脆弱性のいくつかを発見しました。
Frontier Red TeamのリーダーであるLogan Grahamは、Claude Code Securityが防御能力を強化する必要があるセキュリティチームの手にこれらの機能を提供するためのものだとFortuneとのインタビューで語った。このツールは、企業やチームの顧客のための限られた研究プレビューで慎重にリリースされています。 Anthropicはまた、オープンソースリポジトリの管理者(広く使用されているパブリックソフトウェアの安全な実行に責任があるリソースが不足している開発者)に無料で迅速なアクセスを提供します。
彼は、「これはサイバーセキュリティ防御を強化するために努力する会社として次のステップです」と述べました。 「私たちは今(Opus 4.6)を意味的に使用しています。多くの実験をしてきました。彼は自律性の点で特にそうです。 Opus 4.6のエージェント機能は、セキュリティ上の欠陥を調査し、さまざまなツールを使用してコードをテストできることを意味すると付け加えました。実際には、AIはコードベースを段階的に探索し、さまざまなコンポーネントがどのように機能するかをテストし、下級セキュリティ研究者のように手がかりに従うことができます。はるかに速いです。
Grahamは、「これはセキュリティエンジニアや研究者に本当に大きな変化をもたらします」と述べた。 「セキュリティチームの能力が倍増します。セキュリティチームがより多くのタスクを実行できるようになります。」
もちろん、セキュリティ上の欠陥を見つけることは防御者だけではありません。攻撃者もAIを使用し、これまでよりも早く悪用可能な弱点を見つけているので、改善が良い人に有利にすることが重要だとGrahamは言いました。したがって、研究のプレビューに加えて、Anthropicは、悪意のある使用と攻撃者がシステムを使用する可能性がある時期を検出するための保護装置に投資していると述べました。
「二重使用機能がディフェンダーに優位性を与えることを確認することは本当に重要です」と彼は言いました。
