Компания Anthropic представила новую функцию своего инструмента разработки — Claude Code Security: система на базе искусственного интеллекта сканирует кодовую базу на уязвимости и предлагает готовые патчи для ревью.
Сервис пока доступен в ограниченном исследовательском превью для корпоративных клиентов и команд.
Как это работает
В отличие от традиционных статических анализаторов, которые ищут известные паттерны, Claude Code Security «читает и рассуждает» о коде так, как это делает человек-исследователь. Система понимает, как взаимодействуют разные компоненты приложения, отслеживает потоки данных и обнаруживает сложные, многоступенчатые уязвимости, которые правила-фильтры упускают.
Каждая потенциальная находка проходит многоэтапную верификацию: Claude заново анализирует собственный результат, пытаясь его опровергнуть, и только потом передаёт аналитику. Каждой уязвимости присваивается уровень критичности и оценка уверенности критичности чтобы команды сосредоточились на самых опасных проблемах.
Человек всегда принимает решение
Финальные результаты отображаются в дашборде Claude Code Security: разработчики видят уязвимый код и предлагаемые патчи, но применяют их только вручную. Anthropic подчёркивает принцип «человек в контуре» (HITL, human-in-the-loop): ничего не применяется без явного одобрения разработчика.
Подключить инструмент можно, связав его с репозиторием на GitHub и запустив сканирование. Участники превью обязаны проверять только код, на который у компании есть все необходимые права, — сторонние и опенсорс-проекты под это условие не подпадают.
Реальные результаты и гонка с атакующими
Anthropic тестировала возможности Claude в области кибербезопасности больше года — в том числе участвуя в соревнованиях Capture the Flag и сотрудничая с Тихоокеанской северо-западной национальной лабораторией США. По данным компании, модель Claude Opus 4.6 обнаружила свыше 500 уязвимостей в производственных опенсорс-проектах, часть из которых оставалась незамеченной годами; Anthropic ведёт ответственное раскрытие информации с мейнтейнерами.
Смысл релиза — в логике гонки вооружений: злоумышленники уже применяют ИИ для автоматизированного поиска слабых мест быстрее, чем это делают люди. Показательно, что акции ряда крупных игроков рынка кибербезопасности упали в день анонса — инвесторы расценили инструмент как прямую конкуренцию традиционным коммерческим сканерам уязвимостей.