Revisioni automatiche di sicurezza per Claude Code come vulnerabilità di sicurezza prodotte da navi antropiche AI

Antropico lancio Revisione automatica della sicurezza talenti per lui Codice Claude Mercoledì, la piattaforma accelera in modo significativo lo sviluppo del software in tutto il settore fornendo strumenti in grado di scansionare il codice per i deficit di sicurezza e proporre configurazioni come intelligenza artificiale.

. Nuove funzionalità Aziende, abbiamo fatto affidamento sull’intelligenza artificiale per scrivere codice più velocemente che mai e abbiamo sollevato domande critiche sul fatto che le pratiche di sicurezza possano tenere il passo con la velocità dello sviluppo supportato dall’intelligenza artificiale. La soluzione antropica pone direttamente l’analisi della sicurezza nei flussi di lavoro degli sviluppatori in modo semplice. comando terminale e automatico Commenti di github.

In un’intervista con VentureBeat, Logan Graham, un membro del team di frontiera Red, che migliora lo sviluppo delle caratteristiche di sicurezza di Antropic, ha dichiarato: “Le persone adorano il codice Claude, a loro piace usare il modello per scrivere codice e questi modelli sono molto buoni e migliori”, ha detto. “Nei prossimi anni, la quantità di codice scritta nel mondo sembra essere davvero possibile per andare a 10x, 100x, 1000x. L’unico modo per la rivolta è usare i modelli per capire come renderlo al sicuro.”

L’annuncio arriva solo un giorno dopo aver rilasciato Claude Opus 4.1, una versione aggiornata del modello AI più potente di Antropico, che mostra miglioramenti significativi nelle attività di codifica. Il tempismo sottolinea una concorrenza che si concentra tra le società di intelligenza artificiale. Si prevede che Openi annuncerà GPT-5 Aggressioni e meta Capacità di caccia fuggitiva Bonus di firma da 100 milioni di dollari.

Perché la produzione di codice AI crea un grosso problema di sicurezza?

Gli strumenti di sicurezza affrontano una crescente preoccupazione nel settore del software: man mano che i modelli AI diventano più capaci per la scrittura del codice, il volume del codice prodotto esplode, ma i tradizionali processi di esame di sicurezza non corrispondono. Attualmente, le indagini sulla sicurezza si basano su ingegneri umani che esaminano manualmente il codice per i deficit di sicurezza, un processo che non può tenere il passo con l’output creato dall’IA.

L’approccio di Antropic usa l’IA per risolvere il problema dell’intelligenza artificiale. La società ha sviluppato due strumenti complementari per definire automaticamente le vulnerabilità di sicurezza comuni come rischi di iniezione di SQL, vulnerabilità degli script inter -siti, difetti di autenticazione ed elaborazione dei dati non sicuri.

. Primo veicolo Uno /security-review Il comando che gli sviluppatori possono lavorare dai terminali per la scansione del codice prima di stabilire un contratto. Graham inizierà un’agenzia Claude per rivedere il calcio da 10 take e quindi il codice o il magazzino che hai scritto ”, ha detto Graham. Il sistema analizza il codice e restituisce elevate valutazioni di vulnerabilità delle garanzie con le correzioni raccomandate.

. Secondo componente Uno Azione github Ciò innesca automaticamente gli esami di sicurezza quando gli sviluppatori inviano richieste di prelievo. Il sistema pubblica commenti interni sul codice con problemi di sicurezza e suggerimenti e consente a ciascuna modifica del codice di ricevere una revisione della sicurezza di base prima che raggiunga la produzione.

Come ha testato il browser di sicurezza antropica nel suo codice vulnerabile

Antropico verifica questi strumenti internamente nella loro base di codice, Codice Claude Assicura che le sue attività siano verificate nel mondo reale. La società ha condiviso esempi di lacune di sicurezza che il sistema ha catturato prima di raggiungere la produzione.

In un caso, gli ingegneri hanno creato una funzione per uno strumento interno che ha lanciato un server HTTP locale progettato solo per le connessioni locali. . Azione github Una vulnerabilità di sicurezza dell’esecuzione remota è stata determinata attraverso gli attacchi di riavvio DNS fissati prima che il codice fosse rilasciato.

Un altro esempio includeva un sistema proxy progettato per gestire in modo sicuro le informazioni sull’identità interna. L’esame automatico ha segnato che l’avvocato è vulnerabile. Attacchi di ASMERI ASMERI (SSRF) della richiesta del serverFare immediatamente una correzione.

Graham, “Lo stavamo usando e già trovato vulnerabilità e difetti di sicurezza e abbiamo suggerito come correggerli prima di raggiungere la produzione”, ha detto Graham. “Abbiamo pensato, ehi, è così utile che abbiamo deciso di spiegarlo al pubblico.”

I veicoli possono democratizzare pratiche di sicurezza sofisticate per team di sviluppo più piccoli senza personale di sicurezza privato, ma non per affrontare le sfide della scala affrontate dalle grandi imprese.

“Una delle cose che mi eccita di più significa che la revisione della sicurezza può essere facilmente democratizzata anche alle squadre più piccole e queste piccole squadre possono forzare troppo codice che avranno sempre più credenze”, ha detto Graham.

Il sistema è progettato per essere accessibile immediatamente. Secondo Graham, gli sviluppatori possono iniziare a utilizzare la funzione di revisione della sicurezza in pochi secondi dopo la versione, che richiede l’inizio di circa 15 colpi chiave. Gli strumenti integrano il codice localmente attraverso la stessa API Claude, che rafforza le altre proprietà del codice Claude e si integra senza intoppi con i flussi di lavoro esistenti.

Nell’architettura AI che scruta milioni di codice

Il sistema di esame di sicurezza funziona chiamando Claude attraverso un “ciclo intermedio” che analizza sistematicamente il codice. Secondo antropico, Codice Claude Utilizzo delle chiamate dello strumento per scoprire le suole di codice di grandi dimensioni mediante modifiche alle modifiche in un ritiro e quindi la base di codice più ampia per comprendere il contesto, il non -scambio e i potenziali rischi.

I clienti aziendali possono personalizzare le regole di sicurezza in un modo che corrisponda alle loro politiche specifiche. Il sistema è stato costruito sull’architettura espandibile del codice Claude, che consente ai team di modificare le loro richieste di sicurezza attuali o creare comandi di scansione completamente nuovi attraverso semplici documenti di marcatura.

“Puoi dare un’occhiata ai comandi slash, perché i comandi spesso tagliati vengono effettivamente eseguiti con un dottore Claude.md molto semplice, ha spiegato G Graham.” È davvero semplice scrivere da solo. “

100 milioni di dollari di guerra di talenti, AI rimodellando lo sviluppo della sicurezza

L’annuncio di sicurezza arriva nel mezzo di un settore più ampio per la sicurezza dell’IA e l’implementazione responsabile. Le ultime ricerche di antropiche hanno studiato tecniche per prevenire comportamenti dannosi, tra cui un controverso approccio di “vaccinazione” che espone i modelli di modelli a caratteristiche indesiderate durante la formazione per creare flessibilità.

Il tempismo riflette anche la concorrenza intensiva nel campo dell’IA. Output antropico Vicino al lavoro 4.1 Martedì, l’azienda richiede significativi miglioramenti nelle attività di ingegneria del software-74,5% nella valutazione della codifica confermata, 72,5% per il precedente modello Claude Opus 4.

Nel frattempo, il CEO antropico, Dario Amodei, ha recentemente dichiarato che, sebbene abbia recentemente affermato, Meta Ai assume la sua capacità in modo aggressivo con grandi bonus distintivi. La maggior parte dei dipendenti ha rifiutato queste offerte. Azienda A. 80% di tasso di detenzione per i dipendenti Rispetto al 67% in Openi e al 64% in meta, è stato assunto negli ultimi due anni.

Le istituzioni statali possono ora acquistare Claude perché stanno accelerando l’adozione dell’IA aziendale.

Le caratteristiche di sicurezza rappresentano una parte della più ampia spinta degli antropici ai mercati aziendali. Il mese scorso, la società ha inviato più funzionalità orientate al business per il codice Claude, tra cui tabelle di indicatori analitici, supporto per finestre locali e supporto versatile per i manager.

Il governo degli Stati Uniti ha anche aggiunto la società all’amministrazione dei servizi generali e ha approvato le informazioni sull’identità aziendale dell’antropico. Elenco dei fornitori approvati Oltre a Openi e Google, Claude lo rende disponibile per la fornitura di agenzie federali.

Graham ha sottolineato che i veicoli di sicurezza sono progettati per progettare per completare le applicazioni di sicurezza esistenti. “Non c’è una cosa per risolvere il problema. Questo è solo uno strumento aggiuntivo”, ha detto. Tuttavia, ha espresso la sua fiducia nel fatto che i veicoli di sicurezza supportati dall’IA aumenteranno un ruolo più centrale man mano che la produzione di codice accelera.

Garantito il software creato dall’IA prima di rompere Internet

Poiché l’intelligenza artificiale rimodella il software a una velocità senza precedenti, l’iniziativa di sicurezza di Antropic rappresenta un riconoscimento critico che la stessa tecnologia, che dirige la crescita esplosiva nella produzione di codice, dovrebbe essere utilizzata per mantenere questo codice sicuro. Il team di Graham, chiamato Frontier Red Team, si concentra sull’identificazione di potenziali rischi dalle capacità AI avanzate e sulla creazione di difese appropriate.

Graham, “Siamo sempre stati estremamente determinati a misurare le capacità di sicurezza informatica dei modelli e penso che sia tempo di esistere sempre più difese nel mondo”, ha detto. La società incoraggia le società di sicurezza informatica e i ricercatori indipendenti a provare le pratiche creative della tecnologia con un obiettivo ambizioso per rivedere Öylemek il software più importante che rafforza le infrastrutture del mondo e lo rendono più sicuro in modo più sicuro.

Le caratteristiche di sicurezza possono essere utilizzate per quasi tutti Codice Claude Gli utenti che richiedono una configurazione a tempo da parte dell’azione GitHub da parte dei team di sviluppo. Tuttavia, la domanda più grande del settore continua: le difese che lavorano con l’intelligenza artificiale possono scalare rapidamente abbastanza da rispettare la crescita esponenziale nei deficit di sicurezza prodotti dall’IA?

Per ora, almeno le macchine sono in competizione per correggere che altre macchine possono rompersi.