Anthropic 将 Claude Security 推出公开测试版:它扫描你的代码,发现漏洞并提出修补方案。

Reddit r/ArtificialInteligence 产品

摘要

Anthropic 已面向企业客户推出 Claude Security 的公开测试版,这是一款 AI 驱动工具,通过理解业务逻辑和数据流来扫描代码库,识别漏洞并提出修补方案。

Anthropic 刚刚将 Claude Security 推入面向企业客户的公开测试阶段(目前仅限企业版,团队版和 Max 版将在稍后推出)。它会像安全研究员一样扫描你的代码库:追踪跨文件的数据流,理解业务逻辑,发现模式匹配工具遗漏的漏洞,并提出供你审查和批准的修补方案。参考链接:[https://claude.com/product/claude-security](https://claude.com/product/claude-security) **它的实际功能:** * 并行扫描代码,具备多文件上下文 * 对每个发现进行对抗性自我验证,以减少误报 * 建议的修补方案与你现有代码风格匹配 * 将发现推送到 Slack、Jira 或 webhooks * 范围扫描(子目录级别)和定时扫描 * 由 Anthropic 内部用于自身安全的相同模型提供支持 **好的方面:** 这确实是一次飞跃。传统的 SAST 工具会让团队淹没在误报中,并错过任何需要跨文件推理的内容。一个真正理解代码在做什么,然后编写修复方案的 LLM,正是解决这个问题的正确工具。Anthropic 亲自使用自己产品的这个事实是一个真实的信号。 **令人不安的部分:** 相同的能力,防御者用来发现漏洞,攻击者也能用来发现漏洞。Anthropic 发表了自己的关于“LLM 发现的零日漏洞”的研究,所以他们显然意识到了这一点。他们的赌注是,防御者首先部署这个工具,会创造一种有利于好人的不对称优势。也许吧。但我一直纠结的是:一次成功的 Claude Security 部署会生成一份集中的、经过验证的、解释清晰的列表,精确指出你的软件在哪里出了问题。如果这份列表泄露(被攻破的 Slack webhook、内部人员、放错 S3 存储桶的导出 CSV),攻击者就会得到一个预先构建的攻击计划。该产品不会为随机网站创造新的攻击面,但它确实创造了一个需要像皇冠珠宝一样保护的高度有价值的内部工件。这里有安全团队的人实际试用过吗?好奇在实际中误报率是否可靠,以及团队如何处理发现存储的问题。
查看原文

相似文章

Anthropic 发布用于 AI 驱动漏洞发现的开源框架

Hacker News Top

Anthropic 发布了一个开源参考实现,用于基于 Claude 的自主漏洞发现与修复,涵盖完整流水线(侦察 → 发现 → 验证 → 报告 → 修补),并支持沙箱隔离。该框架配套 Claude Security 托管产品,可用于管理代码库中的漏洞。

Claude Mythos 开启网络安全的潘多拉魔盒

Reddit r/artificial

Anthropic 发布了 Claude Mythos,这是一款能力极强的 AI 模型,旨在自动发现操作系统、浏览器和软件库中的安全漏洞。出于双重用途风险的考虑,该模型最初仅通过 Project Glasswing 向部分企业和开源合作伙伴开放,此次发布引发了业界关于 AI 安全能力与企业营销策略的广泛争论。

Anthropic 新模型一个月内发现超一万个安全漏洞

Reddit r/ArtificialInteligence

Anthropic 的新 AI 模型 Claude Mythos 在一个月内识别出全球系统软件中超过一万个高危和严重安全漏洞,其误报率优于人类测试人员,显著推动了 AI 驱动的网络安全。