Kunstmatige intelligentie (AI) bedrijf Anthropic is begonnen met het uitrollen van een nieuwe beveiligingsfunctie voor Claude Code die de softwarecodebasis van een gebruiker kan scannen op kwetsbaarheden en patches kan voorstellen.
De mogelijkheid, genaamd Claude Code-beveiligingis momenteel beschikbaar in een beperkte onderzoekspreview voor Enterprise- en Team-klanten.
“Het scant codebases op beveiligingskwetsbaarheden en stelt gerichte softwarepatches voor voor menselijke beoordeling, waardoor teams beveiligingsproblemen kunnen vinden en oplossen die traditionele methoden vaak over het hoofd zien”, zei het bedrijf in een aankondiging van vrijdag.
Anthropic zei dat de functie bedoeld is om AI te gebruiken als een hulpmiddel om kwetsbaarheden te helpen vinden en oplossen om aanvallen tegen te gaan waarbij bedreigingsactoren dezelfde tools gebruiken om de ontdekking van kwetsbaarheden te automatiseren.
Nu AI-agenten steeds beter in staat zijn om beveiligingskwetsbaarheden te detecteren die anders aan de menselijke aandacht zouden ontsnappen, zei de technologiestarter dat dezelfde mogelijkheden door tegenstanders kunnen worden gebruikt om exploiteerbare zwakheden sneller dan voorheen bloot te leggen. Claude Code Security, zo voegde het eraan toe, is ontworpen om dit soort AI-aanvallen tegen te gaan door verdedigers een voordeel te geven en de beveiligingsbasis te verbeteren.
Anthropic beweerde dat Claude Code Security verder gaat dan statische analyse en scannen op bekende patronen door de codebase te redeneren als een menselijke beveiligingsonderzoeker, maar ook door te begrijpen hoe verschillende componenten op elkaar inwerken, gegevensstromen door de applicatie te volgen en kwetsbaarheden te signaleren die mogelijk over het hoofd worden gezien door op regels gebaseerde tools.
Elk van de geïdentificeerde kwetsbaarheden wordt vervolgens onderworpen aan een zogenaamd ‘meerfasig verificatieproces’, waarbij de resultaten opnieuw worden geanalyseerd om valse positieven eruit te filteren. De kwetsbaarheden krijgen ook een ernstclassificatie, zodat teams zich kunnen concentreren op de belangrijkste.
De uiteindelijke resultaten worden aan de analist getoond in het Claude Code Security-dashboard, waar teams de code en de voorgestelde patches kunnen bekijken en goedkeuren. Anthropic benadrukte ook dat de besluitvorming van het systeem wordt aangestuurd door een human-in-the-loop (HITL)-benadering.
“Omdat deze problemen vaak nuances met zich meebrengen die moeilijk te beoordelen zijn op basis van alleen de broncode, geeft Claude ook een betrouwbaarheidsbeoordeling voor elke bevinding”, aldus Anthropic. “Niets wordt toegepast zonder menselijke goedkeuring: Claude Code Security signaleert problemen en stelt oplossingen voor, maar ontwikkelaars bellen altijd.”
