Anthropicは、ユーザーのソフトウェアコードベースの脆弱性をスキャンしてパッチソリューションを提案できるClaude Codeの新しいセキュリティ機能をロールアウトしています。
同社は金曜日に、Claude Code Securityがテスト用に限定数のエンタープライズおよびチームカスタマーが利用できるようになることを発表しました。これは、内部レッドチーマーによる1年以上のストレステスト、サイバーセキュリティキャプチャーザフラッグコンテストへの参加、およびツールのスキャン機能の精度を改善するためにパシフィック・ノースウェスト・ナショナル・ラボラトリーと協力したことに続くものです。
大規模言語モデルは過去2年間、コード生成とサイバーセキュリティタスクの両方で増加する可能性を示しており、ソフトウェア開発プロセスを加速させるとともに、新しいウェブサイト、アプリ、その他のデジタルツールを作成するために必要な技術的なハードルを低くしています。
「モデルが長年隠されていたバグやセキュリティ問題を見つけるのにいかに効果的になったかを考えると、近い将来、世界のコードの相当な割合がAIによってスキャンされると予想しています」と同社はブログ投稿で述べました。
これらの同じ機能により、悪意のあるアクターは被害者のIT環境をより迅速にスキャンして、悪用できる弱点を見つけることもできます。Anthropicは、「バイブコーディング」がより一般的になるにつれて、自動化された脆弱性スキャンの需要が手動セキュリティレビューの必要性を上回ると考えています。
より多くの人々がAIを使用してソフトウェアとアプリケーションを生成するにつれて、埋め込み脆弱性スキャナーはそれに付随する脆弱性の数を減らす可能性があります。目標は、ソフトウェアセキュリティレビュープロセスの大部分をいくつかのクリックに削減し、ユーザーがデプロイ前にパッチまたは変更を承認することです。
Anthropicは、Claude Code Securityが「人間の研究者のようにあなたのコードを読んで推論する」と主張しており、異なるソフトウェアコンポーネントがどのように相互作用するかの理解を示し、データフローをトレースし、従来の静的分析で見落とされる可能性がある重大なバグをキャッチします。
「すべての検出結果は、アナリストに到達する前に多段階検証プロセスを通過します。Claudeは各結果を再検査し、独自の検出結果を証明または反証しようとし、偽陽性をフィルタリングします」と同社は主張しました。「検出結果には重大度レーティングも割り当てられており、チームは最も重要な修正に最初に焦点を当てることができます。」
脅威研究者はCyberScoopに、サイバーセキュリティ機能は近年明らかに向上しているが、低い影響のバグを見つけるのに最も効果的である傾向があり、一方で経験豊富な人間のオペレーターは多くの組織で引き続きモデルを管理し、より高度な脅威と脆弱性に対処するために必要とされていると述べました。
しかし、Claude OpusおよびXBOWXBOWのようなツールは、数百のソフトウェア脆弱性を発掘する能力を示しており、場合によっては発見とパッチ適用プロセスを人間のチームの下でのものより指数関数的に高速化しています。
Anthropicは述べたところ、Claude Opus 4.6は過去のモデルよりも高度な脆弱性を見つけるのに「著しく優れており」、場合によっては「数十年間検出されなかった」欠陥を識別しています。
関心のあるユーザーはプログラムへのアクセスを申請することができます。Anthropicはサインアップページで、テスターは自社が所有し「スキャンするためのすべての必要な権利を保持している」コードに対してのみClaude Code Securityを使用することに同意する必要があり、第三者が所有またはライセンスしたコードまたはオープンソースプロジェクトには使用しないことを明確にしています。
翻訳元: https://cyberscoop.com/anthropic-claude-code-security-automated-security-review/
