人工知能企業Anthropicは、AIプログラミングアシスタントがソースコードをスキャンし、セキュリティ脆弱性を修正するためのパッチを提案できるClaude Code Securityという新機能を発表しました。
このツールは、Claude CodeのWebバージョンに直接統合されており、開発チームが従来の方法で見過ごされる可能性のあるリスクを検出するのを支援することを目的としています。
Anthropicからの発表によると、Claude Code Securityは、現在の多くの静的分析ツールと同様に、既知のエラーパターンを検出するだけでなく、セキュリティ専門家が実行する方法と同様に、コード構造を読み取り、推論します。
システムは、アプリケーション内のデータストリームを追跡し、コンポーネントが互いにどのように相互作用するかを分析して、既存のルールによる識別が困難な脆弱性を含む、複雑な脆弱性を検出します。
新しい機能は現在、クロードエンタープライズとチームの一部の有料顧客に限定的に展開されており、オープンソースリポジトリのオペレーターは早期に優先的にアクセスできます。
発売は、ウェブサイトやアプリケーションを作成するためにAIツールを専門に使用しない人がますます増えている状況で行われましたが、AIによって生成されたコードをチェックするためのセキュリティ知識が不足しています。
Tenzai(技術研究開発を専門とする企業)の最近の報告書によると、OpenAI、Anthropic、Curser、Replit、Devinなどのツールを使用して構築されたウェブサイトは、機密データをリークしたり、注意深くチェックしないと誤ってハッカーに送金したりするために悪用される可能性があります。
Anthropicは、AIがパッチを提案できるとしても、最終決定は依然として人間に委ねられていると強調しています。Claude Code Securityは、偽陽性結果のフィルタリングや、統一されたダッシュボードに表示する前に検出を再評価するなど、多段階の検証プロセスに従って動作します。
脆弱性は、評価を行う際にシステムの深刻度と信頼性によってランク付けされます。
特筆すべきは、今月初め、製品ディレクターのマイク・クリーガー(Anthropicの製品エンジニアリング、製品管理、設計活動を担当)が、同社のAIプログラミングツールが製品ソースコードのほぼ全体を作成するために内部で使用されていることを明らかにしました。
「クロードはクロード自身によって書かれた」とマイク・クリーガー氏は述べ、開発プロセスにおける高度な自動化レベルを強調しました。
試験について、Anthropicは、Claude Code Securityは競合するCapture-the-Flagイベントを通じてテストされており、AIによる重要なインフラストラクチャの保護能力を評価するために、北西太平洋国立研究所(米国エネルギー省)と協力していると述べています。
同社によると、研究チームは、クロード・オパス4.6モデルのおかげで、オープンソースプロジェクトで以前に公開されたことのない500以上の脆弱性を発見しました。
現在、Anthropicはコミュニティと協力して、責任ある方法で情報を公開し、オープンソフトウェアエコシステムにおけるセキュリティ努力を拡大し続けています。
