Anthropic近期发布了其全新的防御性网络安全产品——Claude Security。目前,该工具已向企业级(Enterprise-tier)Claude用户开放公开测试,并计划很快面向Claude团队(Team)和Max-tier用户推出。
Claude Security是Anthropic网络防御工具箱中的重要一员。它允许安全团队利用Claude Opus 4.7模型“扫描代码库以查找漏洞并生成有针对性的补丁”。该产品的发布,进一步强化了Anthropic在AI驱动安全领域的布局。
在此之前,Anthropic还推出了“玻璃之翼项目”(Project Glasswing),一个被誉为“AI曼哈顿计划”的倡议,旨在发现全球开源软件基础设施中的漏洞。Glasswing项目采用Anthropic内部开发的“Mythos”模型,该模型因其潜在的“危险性”而未向公众发布,但已与Glasswing项目的参与者共享。这些参与者包括亚马逊网络服务(AWS)、Anthropic、苹果、博通(Broadcom)、思科(Cisco)、CrowdStrike、谷歌、摩根大通(JPMorgan Chase)、Linux基金会、微软、英伟达(Nvidia)和Palo Alto Networks等行业巨头,甚至包括了一些昔日的竞争对手。
无论是Project Glasswing还是Claude Security,其核心都围绕着“漏洞扫描”这一关键环节。大多数网络攻击都始于攻击者利用已知的软件漏洞。因此,如果防御者能够及时发现并修补这些漏洞,恶意攻击者的攻击面就会大大缩小。
为了更好地理解漏洞的含义,我们可以借鉴科幻电影《星球大战》中的一个经典例子:《新希望》的整个情节都围绕着莱娅公主存储在R2-D2中的死星设计图展开。一旦反抗军获得这些设计图,他们就能找到一个致命的弱点:只需向死星的一个排气口发射一枚鱼雷,就能将其摧毁。这就是一个典型的漏洞——一个足以导致灾难性后果的致命缺陷。现实世界中的代码库往往包含更多这样的“排气口”,而Anthropic的Claude Security工具正旨在抢在攻击者之前发现它们。
在真实的软件开发世界中,一切都运行在软件之上,而软件本身就具有固有的脆弱性。漏洞不仅为攻击者提供了可乘之机,即使不被恶意利用,它们的存在也可能导致软件用户遇到各种错误和故障。
在行业探索方面,利用AI进行漏洞扫描的尝试由来已久。早期的实践,例如将OpenAI的Codex与ChatGPT的深度研究能力结合,能够在一个项目级的上下文环境中识别出多处关键漏洞。虽然最初AI工具在处理大规模项目上下文时可能面临挑战,但随着技术的进步,如Codex和Claude Code等模型在处理代码量和上下文理解方面均已显著提升。