Claude Code Security lanseras nu i en begränsad forskningsförhandsvisning på webben. Tjänsten ska skanna kodbaser efter säkerhetsbrister och föreslå säkerhetspatchar för granskning, utan att något införs automatiskt. Samtidigt vill leverantören flytta mer kraft till försvarare, eftersom AI också kan utnyttjas av angripare.
Nytt verktyg för en växande sårbarhetsbacklogg
Säkerhetsteam brottas ofta med fler rapporterade brister än de hinner åtgärda. Dessutom räcker traditionella metoder inte alltid när problemen är subtila och beror på sammanhang. Därför positioneras Claude Code Security som ett stöd som kan hitta sådant som annars kräver tidskrävande manuellt arbete.
Tjänsten blir tillgänglig i en begränsad preview för Enterprise och Team-kunder. Vidare utlovas snabbare tillgång för underhållare av öppen källkod, enligt informationen i lanseringen.
Så fungerar Claude Code Security i praktiken
Många organisationer använder redan statisk analys, som ofta bygger på regler och kända mönster. Dock kan sådana verktyg missa mer komplexa brister, som logiska fel eller bristande behörighetskontroller. I kontrast försöker Claude Code Security resonera om koden på ett sätt som liknar en mänsklig granskare.
Från mönsterigenkänning till resonemang
Verktyget ska analysera hur komponenter hänger ihop och hur data rör sig i applikationen. Dessutom fokuserar det på sårbarheter som inte alltid syns i enkla signaturer. Som ett resultat kan det i teorin fånga fel som varit svåra att upptäcka med rent regelstyrd statisk kodanalys.
Flera kontrollsteg innan en varning når teamet
Varje träff går igenom en intern process där resultatet granskas igen. Följaktligen försöker systemet bekräfta eller motbevisa sina egna fynd för att minska falska positiva. Samtidigt tilldelas fynd en allvarlighetsgrad, så att team kan prioritera rätt.
I ett gränssnitt ska analyserade fynd presenteras med förslag på åtgärder. Vidare anges ett konfidensbetyg för varje fynd, eftersom bedömningar ofta kräver kontext. Det centrala kravet är dock tydligt, mänskligt godkännande ska alltid krävas innan patchar används.
Bakgrunden: AI kan hjälpa försvarare, men också angripare
AI används allt oftare i cybersäkerhet, både defensivt och offensivt. Emellertid pekar lanseringen på en risk, samma teknik som hittar brister kan också hjälpa till att exploatera dem. Därför framhålls att Claude Code Security ska vara ett defensivt verktyg, med mänsklig kontroll som spärr.
Lanseringen kopplas även till tidigare arbete med att testa AI i säkerhetssammanhang. Dessutom nämns att modellen kan identifiera allvarliga och tidigare okända sårbarheter i vissa miljöer. Å andra sidan betonar upplägget att inget ska åtgärdas automatiskt, utan att förslag ska granskas av utvecklare och säkerhetsteam.
Vem kan få tillgång och vad händer nu?
Previewn öppnas nu för utvalda kunder, samtidigt som leverantören vill samla erfarenheter och förbättra träffsäkerheten. Vidare uppmuntras underhållare av öppna kodbaser att ansöka om snabbare tillgång. Trots detta återstår frågor om hur väl verktyget fungerar i olika typer av kod, och hur mycket tid det faktiskt sparar i vardagen.
