Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- La scansione delle vulnerabilità dell’intelligenza artificiale si sta spostando nei flussi di lavoro degli sviluppatori.
- Claude Safety trasforma i risultati in indicazioni di correzione prioritarie.
- La grande sfida è impedire che questi strumenti siano accessibili agli aggressori.
Anthropic ha annunciato Claude Safety, un nuovo prodotto difensivo per la sicurezza informatica. Al momento, è disponibile in versione beta pubblica per gli utenti Claude di livello Enterprise, con la disponibilità “in arrivo” per gli utenti di Claude Workforce e Max-tier.
Inoltre: Apple, Google e Microsoft si uniscono al progetto Glasswing di Anthropic per difendere il software program più critico del mondo
Claude Safety è un altro strumento nella cassetta degli attrezzi di difesa informatica di Anthropic. Fornisce ai crew di sicurezza un modo per “scansionare le basi di codice per individuare le vulnerabilità e generare patch mirate” utilizzando il modello Claude Opus 4.7.
All’inizio del mese, Anthropic ha lanciato Mission Glasswing, un progetto AI Manhattan volto a trovare vulnerabilità nell’infrastruttura mondiale del software program open supply.
Glasswing utilizza un modello antropico chiamato Mythos, un modello ritenuto così pericoloso da non essere rilasciato al pubblico. Viene condiviso con i partecipanti a Glasswing, inclusi ex concorrenti come Amazon Internet Providers, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Basis, Microsoft, Nvidia e Palo Alto Networks.
Scansione delle vulnerabilità
Al centro di Mission Glasswing e Claude Safety c’è la scansione delle vulnerabilità. La maggior parte degli attacchi informatici iniziano con un attore nemico che sfrutta una vulnerabilità. Pertanto, se i difensori riescono a individuare e correggere le vulnerabilità, l’autore malintenzionato avrà una superficie di attacco più ridotta.
Ricordare Guerre stellari? L’intera trama di Una nuova speranza ruota attorno ai piani della Morte Nera che la Principessa Leia memorizza in R2-D2. Una volta che i ribelli ottengono questi piani, sono in grado di trovare una vulnerabilità. Tutto ciò che Luke e gli altri piloti devono fare è lanciare un siluro lungo un condotto di scarico della Morte Nera e… increase!
Questa, ragazzi e ragazze, è una vulnerabilità. La Morte Nera aveva un difetto fatale. La tua codebase probabilmente ne ha di più. Il nuovo strumento Claude Safety di Anthropic vuole trovarli prima che arrivino gli aggressori.
Nel mondo reale, tutto funziona tramite software program, che è intrinsecamente vulnerabile. Non solo le vulnerabilità aprono porte da sfruttare agli avversari, ma potrebbero anche causare danni semplicemente esistendo e causando bug riscontrati dagli utenti del software program.
Inoltre: ho unito due strumenti di intelligenza artificiale per risolvere un grosso bug, ma non avrebbero potuto farlo senza di me
Ho utilizzato per la prima volta l’intelligenza artificiale per eseguire la scansione delle vulnerabilità a settembre con il Codex di OpenAI. All’epoca fallì perché non period in grado di gestire un contesto a livello di progetto. Ma quando ho unito lo strumento di programmazione della coppia AI con la Deep Analysis di ChatGPT, che period migliore con molti dati, i due hanno trovato una serie di vulnerabilità critiche nel mio software program di sicurezza, che ho immediatamente risolto.
Da allora, sia Codex che Claude Code sono migliorati in termini di quantità di codice che possono elaborare in un contesto, ma nessuno dei due è in grado di gestire un’intera base di codice di grandi dimensioni contemporaneamente.
I miti possono, tuttavia. Può anche gestire le relazioni tra basi di codice su scala macro. Ma non è disponibile al pubblico, nemmeno tramite tariffe di livello Enterprise. Il mese scorso, OpenAI ha introdotto il Codex Securityche offre anche un’analisi del contesto di più ampio respiro. E ora Claude Safety può eseguire scansioni simili su larga scala.
Questo nuovo prodotto è in grado di scansionare un repository completo o una listing mirata. Secondo Anthropic, “Claude ragiona sul codice come fa un ricercatore di sicurezza, tracciando i flussi di dati, leggendo il codice sorgente e scoprendo come i componenti interagiscono tra file e moduli”.
C’è di più in Claude Safety, ma prima parliamo della grande vulnerabilità introdotta dalle IA di scansione delle vulnerabilità.
Armi di distruzione digitale
Gli scanner delle vulnerabilità aiutano i difensori a difendersi. Ma aiutano anche gli aggressori a trovare dove attaccare. Questo period il punto centrale dell’attacco dei ribelli alla Morte Nera. Una volta venuti a conoscenza di una vulnerabilità, potevano sfruttarla.
Advert esempio, entrambi Microsoft E OpenAI hanno riferito che attori affiliati allo stato provenienti da Cina, Iran, Russia e Corea del Nord hanno utilizzato ampi modelli linguistici per ricercare varie aziende e strumenti di sicurezza informatica, eseguire il debug di codici, generare script e creare contenuti che potrebbero essere utilizzati in campagne di phishing e spear-phishing.
Anche: L’intelligenza artificiale sta diventando spaventosamente brava nel trovare bug software program nascosti, anche in codici vecchi di decenni
Anthropic sta cercando di impedire che i suoi modelli vengano utilizzati in modi simili. A partire dal lancio di Opus 4.7, l’azienda embrace nuove misure di sicurezza informatica che rilevano e bloccano automaticamente le richieste che suggeriscono usi vietati o advert alto rischio di sicurezza informatica.
Advert esempio, Opus 4.7 ora blocca “Attività che vengono quasi sempre utilizzate in modo dannoso e che hanno poche o nessuna applicazione difensiva legittima come l’esfiltrazione di massa di dati o lo sviluppo di codice ransomware”.
D’altro canto, che dire delle attività che hanno applicazioni difensive legittime, come lo sfruttamento delle vulnerabilità o lo sviluppo di strumenti di sicurezza offensivi? Anche l’Opus 4.7 blocca queste attività, ma i ricercatori di sicurezza informatica autorizzati a partecipare Programma di verifica informatica di Anthropic ottenere l’accesso alle funzionalità dell’intelligenza artificiale in questa zona grigia limitata.
Anche: Questo nuovo strumento Claude Code Assessment utilizza agenti AI per verificare la presenza di bug nelle tue richieste pull: ecco come
In effetti, coloro che sono in grado di ottenere un nulla osta di sicurezza da Anthropic possono utilizzare Opus 4.7 per eseguire attività di sicurezza bloccate nel corso dello svolgimento del proprio lavoro. Divulgazione: sono un membro autorizzato del programma di verifica informatica di Anthropic, quindi ho accesso a queste funzionalità come parte del mio lavoro di guerra informatica, difesa informatica e antiterrorismo.
Rendere le vulnerabilità fruibili
Il problema con la scansione delle vulnerabilità è che può diventare una manichetta antincendio. Ogni piccola cosa può essere segnalata e puoi passare ore o giorni a inseguire un bug che ha conseguenze piuttosto limitate invece di riparare una vulnerabilità che può causare un evento a livello di estinzione.
Claude Safety sta introducendo una “pipeline di convalida in più fasi che verifica in modo indipendente ogni risultato prima che raggiunga un analista e ogni risultato ottiene una valutazione di affidabilità”.
L’intelligenza artificiale è in grado di spiegare ogni “risultato” in dettaglio, inclusi fattori come confidenza, gravità, probabile impatto, passaggi di riproduzione e soluzione consigliata. Ciò può essere estremamente utile, perché gli sviluppatori possono quindi dare priorità al lavoro su problemi advert alta sicurezza, di grande impatto e gravemente preoccupanti, senza dover perdere tempo su questioni minori.
Anche: Perché l’intelligenza artificiale è sia una maledizione che una benedizione per il software program open supply, secondo gli sviluppatori
In base a questi risultati, Claude Safety offre ai difensori la possibilità di aprire il codice in Claude Code, nel contesto, in modo da poter vedere e modificare le aree che necessitano di intervento direttamente dai risultati della ricerca.
Anthropic ha anche aggiunto una serie di ottimizzazioni del flusso di lavoro. Cube: “Abbiamo aggiunto scansioni pianificate per la copertura continua, la possibilità di respingere i risultati con ragioni documentate (in modo che i futuri revisori possano fidarsi delle decisioni di triage precedenti) e l’esportazione CSV e Markdown per integrare i risultati nei sistemi di monitoraggio e controllo esistenti”.
Stai al sicuro là fuori
Gli abbonati a Claude Safety possono collaborare con associate tecnologici e di sicurezza. Anthropic ha specificamente indicato associate tecnologici tra cui CrowdStrike, Palo Alto Networks, SentinelOne, Development.ai e Wiz, che stanno integrando Opus 4.7 nelle loro piattaforme di sicurezza informatica.
Inoltre: Google scommette 32 miliardi di dollari sulla forza informatica degli agenti IA mentre la corsa agli armamenti per la sicurezza si intensifica
L’azienda sta inoltre collaborando con associate di sicurezza tra cui Accenture, BCG, Deloitte, Infosys e PwC, che stanno implementando Claude Safety per aiutare le aziende a rafforzare la propria strategia di sicurezza.
Ritieni che la scansione delle vulnerabilità tramite intelligenza artificiale sia più utile per individuare difetti pericolosi o per aiutare gli sviluppatori a dare priorità alle correzioni più rapidamente? Fatecelo sapere nei commenti qui sotto.
Puoi seguire gli aggiornamenti quotidiani sui miei progetti sui social media. Assicurati di iscriverti a la mia newsletter di aggiornamento settimanalee seguimi su Twitter/X all’indirizzo @DavidGewirtzsu Fb all’indirizzo Facebook.com/DavidGewirtzsu Instagram all’indirizzo Instagram.com/DavidGewirtzsu Bluesky a @DavidGewirtz.come su YouTube all’indirizzo YouTube.com/DavidGewirtzTV.
