Запуск автоматических обзоров безопасности для Claude Code для Claude привлек к себе широкое внимание экспертов отрасли, которые считают этот шаг как критический шаг к «аи-коренным развитию», так и потенциальному изменению игры для традиционных поставщиков инструментов безопасности.
Функции, которые включают в себя команду на основе терминала /обзор безопасности и автоматизированное сканирование запроса на вытягивание GitHub, представляют, что Абхишек Сисодия, директор по технике инженерии в Scotiabank, называет «большим моментом в сдвиге к развитию AI-коляска».
Обещание безопасности по умолчанию
Для Сизодиа это значение заключается в том, чтобы обеспечить безопасность упреждающей, а не реактивной.
«Запуск чеков безопасности на уровне PR (не только во время тестирования ручки или ежеквартальных аудитов) означает, что уязвимости ловят рано, когда они самые дешевые для исправления», — сказал он новому стеку. «Это огромно как для скорости, так и для качества».
Подход превращает безопасность из отдельного рабочего процесса в часть повседневного кодирования.
«Разработчики не должны быть экспертами по безопасности для доставки защищенного кода», — объяснила Сисодия. «С учетом того, что Клод отмечает такие проблемы, как SQLI, XSS и Auth Flound, и даже предполагая исправления, это становится частью повседневного кодирования».
Гленн Вайнштейн, генеральный директор Cloudsmith, высоко оценил «безопасное мышление» Антропика, называя функции «отличным дополнением к платформам управления артефактами роли, выполняемых при сканировании и помечении зависимостей бинарных пакетов с известными уязвимостями».
Вайнштейн подчеркнул важность раннего обнаружения.
«В идеале вы хотите сделать это как можно раньше в жизненном цикле разработки — задолго до того, как PR слияет и строится CI/CD — так что это важное улучшение для Claude Code прямо в этом сладком месте», — сказал он.
Обращение к рискам развития искусственного интеллекта
Особенности безопасности появляются, когда отраслевые наблюдатели вызывают обеспокоенность по поводу быстрого внедрения инструментов разработки на основе ИИ.
Брэд Шиммин, аналитик The Futurum Group, выделил два ключевых риска: создание программного обеспечения, которое «не было тщательно проверено на требования безопасности, производительности и соответствия» и ускорение «неглубоких запросов на привлечение», где владельцы проектов AI Systems наводнили владельцы проектов «легкомысленные и часто неточные программные запросы».
Более того, Дэвид Миттон, генеральный директор Arcjet, указал на фундаментальную задачу: «ИИ облегчает и быстрее писать код. Там будет больше кода, написанного менее опытными людьми, что означает больше проблем безопасности». Он рассматривает автоматизированные отзывы безопасности как «хорошую проверку безопасности, чтобы предотвратить проблемы безопасности в стиле с низким содержанием вижа».
Mytton отметил, что основные ошибки безопасности, такие как «разоблачение секретов или неправильная защита баз данных», уже являются общими проблемами, которые эти инструменты могут помочь поймать.
Вопрос о парадоксе ИИ
Тем не менее, Mytton поднял провокационный вопрос о подходе.
«Если он рассматривает свой собственный код, сгенерированный AI, то есть что-то странное в самом рецензировании ИИ!» Он написал в обмене электронной почтой с новым стеком. «Почему бы просто не заставить модель избежать проблем безопасности в первую очередь?»
Эксперт по кибербезопасности и основатель уязвимого U, Мэтт Йохансен, в то время как в восторге от развития повторил аналогичные опасения по поводу ограничений.
«Вы просите того же искусственного интеллекта, чтобы обеспечить то, что он только что сгенерировал», — сказал он новому стеку. «Это может принести дополнительный контекст или инструменты, но он по -прежнему ограничен по возможности таким же образом».
Несмотря на эти ограничения, Йохансен сказал, что видит ценность в поставщиках, создающих свои собственные функции безопасности.
«Это отличный сигнал, что сами поставщик осознал, что функции безопасности являются добавлением значения, а не на скорости», — сказал он. «Я оптимистичен в инструментах безопасности ИИ, но для всех нас это хорошо, если поставщики строят свои собственные функции безопасности и не полагаются на поставщиков, чтобы закрыть пробелы».
Последствия для поставщиков безопасности
Запуск вызвал дискуссию о том, что это значит для традиционных компаний, занимающихся инструментами безопасности. Сизодиа предположила, что конкурентный ландшафт меняется.
«Если AI-немолевые платформы, такие как Claude, могут делать то, что делают традиционные инструменты Sast/Dast, но быстрее, дешевле и встроены в Dev Tools, батончик только что поднялся»,-сказал он.
Он предсказал, что установленные поставщики безопасности «должны будут переосмыслить UX, интеграцию разработчиков и то, как они выпускают ценность за пределы только обнаружения».
Тем не менее, Йохансен преуменьшал экзистенциальные угрозы для индустрии безопасности, проведя аналогию: «Это все равно, что сказать, что Microsoft встроила инструменты безопасности, так почему же EDR [Endpoint Detection and Response] Нужно существовать — будут проблемы, которые необходимо решить ».
Вайнштейн усилил эту точку зрения, подчеркнув, что «эффективное предотвращение уязвимостей от попадания в ваши производственные системы требует многослойного подхода», изучая не только исходный код, но и «языковые пакеты, контейнеры, библиотеки ОС и другие бинарные ингредиенты, которые вы привлекали в качестве зависимостей».
Большая картина
Шиммин сказал новому стеку, что он считает, что ход Антропика потенциально каталитичен для более широкой отрасли.
«Эти усилия от антропика, по -видимому, напрямую указывают на эти два вопроса и, безусловно, будут иметь положительный эффект нокдауна для более широких исследований и сообщества ISV», — сказал он, сравнивая ее с тем, как «более ранняя работа Антропа над прозрачностью модели и MCP [Model Context Protocol] повлиял на несколько поддерживающих усилий по всей отрасли ».
Для Sisodia функции представляют собой нечто большее, чем просто обновление продукта.
«Это не просто снижение функции. Это признак того, что безопасность программного обеспечения AI-PRIRST становится реальной»,-сказал он. «Мы идем к миру, где безопасность по умолчанию не желает, это именно то, что происходит, когда вы кодируете с правильным агентом на вашей стороне».
Многослойная безопасность остается ключом
В то время как эксперты с оптимизмом смотрят на инструменты безопасности с AI, они подчеркивают, что ни одно решение не решает все проблемы безопасности. Философия многослойного подхода Вайнштейна отражает более широкий консенсус отрасли, что безопасность требует глубокой защиты.
Вопрос вперед не заключается не в том, будет ли ИИ сыграть роль в безопасности программного обеспечения — который, по -видимому, урегулирован — скорее то, как будут адаптироваться традиционные поставщики безопасности и какие новые проблемы появятся, когда ИИ изменит ландшафт развития.
Как отметил Йохансен, «будь то в безопасности, как это или нет, разработчики будут использовать эти инструменты искусственного интеллекта». Задача сейчас заключается в обеспечении того, чтобы эти инструменты поставлялись с соответствующими встроенными гарантиями, а не впоследствии.
Реакция отрасли на функции безопасности Anpropic предполагает, что по мере того, как AI ускоряет разработку программного обеспечения, инструменты безопасности должны развиваться, чтобы идти в ногу.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэррил К. Тафт охватывает DevOps, инструменты разработки программного обеспечения и проблемы, связанные с разработчиком из своего офиса в районе Балтимора. Он имеет более чем 25 -летний опыт работы в бизнесе и всегда ищет следующий совок. Он работал … читайте больше от Дэррила К. Тафта
