Anthropic автоматизирует проверку безопасности ПО с помощью Claude Code

По мере усложнения кода и перехода инженеров-программистов на «вайб-кодинг» (vibe-coding), использующий в процессе разработки искусствнный интеллект и большие языковые модели, количество проблем безопасности в создаваемом коде растёт. Согласно отчёту компании Verizon о расследовании утечек данных за 2025 год, число злоумышленников, использующих уязвимости для получения первоначального доступа, увеличилось по сравнению с прошлым годом на 34%.
Разработчики всё чаще используют ИИ для ускорения рабочих процессов и создания более сложных систем, что приводит к резкому увеличению объёма генерации кода. Анализ безопасности играет ключевую роль в этом процессе; он включает в себя тщательное изучение кода, позволяющее убедиться в его корректной работе с помощью модульных тестов. Также анализ позволяет удостовериться в отсутствии эксплойтов или известных уязвимостей, которыми потенциально могут воспользоваться злоумышленники.
Claude Code — это инструмент командной строки, работающий в терминале на основе моделей искусственного интеллекта. Он позволяет разработчикам автоматизировать задачи кодирования и взаимодействовать с кодовыми базами на естественном языке. С помощью GitHub Actions разработчики теперь могут легко попросить Claude выявить и исправить проблемы безопасности.
После написания кода разработчик может ввести команду «/security-review», и Claude Code выполнит поиск потенциальных уязвимостей в кодовой базе и предоставит подробное описание обнаруженных проблем.
«Эта команда использует специализированный запрос, который проверяет наличие распространенных шаблонов уязвимостей», — заявили в компании.
Claude Code может обнаружить такие потенциальные уязвимости, как SQL-инъекции, межсайтовые скриптовые атаки, уязвимости аутентификации и авторизации, небезопасную обработку данных и уязвимости зависимостей. Разработчик также может попросить Claude Code исправить каждую обнаруженную проблему. По словам Anthropic, это позволяет проводить проверки безопасности в рамках внутреннего цикла разработки, выявляя проблемы на ранних этапах, когда их проще исправить.
Более того, при переносе кода из стадии разработки в стадию тестирования, Claude Code может запускаться автоматически. Модель искусственного интеллекта сканирует код, отфильтровывает ложные срабатывания и публикует комментарии в тикетах о любых обнаруженных проблемах безопасности, включая рекомендации и способы их устранения. Таким образом, команда разработчиков может проанализировать потенциальные проблемы и рекомендации, а затем принять меры. Согласно Anthropic, это гарантирует, что ни один код не попадет в продакшн без проведения, по крайней мере, автоматической проверки безопасности.
Систему также можно настроить в соответствии с политиками безопасности и передовыми практиками команды. Эта настройка позволяет компании корректировать уровень конфиденциальности, поведение и взаимодействие с разработчиками в ходе интеграции рабочих процессов.



