Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- A verificação de vulnerabilidades de IA está migrando para os fluxos de trabalho dos desenvolvedores.
- Claude Safety transforma descobertas em orientações de correção priorizadas.
- O grande desafio é manter essas ferramentas longe dos invasores.
A Anthropic anunciou o Claude Safety, um novo produto de segurança cibernética defensiva. No momento, ele está disponível em versão beta pública para usuários do nível Enterprise do Claude, com disponibilidade “em breve” para usuários do Claude Crew e do nível Max.
Além disso: Apple, Google e Microsoft unem-se ao Projeto Glasswing da Anthropic para defender o software program mais crítico do mundo
Claude Safety é outra ferramenta na caixa de ferramentas de defesa cibernética da Anthropic. Ele oferece às equipes de segurança uma maneira de “verificar bases de código em busca de vulnerabilidades e gerar patches direcionados” usando o modelo Claude Opus 4.7.
No início do mês, a Anthropic estreou o Projeto Glasswing, um projeto AI Manhattan que visa encontrar vulnerabilidades na infraestrutura mundial de software program de código aberto.
Glasswing usa um modelo antrópico chamado Mythos, um modelo considerado tão perigoso que não está sendo divulgado ao público. Ele está sendo compartilhado com os participantes da Glasswing, incluindo concorrentes antigos como Amazon Net Providers, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Basis, Microsoft, Nvidia e Palo Alto Networks.
Verificação de vulnerabilidades
No centro do Projeto Glasswing e da Claude Safety está a verificação de vulnerabilidades. A maioria dos ataques cibernéticos começa com um ator inimigo explorando uma vulnerabilidade. Portanto, se os defensores conseguirem encontrar e corrigir as vulnerabilidades, o perpetrador mal-intencionado terá uma superfície de ataque menor.
Lembrar Guerra nas Estrelas? Toda a trama de Uma Nova Esperança gira em torno dos planos da Estrela da Morte que a Princesa Leia armazena em R2-D2. Assim que os rebeldes obtiverem esses planos, eles serão capazes de encontrar uma vulnerabilidade. Tudo o que Luke e os outros pilotos precisam fazer é disparar um torpedo por uma porta de exaustão da Estrela da Morte e… bum!
Isso, meninos e meninas, é uma vulnerabilidade. A Estrela da Morte tinha uma falha deadly. Sua base de código provavelmente tem mais. A nova ferramenta Claude Safety da Anthropic quer encontrá-los antes que os invasores cheguem lá primeiro.
De volta ao mundo actual, tudo funciona com software program, que é inerentemente vulnerável. As vulnerabilidades não apenas abrem portas para serem exploradas por adversários, mas também podem causar danos simplesmente por existirem e causarem bugs experimentados pelos usuários do software program.
Além disso: juntei duas ferramentas de IA para resolver um bug importante – mas elas não conseguiriam fazer isso sem mim
Usei IA pela primeira vez para fazer varredura de vulnerabilidades em setembro com o Codex da OpenAI. Na época, ele falhou porque não conseguia lidar com o contexto de todo o projeto. Mas quando juntei a ferramenta de programação de pares de IA com a Deep Analysis do ChatGPT, que period melhor com muitos dados, os dois encontraram uma série de vulnerabilidades críticas em meu software program de segurança, que corrigi imediatamente.
Desde então, tanto o Codex quanto o Claude Code melhoraram em termos de quanto código podem processar em um contexto, mas nenhum deles é capaz de lidar com uma grande base de código inteira de uma só vez.
Mythos pode, no entanto. Ele pode até mesmo lidar com os relacionamentos entre bases de código em escala macro. Mas não está disponível ao público, mesmo por meio de taxas de nível empresarial. Mês passado, OpenAI introduziu Codex Securityque também oferece uma análise de contexto de escopo mais amplo. E agora a Claude Safety pode fazer verificações semelhantes em grande escala.
Este novo produto é capaz de verificar um repositório completo ou um diretório de destino. De acordo com a Anthropic, “Claude raciocina sobre o código da mesma forma que um pesquisador de segurança, rastreando fluxos de dados, lendo o código-fonte e descobrindo como os componentes interagem entre arquivos e módulos”.
Há mais sobre Claude Safety, mas primeiro vamos falar sobre a grande vulnerabilidade introduzida pelas IAs de varredura de vulnerabilidades.
Armas de destruição digital
Os scanners de vulnerabilidade ajudam os defensores na defesa. Mas também ajudam os invasores a descobrir onde atacar. Esse foi o ponto principal do ataque dos rebeldes à Estrela da Morte. Assim que soubessem de uma vulnerabilidade, eles poderiam explorá-la.
Por exemplo, ambos Microsoft e OpenAI relataram que atores afiliados ao Estado da China, do Irã, da Rússia e da Coreia do Norte usaram grandes modelos de linguagem para pesquisar diversas empresas e ferramentas de segurança cibernética, depurar códigos, gerar scripts e criar conteúdo passível de uso em campanhas de phishing e spear-phishing.
Também: A IA está ficando assustadoramente boa em encontrar bugs de software program ocultos – mesmo em códigos com décadas de idade
A Anthropic está tentando evitar que seus modelos sejam usados de forma semelhante. A partir do lançamento do Opus 4.7, a empresa inclui novas salvaguardas cibernéticas que detectam e bloqueiam automaticamente solicitações sugestivas de usos proibidos ou de alto risco de segurança cibernética.
Por exemplo, o Opus 4.7 agora bloqueia “atividades que são quase sempre usadas de forma maliciosa e têm pouca ou nenhuma aplicação defensiva legítima, como exfiltração em massa de dados ou desenvolvimento de código ransomware”.
Por outro lado, e as atividades que têm aplicações defensivas legítimas, como a exploração de vulnerabilidades ou o desenvolvimento de ferramentas de segurança ofensivas? O Opus 4.7 também bloqueia essas atividades, mas os pesquisadores de segurança cibernética aprovados para ingressar Programa de verificação cibernética da Anthropic obter acesso aos recursos de IA nesta zona cinzenta restrita.
Também: Esta nova ferramenta Claude Code Overview usa agentes de IA para verificar se há bugs em suas solicitações pull – veja como
Efetivamente, aqueles que conseguem obter uma autorização de segurança da Anthropic podem usar o Opus 4.7 para realizar atividades de segurança bloqueadas durante o desempenho de seu trabalho. Divulgação: sou um membro autorizado do Programa de Verificação Cibernética da Anthropic, portanto tenho acesso a esses recursos como parte do meu trabalho de guerra cibernética, defesa cibernética e contraterrorismo.
Tornando as vulnerabilidades acionáveis
O problema com a verificação de vulnerabilidades é que ela pode se tornar uma fonte de ruído. Tudo pode ser sinalizado e você pode passar horas ou dias perseguindo um bug que tenha poucas consequências, em vez de reparar uma vulnerabilidade que pode causar um evento de nível de extinção.
Claude Safety está introduzindo um “pipeline de validação em vários estágios que verifica independentemente cada descoberta antes de chegar ao analista, e cada resultado recebe uma classificação de confiança”.
A IA é capaz de explicar cada “descoberta” em detalhes, incluindo fatores como confiança, gravidade, impacto provável, etapas de reprodução e correção recomendada. Isso pode ser extremamente útil, porque os desenvolvedores podem então priorizar o trabalho primeiro naqueles problemas de alta confiança, grande impacto e gravemente problemáticos, sem ter que perder tempo com questões menores.
Também: Por que a IA é uma maldição e uma bênção para o software program de código aberto – de acordo com os desenvolvedores
A partir dessas descobertas, Claude Safety dá aos defensores a capacidade de abrir o código no Claude Code, no contexto, para que possam ver e modificar as áreas que precisam de trabalho diretamente a partir dos resultados da descoberta.
A Anthropic também adicionou uma série de otimizações de fluxo de trabalho. Ele diz: “Adicionamos verificações agendadas para cobertura contínua, a capacidade de descartar descobertas com motivos documentados (para que futuros revisores possam confiar em decisões de triagem anteriores) e exportação de CSV e Markdown para integrar descobertas em sistemas existentes de rastreamento e auditoria”.
Fique seguro lá fora
Os assinantes da Claude Safety podem trabalhar com parceiros de tecnologia e segurança. A Anthropic apontou especificamente parceiros tecnológicos, incluindo CrowdStrike, Palo Alto Networks, SentinelOne, Development.ai e Wiz, que estão integrando o Opus 4.7 em suas plataformas de segurança cibernética.
Além disso: Google aposta US$ 32 bilhões na força cibernética de agentes de IA à medida que a corrida armamentista de segurança aumenta
A empresa também está a trabalhar com parceiros de segurança, incluindo Accenture, BCG, Deloitte, Infosys e PwC, que estão a implementar o Claude Safety para ajudar as empresas a reforçar a sua postura de segurança.
Você considera a verificação de vulnerabilidades de IA mais útil para encontrar falhas perigosas ou para ajudar os desenvolvedores a priorizar as correções com mais rapidez? Deixe-nos saber nos comentários abaixo.
Você pode acompanhar as atualizações diárias do meu projeto nas redes sociais. Certifique-se de se inscrever meu boletim informativo semanal de atualizaçãoe siga-me no Twitter/X em @DavidGewirtzno Fb em Facebook.com/DavidGewirtzno Instagram em Instagram.com/DavidGewirtzno Bluesky em @DavidGewirtz.come no YouTube em YouTube.com/DavidGewirtzTV.
