ИИ переосмысливает безопасность кода: рост, сопротивление и гонка агентов
Искусственный интеллект переосмысливает безопасность кода, не только находя уязвимости, а понимая логику их возникновения и предлагая исправления — но это создаёт парадокс: чем умнее ИИ, тем больше он угрожает самому себе, если станет инструментом в руках злоумышленников. Этот сдвиг уже меняет баланс в кибербезопасности, заставляя топовые компании, от Google до Anthropic, разрабатывать агентов, которые могут предотвратить уязвимости до их появления, но всё ещё зависят от человеческого контроля.
По данным The Register, компания Anthropic представила новую функцию Claude Code Security, предназначенную для анализа кодовых баз и выявления уязвимостей с последующим предложением способов их устранения. Эта разработка стала центром внимания сообщества информационной безопасности. В настоящее время инструмент доступен в ограниченной исследовательской предварительной версии для корпоративных и командных клиентов. Открытые источники могут подать заявку на бесплатный и ускоренный доступ.
Анонс вызвал значительную реакцию на рынке. Некоторые акции в области кибербезопасности упали в цене. В частности, акции компании CrowdStrike снизились почти на 8%. Глава этой компании, Джордж Куртц, вступил в диалог с ИИ Claude, спросив, может ли новая функция заменить существующие решения. Claude ответил отрицательно.
Примеры внедрения ИИ в сфере безопасности
Аналогичные подходы уже применяются другими крупными технологическими компаниями. Amazon использует ИИ-агентов для поиска уязвимостей и предложения решений внутри корпоративных систем. Microsoft разработала собственную систему агентов, которая включает в себя приоритизацию устранения уязвимостей, автоматическое выявление затронутых устройств и инициацию исправлений.
В ноябре 2024 года Google заявила, что её инструмент Big Sleep стал первым ИИ, способным обнаружить уязвимость в памяти и устранить её до официального релиза кода. Недавно компания выпустила агента под названием CodeMender, который автоматически создаёт исправления, определяет корневую причину уязвимости и проверяет предложенные решения.
В октябре 2025 года OpenAI начала закрытое тестирование Aardvark, системы безопасности, построенной на GPT-5, которая предназначена для помощи разработчикам и командам безопасности в выявлении и устранении уязвимостей в масштабе.
Все эти инструменты, включая Claude Code Security, требуют подтверждения исправления от человека. Anthropic подчеркнула, что ни одно решение не применяется без одобрения разработчика. Система Claude Code Security учитывает контекст, а не только выполняет статический анализ кода. Она способна понимать взаимодействие компонентов, отслеживать передачу данных и находить сложные уязвимости, которые пропускают правила-ориентированные инструменты.
Перспективы и оценки экспертов
Разработчики и специалисты в области безопасности оценивают такие инструменты как полезные дополнения к существующим практикам. Как отметил Гленн Вайнштейн, глава компании Cloudsmith, любой инструмент, способствующий написанию более качественного и безопасного кода, является положительным шагом. Он подчеркнул, что Claude Code Security — лишь одна из многих защитных мер в широком спектре решений.
Исаак Эванс, руководитель компании Semgrep, выразил уверенность в потенциале ИИ в обеспечении безопасности. Он подчеркнул, что LLMs (модели на основе больших языковых моделей) демонстрируют хорошие результаты в выявлении уязвимостей. Однако, по его мнению, реальная проверка таких агентов будет происходить при масштабном внедрении.
Эксперты отмечают, что ИИ способен не только находить уязвимости, но и создавать новые векторы атак, поэтому важно, чтобы такие инструменты дополняли, а не заменяли человеческий фактор в обеспечении безопасности.
Рост интереса к ИИ в сфере обеспечения безопасности кода: за кадром
Роль человека в эпоху автоматизации
Новость о запуске Claude Code Security и аналогичных продуктов от Google, Microsoft и OpenAI демонстрирует, что ИИ всё глубже внедряется в процессы обеспечения безопасности кода. Однако ключевой момент заключается в том, что эти инструменты не заменяют разработчиков, а меняют характер их работы. Вместо рутинного поиска уязвимостей специалисты теперь сосредотачиваются на критическом анализе предложений ИИ. Это требует новых навыков, включая понимание логики работы алгоритмов и способность интерпретировать их выводы.
Реакция рынка на анонс Claude Code Security подтверждает значимость этой тенденции: акции компании CrowdStrike снизились почти на 8%. Ответ ИИ Claude на вопрос Джорджа Куртца, может ли его функция заменить существующие решения, был отрицательным. Это указывает на то, что рынок осознаёт, что автоматизация не устраняет необходимость человеческого контроля, а скорее меняет баланс между машинным предложением и человеческим решением.
Конкуренция и стратегии крупных игроков
Рост доли Anthropic на корпоративном рынке, подтверждённый стратегическими партнёрствами с Deloitte, Cognizant и Snowflake, демонстрирует, как компании начинают активно использовать ИИ-ассистенты для решения задач безопасности. Это создаёт давление на традиционных игроков, таких как CrowdStrike, которые теперь конкурируют не только с другими ИИ-инструментами, но и с экосистемами, включающими в себя как модели, так и интеграции в бизнес-процессы.
Кроме того, Anthropic делает модель Sonnet 4.6 стандартной для повседневных задач, снижая стоимость использования и увеличивая доступность. Это позволяет компании удерживать позиции на рынке, где растёт конкуренция и ужесточаются требования к эффективности. В то же время, OpenAI усиливает команду консультантов, что указывает на стремление к более глубокой интеграции ИИ в бизнес-процессы клиентов.
Риски и вызовы внедрения
Несмотря на прогресс, внедрение ИИ в безопасность кода не лишено рисков. Исследования показывают, что даже продвинутые модели, такие как Claude, остаются уязвимыми к нестандартным форматам ввода. Например, стихотворные запросы обходят защитные функции в 65% случаев, что особенно критично для моделей, связанных с вредоносным манипулированием [!]. Это требует пересмотра систем фильтрации и контроля, а также повышения уровня безопасности на уровне входных данных.
Важный нюанс: Рост автоматизации кибератак, ускоренный применением ИИ, демонстрирует, что те же технологии, которые используются для защиты, могут стать инструментом атакующих [!]. Злоумышленники уже используют ИИ для автоматизации написания вредоносных скриптов и шифрования данных, что делает их действия более эффективными и труднообнаружимыми.
Перспективы и выводы
Внедрение ИИ в безопасность кода — это не только технологическая инновация, а начало глубокой трансформации отрасли. Компании, которые смогут быстро адаптироваться, будут иметь преимущество. Однако важно понимать, что автоматизация не отменяет необходимости человеческого контроля. Внедрение новых инструментов требует пересмотра подходов к обучению, безопасности и оценке эффективности.
Важный нюанс: Роль человека в обеспечении безопасности кода не сокращается, а меняется. Это требует новых навыков, инвестиций в обучение и пересмотра подходов к оценке эффективности. Компании, которые будут готовы к этим изменениям, получат стратегическое преимущество.
Источник: The Register
