想要您的收件箱中的更聪明的见解吗?注册我们的每周新闻通讯,只能获得企业AI,数据和安全负责人重要的内容。 立即订阅
人类发射自动安全审查它的功能克劳德代码平台在星期三,引入可以扫描漏洞的工具,并提出解决方案,因为人工智能急剧加速了整个行业的软件开发。
这新功能随着公司越来越依赖AI来比以往任何时候都更快地编写代码,提出了有关安全实践是否可以跟上AI辅助开发速度的关键问题。人类解决方案将安全分析直接嵌入开发人员的工作流程中终端命令并自动化Github评论。
“人们喜欢克劳德代码,他们喜欢使用模型编写代码,这些模型已经非常好,而且变得更好。”在接受VentureBeat采访时,人类前沿红色团队的成员Logan Graham领导了安全功能。在接下来的几年中,似乎确实有可能达到10倍,100倍,1000倍,而世界上写的代码量。唯一的跟上方法是使用模型本身弄清楚如何使其安全。
宣布是在人类发布后的第二天Claude Opus 4.1这是其最强大的AI模型的升级版本,该版本在编码任务中显示出重大改进。时间安排强调了AI公司之间的加强竞争,Openai预计将宣布GPT-5即将积极地积极地偷猎才华据报道,签署奖金$ 1亿美元。
AI扩展达到其极限
功率上限,令牌成本上升和推理延迟正在重塑企业AI。加入我们的独家沙龙,发现顶级团队的表现:
- 将能源变成战略优势
- 构建实际吞吐量增益的有效推断
- 使用可持续AI系统解锁竞争性ROI
确保您的位置保持领先地位:https://bit.ly/4mwgngo
为什么AI代码生成会创建一个巨大的安全问题
安全工具解决了软件行业日益关注的问题:随着AI模型越来越有能力编写代码,生产的代码量正在爆炸,但是传统的安全审查过程尚未符合匹配。当前,安全评论依靠人工工程师手动检查代码是否漏洞 - 可以跟上AI生成的输出的过程。
人类的方法使用AI来解决AI创建的问题。该公司开发了两种互补的工具,可利用Claude的能力自动确定常见漏洞,包括SQL注入风险,跨站点脚本漏洞,身份验证缺陷和不安全数据处理。这
第一个工具是一个/Security-Review命令开发人员可以在提交之前从终端运行到扫描代码。Graham解释说,这实际上是10个击键,然后它将引发一个Claude Agent来审查您写作或存储库的代码。”该系统分析代码并返回高信任漏洞评估以及建议的修复程序。这
第二个组件是一个github动作当开发人员提交拉力请求时,这会自动触发安全审查。该系统在有关安全问题和建议的代码上发表了内联评论,以确保每个代码更改都会在进行生产之前获得基线安全审查。
人类如何在其易受攻击的代码上测试安全扫描仪
人类一直在自己的代码库中内部测试这些工具,包括克劳德代码本身,提供现实的验证其有效性。该公司分享了系统在制作生产之前捕获的漏洞的具体例子。
在一种情况下,工程师为内部工具构建了一个功能,该工具启动了本地HTTP服务器,仅用于本地连接。这github动作通过DNS重新启动攻击确定了可利用的远程代码执行漏洞,该攻击是在合并代码之前修复的。
另一个示例涉及旨在安全管理内部凭据的代理系统。自动评论标记了代理人容易受到攻击服务器端请求伪造(SSRF)攻击,提示立即修复。
格雷厄姆说:`我们正在使用它,它已经发现了漏洞和缺陷,并建议在它们为我们进行生产之前如何修复它们。”``我们想,嘿,这是如此有用,我们决定也公开发布它。
除了应对大型企业面临的规模挑战之外,这些工具还可以为缺乏专用安全人员的较小开发团队民主化精致的安全实践。
我最兴奋的一件事是,这意味着安全审查甚至可以轻松地将其民主化到最小的团队,而这些小型团队可能会推动很多代码,他们将越来越有信心,”格雷厄姆说。
该系统旨在立即访问。根据Graham的说法,开发人员可以在发行版的几秒钟内开始使用“安全审核”功能,仅需启动约15个击键。这些工具将与现有工作流无缝集成,并通过相同的Claude API在本地处理代码,从而为其他Claude代码功能提供动力。
在AI体系结构内部扫描数百万行代码
安全审查系统通过系统地分析代码的代理循环来调用Claude。根据人类克劳德代码使用工具调用来探索大型代码库,首先要了解拉动请求中所做的更改,然后主动探索更广泛的代码库,以了解上下文,安全不变性和潜在风险。
企业客户可以自定义安全规则以匹配其特定策略。该系统建立在Claude Code的可扩展体系结构上,使团队可以通过简单的Markdown文档修改现有的安全提示或创建全新的扫描命令。
Graham解释说,您可以查看斜线命令,因为很多次斜杠命令实际上只是一个非常简单的claude.md doc。”您也很简单地写自己的东西。
1亿美元的人才战争重塑了人工智能安全开发
安全公告是在一个更广泛的行业中,以AI安全性和负责任的部署为基础。拟人化的最新研究探索了防止AI模型发展有害行为的技术,其中包括一种有争议的疫苗接种方法,该方法在培训期间将模型暴露于不良特征以建立弹性。
时机还反映了AI领域的激烈竞争。拟人化发布Claude Opus 4.1周二,该公司声称在SWE-Bench验证的编码评估中,软件工程任务的得分为74.5%,而先前的Claude Opus 4模型为72.5%。
同时,梅塔(Meta)一直在积极招募AI人才,并获得了大量签约奖金,尽管人类首席执行官Dario Amodei最近表示,他的许多员工拒绝了这些报价。该公司保持员工保留率80%在过去的两年中,雇用了,而Openai的雇用为67%,Meta雇用了64%。
政府机构现在可以购买克劳德作为企业AI采用的加速
安全功能代表了人类广泛进入企业市场的一部分。在过去的一个月中,该公司为Claude代码提供了多个以企业为中心的功能,包括用于管理员的分析仪表板,本机Windows支持和多目录支持。
美国政府还认可了人类的企业证书,并将公司添加到一般服务管理局批准的供应商列表与OpenAI和Google一起,使Claude可以用于联邦代理商采购。
格雷厄姆强调,安全工具旨在补充而不是替换现有的安全实践。没有什么可以解决这个问题的事情。他说,这只是另一种工具。但是,他对AI驱动的安全工具的信心将随着代码生成的加速而发挥核心作用。
在打破互联网之前,该竞赛在AI生成的软件之前获得
随着AI以前所未有的速度重塑软件开发,人类的安全性计划代表了一个批判性的认识,即还必须利用相同的技术推动代码生成中的爆炸性增长来确保该代码的安全。格雷厄姆(Graham)的团队称为边境红色团队,专注于确定高级AI功能的潜在风险并建立适当的防御能力。
格雷厄姆说,我们一直非常致力于衡量模型的网络安全能力,我认为现在是时候越来越多地在世界上存在防御能力。”该公司特别鼓励网络安全公司和独立的研究人员试验该技术的创造性应用,其雄心勃勃的目标是使用AI进行审查和预防性修补或使更安全的所有最重要的软件为世界上的基础设施提供动力。
安全功能可立即提供给所有人克劳德代码用户,GITHUB操作需要开发团队进行一次性配置。但是,在整个行业上迫在眉睫的更大的问题仍然存在:AI驱动的防御能够尺寸足够快以与AI生成的漏洞的指数增长相匹配?
至少目前,机器正在赛车来修复其他机器可能会破裂的内容。
