Claude Code Security — AI-охотник за багами, обвалившим акции CrowdStrike на 8%

Сегодня Anthropic сделал то, от чего у CrowdStrike, Okta и SailPoint случился очень плохой день на бирже. Компания запустила Claude Code Security — инструмент, который сканирует кодовые базы на уязвимости и предлагает патчи на review. Не по шаблонам. Не по регулярным выражениям. Claude читает код как живой security-исследователь — и находит баги, которые пропускали десятилетиями.

TL;DR: Claude Code Security — новая функция в Claude Code, которая ищет уязвимости в коде, используя reasoning Opus 4.6. Уже нашла 500+ zero-day в open-source проектах (Ghostscript, OpenSC, CGIF). Акции CrowdStrike упали на 8%, Okta — на 9.6%. Доступно в limited preview для Enterprise/Team, мейнтейнерам OSS — ускоренный доступ бесплатно.

Предыстория: 500 zero-day, которые не видели фаззеры

Всё началось ещё 5 февраля, когда Anthropic опубликовал результаты эксперимента. Opus 4.6 посадили в виртуальную машину с доступом к последним версиям open-source проектов. Дали стандартные утилиты, отладчики, фаззеры. Никаких специальных инструкций — просто "найди баги."

Результат: 500+ высокосерьёзных уязвимостей в проектах, которые уже прошли миллионы часов CPU-фаззинга. Баги, которые существовали десятилетиями.

Три метода, которые использует Claude

Самое интересное — как именно Claude находит уязвимости. Это не очередной SAST-сканер с правилами. У Opus 4.6 три подхода:

Git-археология. Claude читает историю коммитов, находит security-фиксы, а потом ищет аналогичные непропатченные баги в других частях кодовой базы. Нашли и исправили buffer overflow в одном модуле? Claude проверит, нет ли того же паттерна в соседнем.

Поиск опасных паттернов. Сканирование вызовов функций вроде strrchr, strcat, sprintf — классика, которую легко пропустить глазами. Но в отличие от линтера, Claude понимает контекст: передаётся ли пользовательский ввод, проверяется ли длина, есть ли санитизация.

Алгоритмическое понимание. Тут Claude проявляет себя сильнее всего. Он понимает логику алгоритмов на концептуальном уровне — и может предсказать, какой именно ввод сломает программу. Например, в библиотеке CGIF он нашёл баг в LZW-компрессии: маленькие изображения вызывали избыточные сбросы словаря, и сжатый вывод оказывался больше буфера. Такое фаззер не найдёт, потому что нужно понимать, как работает LZW.

Конкретные находки

Ghostscript (обработчик PostScript/PDF) — обход проверки границ стека при обработке шрифтов. Claude сравнил код в gdevpsfx.c с уже пропатченным gstype1.c и нашёл, что аналогичный фикс не применили.

OpenSC (утилита для смарт-карт) — переполнение буфера через последовательные вызовы strcat в char filename[PATH_MAX] без проверки итоговой длины. Фаззеры с этим не справляются, потому что путь к уязвимости требует выполнения сложных предусловий.

CGIF (GIF-библиотека) — переполнение буфера из-за особенностей LZW-компрессии. Требует понимания поведения dictionary-reset — чисто алгоритмическая уязвимость.

Как работает Claude Code Security

Сегодняшний запуск — это продуктовая обёртка вокруг этих исследовательских возможностей:

1. Claude сканирует вашу кодовую базу, reasoning'ом разбирая как компоненты взаимодействуют и как данные текут через приложение
2. Многоступенчатая верификация — Claude сам перепроверяет свои находки, пытаясь доказать или опровергнуть каждую
3. Отфильтрованные false positive, каждой находке присваивается severity и confidence рейтинг
4. Валидированные результаты появляются в Claude Code Security dashboard
5. Команда ревьюит находки, смотрит предложенные патчи
6. Ничего не применяется без одобрения разработчика — Claude находит и предлагает, решение за человеком

Ключевое отличие от традиционных SAST/DAST: Claude ловит бизнес-логику, broken access control и сложные межкомпонентные уязвимости — то, что rule-based инструменты принципиально не видят.

Биржа отреагировала мгновенно

Инвесторы не стали разбираться в нюансах "limited research preview":

• CrowdStrike — -7.9%
• Okta — -9.6%
• SailPoint — -8.6%
• Cloudflare — -7%+
• Zscaler — -4%
• Global X Cybersecurity ETF — -4.6% (итого -15.6% с начала года)

Рынок считает, что AI-агенты начинают каннибализировать рынок традиционного threat detection. И хотя Claude Code Security пока ищет уязвимости в коде, а не заменяет SOC и SIEM — тренд считывается однозначно.

Кому это важно

• Разработчику — подключить Claude Code Security к проекту и прогнать сканирование. Особенно если у вас C/C++ кодовая база с историей в 10+ лет. Мейнтейнеры open-source проектов получают ускоренный бесплатный доступ
• Тимлиду — это аргумент для Enterprise/Team подписки на Claude. Один security-ревью от Claude может найти то, что ваша команда и Snyk пропускали годами. ROI считается в количестве CVE, которые вы закроете до того, как их найдёт кто-то другой
• Следишь за рынком — AI входит в кибербезопасность не через стартап, а через одну из самых сильных AI-лабораторий. 500 zero-day в one shot — это заявка на то, что модели станут стандартным инструментом security-аудита в ближайший год

Как попробовать

1. Нужна подписка Claude Enterprise или Team — claude.com/contact-sales/security
2. Мейнтейнеры open-source проектов — подайте заявку на ускоренный бесплатный доступ через ту же форму
3. Функция доступна в Claude Code на вебе — ищите раздел Security в дашборде
4. Попробуйте на небольшом проекте: Claude покажет находки с severity/confidence рейтингами и предложит патчи
5. Подробности — в блоге Anthropic об исследовании zero-day и на странице Claude Code Security

Anthropic год занимался исследованиями в области кибербезопасности — CTF-соревнования, работа с Pacific Northwest National Laboratory по защите критической инфраструктуры. Claude Code Security — это первый коммерческий продукт из этой линейки. И судя по реакции биржи, рынок уже понимает, куда это идёт.