Сделать «вау» и ничего не починить: как громкий пиар ИИ от Anthropic обернулся насмешками хакеров
NewsMakerClaude Opus 4.6 нашла 500 дыр в коде. Но мейнтейнеры просят ИИ остановиться.
Компания Anthropic на прошлой неделе с гордостью представила новую функцию Claude Code Security — инструмент, позволяющий командам безопасности находить и исправлять уязвимости в коде с помощью ИИ. Чтобы продемонстрировать его мощь, компания сообщила, что её красная команда с помощью модели Claude Opus 4.6 обнаружила более 500 уязвимостей в боевом коде open-source-проектов.
Звучит впечатляюще. Но исследователи безопасности настроены скептически.
Гай Азари, основатель стартапа и бывший специалист по безопасности в Microsoft и Palo Alto Networks, обратил внимание на неудобную деталь: из 500 найденных уязвимостей реально исправлены были лишь две-три. «Если их не исправили, значит, вы ничего толком не сделали», — заявил он изданию The Register.
Азари также указал на отсутствие присвоенных CVE-идентификаторов — стандартных номеров, которые получают подтверждённые уязвимости. По его словам, само по себе обнаружение багов никогда не было проблемой. Когда он руководил управлением уязвимостями в Microsoft Security Response Center, отчёты поступали непрерывно. С появлением ИИ их стало в 100–200 раз больше, но вместе с тем вырос и объём шума: модели принимают за уязвимости то, что ими не является, и при этом не могут доказать реальную степень угрозы.
Компания Anthropic на прошлой неделе с гордостью представила новую функцию Claude Code Security — инструмент, позволяющий командам безопасности находить и исправлять уязвимости в коде с помощью ИИ. Чтобы продемонстрировать его мощь, компания сообщила, что её красная команда с помощью модели Claude Opus 4.6 обнаружила более 500 уязвимостей в боевом коде open-source-проектов.
Звучит впечатляюще. Но исследователи безопасности настроены скептически.
Гай Азари, основатель стартапа и бывший специалист по безопасности в Microsoft и Palo Alto Networks, обратил внимание на неудобную деталь: из 500 найденных уязвимостей реально исправлены были лишь две-три. «Если их не исправили, значит, вы ничего толком не сделали», — заявил он изданию The Register.
Азари также указал на отсутствие присвоенных CVE-идентификаторов — стандартных номеров, которые получают подтверждённые уязвимости. По его словам, само по себе обнаружение багов никогда не было проблемой. Когда он руководил управлением уязвимостями в Microsoft Security Response Center, отчёты поступали непрерывно. С появлением ИИ их стало в 100–200 раз больше, но вместе с тем вырос и объём шума: модели принимают за уязвимости то, что ими не является, и при этом не могут доказать реальную степень угрозы.