吳明宜Anthropic 推出 Claude Mythos 模型,展現出強大的漏洞發現能力,但目前僅開放給少數合作夥伴使用。為了讓更多企業能在攻擊者之前找出自家軟體的安全弱點,Anthropic 進一步推出 Claude Security 服務。
不久前,Anthropic 發布 Claude Mythos AI 模型,能以更高效率找出軟體漏洞。不過,由於該模型在漏洞探索能力上被認為已超越人類資安專家,若落入惡意人士或極權國家手中,可能帶來嚴重風險,因此僅提供特定組織與合作夥伴試用。針對一般企業需求,Anthropic 於上週以公開 Beta 形式,向 Claude Enterprise 方案用戶推出 Claude Security 。
企業用戶可透過 claude.ai 側邊欄或 claude.ai/security 啟用此工具。 Claude Security 以 Claude Opus 4.7 為核心模型,無需 API 整合或自行開發代理人。使用者只需選擇特定軟體庫、目錄或分支,即可啟動掃描流程。系統會自動辨識潛在漏洞、提供詳細說明、附上漏洞嚴重性與信心分數,並說明可能的利用方式。此外,工具亦可針對修補需求生成指令,使用者可透過 Claude Code Web 版逐步完成漏洞修補。
Anthropic 指出,Claude Code 的設計目標在於滿足資安團隊實務需求。資安人員除了需要漏洞警示外,更重視結果的準確性,以避免誤判。因此 Claude Security 特別加入信心分數機制,以提升判讀可靠度。同時,該服務也致力於縮短從漏洞掃描到修補的時間差,並強化持續性監測能力,避免僅提供一次性稽核報告。為此,系統支援排程掃描功能,可定期執行檢測並即時採取行動。
在漏洞類型辨識方面,Claude Security 涵蓋多種常見攻擊面,包括注入型漏洞(如 SQL 注入、指令注入、跨網站指令碼攻擊 XSS)、網路層漏洞(如路徑遍歷 Path Traversal 、伺服器請求偽造 SSRF 、開放重新導向 Open Redirect)、驗證繞過類(如跨網站請求偽造 CSRF)、記憶體相關漏洞(如緩衝區溢位、整數溢位)、密碼學相關問題(如演算法混淆)、反序列化漏洞(如任意型別實例化),以及協定層漏洞(如編碼混淆、快取下毒)等。
透過與多家資安廠商合作,Anthropic 也進一步強化其生態系整合能力。目前合作夥伴包括 CrowdStrike 、 Microsoft Security 、 Palo Alto Networks 、 SentinelOne 、 Trend Micro 及 Wiz 等,皆已在其安全平台中整合 Claude Opus 4.7 。此外,Accenture 、 BCG 、 Infosys 與 PwC 等服務業者,也提供結合 Claude 的漏洞管理、程式碼審查與事件回應解決方案。
目前 Claude Security 已開放給 Claude Enterprise 用戶使用,未來預計將擴展至 Claude Teams 與 Max 方案客戶。
來源: SecurityWeek