Anthropic levert geautomatiseerde beveiligingsbeoordelingen voor Claude Code nu het aantal door AI gegenereerde kwetsbaarheden toeneemt

Anthropic heeft woensdag geautomatiseerde beveiligingsbeoordelingsfuncties gelanceerd voor zijn Claude Code -platform. Hiermee worden tools geïntroduceerd die code kunnen scannen op kwetsbaarheden en oplossingen kunnen voorstellen, terwijl kunstmatige intelligentie de softwareontwikkeling in de sector drastisch versnelt.

De nieuwe functies komen nu bedrijven steeds meer vertrouwen op AI om sneller dan ooit tevoren code te schrijven. Dit roept kritische vragen op over de vraag of beveiligingspraktijken gelijke tred kunnen houden met de snelheid van AI-ondersteunde ontwikkeling. De oplossing van Anthropic integreert beveiligingsanalyses rechtstreeks in de workflows van ontwikkelaars via een eenvoudig terminalcommando en geautomatiseerde GitHub-reviews .

"Mensen zijn dol op Claude Code, ze gebruiken graag modellen om code te schrijven, en die modellen zijn al extreem goed en worden steeds beter", aldus Logan Graham, lid van Anthropic's Frontier Red Team dat de ontwikkeling van de beveiligingsfuncties leidde, in een interview met VentureBeat. "Het lijkt echt mogelijk dat we de komende jaren de hoeveelheid code die wereldwijd wordt geschreven, 10, 100, 1000 keer zo groot maken. De enige manier om bij te blijven is door modellen zelf te gebruiken om uit te zoeken hoe we het veilig kunnen maken."

De aankondiging komt slechts één dag nadat Anthropic Claude Opus 4.1 uitbracht, een verbeterde versie van zijn krachtigste AI-model dat aanzienlijke verbeteringen laat zien in programmeertaken. De timing onderstreept de toenemende concurrentie tussen AI-bedrijven, waarbij OpenAI naar verwachting binnenkort GPT-5 zal aankondigen en Meta agressief talent wegkaapt met naar verluidt $100 miljoen aan ondertekeningsbonussen.

De beveiligingstools spelen in op een groeiende zorg in de software-industrie: naarmate AI-modellen steeds beter worden in het schrijven van code, neemt de hoeveelheid geproduceerde code explosief toe, maar traditionele beveiligingsbeoordelingsprocessen zijn daar nog niet op aangepast. Momenteel zijn beveiligingsbeoordelingen afhankelijk van menselijke engineers die handmatig code controleren op kwetsbaarheden – een proces dat de door AI gegenereerde output niet kan bijbenen.

De aanpak van Anthropic maakt gebruik van AI om het door AI gecreëerde probleem op te lossen. Het bedrijf heeft twee complementaire tools ontwikkeld die gebruikmaken van Claude's mogelijkheden om automatisch veelvoorkomende kwetsbaarheden te identificeren, waaronder SQL-injectierisico's, kwetsbaarheden in cross-site scripting, authenticatiefouten en onveilige gegevensverwerking.

De eerste tool is een /security-review -opdracht die ontwikkelaars vanaf hun terminal kunnen uitvoeren om code te scannen voordat ze deze committen. "Het kost letterlijk 10 toetsaanslagen en dan wordt een Claude-agent aangestuurd om de code die je schrijft of je repository te controleren", legt Graham uit. Het systeem analyseert de code en retourneert betrouwbare kwetsbaarheidsbeoordelingen, samen met suggesties voor oplossingen.

Het tweede onderdeel is een GitHub Action die automatisch beveiligingsbeoordelingen activeert wanneer ontwikkelaars pull-requests indienen. Het systeem plaatst inline opmerkingen bij code met beveiligingsproblemen en aanbevelingen, zodat elke codewijziging een basisbeveiligingsbeoordeling krijgt voordat deze in productie gaat.

Anthropic heeft deze tools intern getest op zijn eigen codebase, waaronder die van Claude Code zelf, om de effectiviteit ervan in de praktijk te valideren. Het bedrijf deelde specifieke voorbeelden van kwetsbaarheden die het systeem ontdekte voordat ze in productie gingen.

In één geval bouwden engineers een functie voor een interne tool die een lokale HTTP-server startte die alleen bedoeld was voor lokale verbindingen. De GitHub Action identificeerde een kwetsbaarheid voor code-uitvoering op afstand die misbruikt kon worden via DNS-rebindingaanvallen. Deze kwetsbaarheid werd verholpen voordat de code werd samengevoegd.

Een ander voorbeeld betrof een proxysysteem dat ontworpen was om interne inloggegevens veilig te beheren. De geautomatiseerde controle gaf aan dat de proxy kwetsbaar was voor Server-Side Request Forgery (SSRF)-aanvallen , wat leidde tot een onmiddellijke oplossing.

"We gebruikten het al en het vond al kwetsbaarheden en fouten en gaf suggesties hoe we die konden verhelpen voordat ze in productie gingen", zei Graham. "We dachten: hé, dit is zo nuttig dat we besloten het ook openbaar te maken."

De tools bieden niet alleen een oplossing voor de uitdagingen op het gebied van schaalbaarheid waarmee grote ondernemingen te maken hebben, maar kunnen ook geavanceerde beveiligingspraktijken toegankelijk maken voor kleinere ontwikkelteams die niet over speciaal beveiligingspersoneel beschikken.

"Een van de dingen waar ik het meest enthousiast over ben, is dat dit betekent dat beveiligingsbeoordelingen eenvoudig kunnen worden geïmplementeerd bij zelfs de kleinste teams. Die kleine teams kunnen dan veel code pushen waar ze steeds meer vertrouwen in krijgen", aldus Graham.

Het systeem is ontworpen om direct toegankelijk te zijn. Volgens Graham kunnen ontwikkelaars de beveiligingsbeoordelingsfunctie binnen enkele seconden na de release gebruiken, met slechts 15 toetsaanslagen. De tools integreren naadloos met bestaande workflows en verwerken code lokaal via dezelfde Claude API die andere Claude Code-functies aanstuurt.

Het beveiligingsbeoordelingssysteem werkt door Claude aan te roepen via een 'agentische lus' die code systematisch analyseert. Volgens Anthropic gebruikt Claude Code tool calls om grote codebases te verkennen. Eerst worden wijzigingen in een pull request geanalyseerd en vervolgens wordt de bredere codebase proactief onderzocht om inzicht te krijgen in de context, beveiligingsinvarianten en potentiële risico's.

Zakelijke klanten kunnen de beveiligingsregels aanpassen aan hun specifieke beleid. Het systeem is gebaseerd op de uitbreidbare architectuur van Claude Code, waardoor teams bestaande beveiligingsmeldingen kunnen aanpassen of geheel nieuwe scanopdrachten kunnen maken via eenvoudige markdown-documenten.

"Je kunt de slash-commando's eens bekijken, want vaak worden slash-commando's uitgevoerd via een heel eenvoudig Claude.md-document," legde Graham uit. "Je kunt er ook heel eenvoudig je eigen commando's schrijven."

De aankondiging over de beveiliging komt op een moment dat de bredere sector zich buigt over de veiligheid en verantwoorde inzet van AI. Recent onderzoek van Anthropic heeft technieken onderzocht om te voorkomen dat AI-modellen schadelijk gedrag ontwikkelen, waaronder een controversiële 'vaccinatie'-aanpak die modellen tijdens de training blootstelt aan ongewenste eigenschappen om veerkracht op te bouwen.

De timing weerspiegelt ook de intense concurrentie in de AI-sector. Anthropic bracht dinsdag Claude Opus 4.1 uit, waarbij het bedrijf aanzienlijke verbeteringen claimde in software engineering-taken – met een score van 74,5% in de SWE-Bench Verified coding-evaluatie, vergeleken met 72,5% voor het vorige Claude Opus 4-model.

Ondertussen is Meta agressief bezig met het werven van AI-talent met enorme aanmeldbonussen, hoewel Anthropic CEO Dario Amodei onlangs verklaarde dat veel van zijn medewerkers deze aanbiedingen hebben afgewezen . Het bedrijf hanteert een retentiepercentage van 80% voor medewerkers die de afgelopen twee jaar zijn aangenomen, vergeleken met 67% bij OpenAI en 64% bij Meta.

De beveiligingsfuncties maken deel uit van Anthropics bredere introductie op de zakelijke markt. De afgelopen maand heeft het bedrijf diverse zakelijke functies voor Claude Code uitgebracht, waaronder analysedashboards voor beheerders, native Windows-ondersteuning en ondersteuning voor meerdere mappen.

Ook de Amerikaanse overheid heeft de ondernemingskwaliteiten van Anthropic onderschreven en het bedrijf toegevoegd aan de lijst met goedgekeurde leveranciers van de General Services Administration, naast OpenAI en Google. Hierdoor is Claude beschikbaar voor aanbesteding door federale overheidsinstanties.

Graham benadrukte dat de beveiligingstools zijn ontworpen om bestaande beveiligingspraktijken aan te vullen, niet te vervangen. "Er is niet één ding dat het probleem zal oplossen. Dit is slechts een extra tool", zei hij. Hij sprak echter zijn vertrouwen uit dat AI-gestuurde beveiligingstools een steeds belangrijkere rol zullen spelen naarmate de codegeneratie versnelt.

Nu AI de softwareontwikkeling in een ongekend tempo verandert, vertegenwoordigt Anthropics beveiligingsinitiatief een cruciale erkenning dat dezelfde technologie die de explosieve groei in codegeneratie aanjaagt, ook moet worden ingezet om die code veilig te houden. Grahams team, het zogenaamde Frontier Red Team, richt zich op het identificeren van potentiële risico's van geavanceerde AI-mogelijkheden en het ontwikkelen van passende verdedigingsmechanismen.

"We hebben ons altijd enorm ingezet voor het meten van de cybersecuritycapaciteiten van modellen, en ik denk dat het tijd is dat er wereldwijd steeds meer verdedigingsmechanismen komen", aldus Graham. Het bedrijf moedigt cybersecuritybedrijven en onafhankelijke onderzoekers met name aan om te experimenteren met creatieve toepassingen van de technologie, met als ambitieus doel om AI te gebruiken om "alle belangrijke software die de infrastructuur wereldwijd aanstuurt, te beoordelen en preventief te patchen of veiliger te maken."

De beveiligingsfuncties zijn direct beschikbaar voor alle Claude Code- gebruikers, waarbij de GitHub Action eenmalige configuratie door ontwikkelteams vereist. Maar de grotere vraag die boven de sector hangt, blijft: kunnen AI-gestuurde verdedigingen snel genoeg opschalen om de exponentiële groei van door AI gegenereerde kwetsbaarheden bij te benen?

Voorlopig zijn de machines in ieder geval druk bezig om te repareren wat andere machines kapot zouden kunnen maken.