Claude Opus 4.6 — новая версия ИИ-модели от Anthropic — умеет находить серьёзные уязвимости в программном обеспечении без дополнительной настройки.

В отличие от классических фуззеров, которые перебирают случайные данные, Claude читает код и анализирует его. Он понимает, где могут быть ошибки, изучает прошлые исправления и ищет похожие проблемы. Так ИИ обнаружил баги в проектах, которые проверяли годами.

Почему это важно? Многие открытые проекты поддерживают небольшие команды и волонтёры. Найдя уязвимости и предложив исправления, ИИ помогает сделать интернет безопаснее.

Команда Anthropic проверила более 500 серьёзных багов и передала их разработчикам для исправления. При этом каждый баг тщательно проверяли люди, чтобы исключить ложные срабатывания.

Примеры:

• В GhostScript ИИ изучил историю изменений и заметил, что в одном месте пропущена проверка границ стека. Это позволило построить тест, который вызывает сбой программы.
• В OpenSC модель нашла потенциально опасные операции со строками, где может возникнуть переполнение буфера.

Для исследования Claude запускали внутри виртуальной машины с доступом к исходникам и стандартным инструментам. Модель работала без специфических подсказок и настроек, показывая, что современные ИИ умеют самостоятельно анализировать код.

Подробнее о проекте и подходе можно узнать в статье на red.anthropic.com.

Это пример того, как ИИ меняет кибербезопасность. Следить за такой автоматизацией важно всем разработчикам и специалистам по безопасности.