Claude Code wprowadza automatyczne przeglądy bezpieczeństwa kodu

Starsi (wiekiem) programiści pewnie dobrze pamiętają czasy, gdy przeglądy bezpieczeństwa kodu były domeną wyspecjalizowanych zespołów, pojawiających się w projektach dopiero przed samym wdrożeniem. Wtedy to przecież większość podatności odkrywano na końcu procesu developmentu, gdy koszty napraw były największe. Cóż, Anthropic postanowiło ten model przewrócić do góry nogami.

TLDR:

• Anthropic wprowadza automatyczne przeglądy bezpieczeństwa w Claude Code: komendę /security-review i integrację z GitHub Actions, które używają LLM-a do wykrywania podatności.
• Rozwiązanie już wykryło rzeczywiste zagrożenia w kodzie samego Anthropic, włączając remote code execution przez DNS rebinding i ataki SSRF.

W Claude Code pojawiły się automatyczne przeglądy bezpieczeństwa w Claude Code, oferując deweloperom dwie opcje: komendę /security-review do analizy z terminala oraz integrację z GitHub Actions do automatycznego sprawdzania pull requestów. Co szczególnie ciekawe, nie chodzi tu o kolejne statyczne analizatory kodu, ale o napędzane dużym modelem językowym rozwiązanie, które ma rozumieć kontekst i wykrywać problemy, przez tradycyjne narzędzia często pomijane.

Funkcjonalność /security-review daje możliwość zautomatyzowania analizy bezpieczeństwa bezpośrednio z terminala, jako pre-commit hook. Claude przeszukuje w poszukiwaniu potencjalnych podatności i dostarcza szczegółowe wyjaśnienia znalezionych problemów, sprawdza standardowe wzorce zagrożeń: SQL injection, cross-site scripting (XSS), błędy w autoryzacji i uwierzytelnieniu, niebezpieczne przetwarzanie danych, oraz podatności bezpieczeństwa w zależnościach.

Integracja z GitHub Actions pozwala zautomatyzować ten proces, analizując każdy nowy pull request. GitHub Action uruchamia się automatycznie przy otwarciu pull requesta, sprawdza zmiany pod kątem zagrożeń bezpieczeństwa, stosuje konfigurowalne reguły filtrujące fałszywe alarmy i publikuje komentarze inline z rekomendacjami napraw. Integracja z GitHub łączy się z istniejącymi potokami CI/CD i może być dostosowana do polityk bezpieczeństwa konkretnego zespołu.

Na poniższym filmie możemy zobaczyć /security-review w akcji. Koszty są niewielkie, więc funkcja ta powinna cieszyć się niemałą popularnością wśród użytkowników Claude Code, może też pomoże pozyskać nowych?

Tym bardziej jest to prawdopodobne, że Anthropic używa tych funkcji do zabezpieczania własnego kodu, włączając w to kod samego Claude Code. Od momentu wdrożenia narzędzia firma już wykryła i naprawiła rzeczywiste podatności w swoich projektach, zanim trafiły one do produkcji.

Przykłady są konkretne i niepokojące jednocześnie. W zeszłym tygodniu zespół Anthropic budował nową funkcję dla wewnętrznego narzędzia, która uruchamiała lokalny serwer HTTP. Claude Code zidentyfikował podatność umożliwiającą zdalne wykonanie kodu poprzez DNS rebinding i problem został naprawiony jeszcze przed scaleniem pull requesta. W innym przypadku, gdy inżynier tworzył system proxy do bezpiecznego zarządzania wewnętrznymi danymi logowania, narzędzie Anthropica pozwoliło wykryć podatność na ataki SSRF (Server-Side Request Forgery)

Fakt, że podatności takie pojawiły się w kodzie doświadczonych programistów z niewątpliwie wiodącej firmy AI, pokazuje skalę problemu w całej branży – jeśli eksperci popełniają takie błędy, prawdopodobnie większość projektów zawiera podobne zagrożenia.

Obie funkcje są już dostępne dla wszystkich użytkowników Claude Code. Komenda /security-review wymaga jedynie aktualizacji do najnowszej wersji narzędzia, podczas gdy GitHub Action potrzebuje konfiguracji zgodnie z dokumentacją Anthropic.

Warto zastanowić się nad szerszym kontekstem tej inicjatywy. W miarę jak AI przyspiesza tworzenie oprogramowania i umożliwia budowanie coraz bardziej złożonych systemów, ryzyko pojawienia się podatności w kodzie rośnie. Tradycyjne narzędzia do analizy statycznej często generują zbyt wiele fałszywych alarmów lub pomijają subtelne problemy kontekstowe. Claude Code w tym obszarze może wprowadzić rzeczywistą zmianę jakościową, oferując analizę, która rozumie intencje kodu, a nie tylko jego składnię.

Kluczowym pytaniem pozostaje, czy takie AI-powered security reviews rzeczywiście okażą się skuteczniejsze od tradycyjnych metod w wykrywaniu podatności zero-day i czy Anthropic zdoła utrzymać przewagę technologiczną w miarę jak konkurenci będą naśladować to podejście. Jeśli tak, taka automatyzacja po raz pierwszy w historii AI sprawi, że techniki sztucznej inteligencji nie tylko przyspieszą rozwój oprogramowania, ale mogą także uczynić je bezpieczniejszym..

Pierwsze kroki

Obie funkcje są już dostępne dla wszystkich użytkowników Claude Code. Aby rozpocząć korzystanie z automatycznych przeglądów bezpieczeństwa:

W przypadku polecenia /security-review: po prostu zaktualizuj Claude Code do najnowszej wersji i uruchom /security-review w katalogu projektu. Zapoznaj się z dokumentacją, aby dostosować własną wersję polecenia.

W przypadku GitHub Actions: zapoznaj się z dokumentacją, aby uzyskać szczegółowe instrukcje dotyczące instalacji i konfiguracji.

źródło: anthropic.com, https://github.com/anthropics/ 

~Adam Golański