アントロピックのクロード・コードが開発者に常時稼働のAIセキュリティレビューを提供

アントロピックのクロード・コードが開発者に常時稼働のAIセキュリティレビューを提供

トピック — 人工知能

出版

リズ・ティコングの画像

アフィリエイトリンクまたはスポンサーシップを通じて、ベンダーから収益を得る場合があります。これにより、サイト上の商品配置が影響を受ける可能性がありますが、レビューの内容には影響しません。詳細は利用規約をご覧ください。

Anthropic の Claude Code には現在、継続的な AI セキュリティ レビュー機能が搭載されており、脆弱性をリアルタイムで検出して、安全でないコードが本番環境に到達するのを防いでいます。

人類学のクロード・コード
画像: Anthropic

Claude Codeがさらに進化しました。Anthropicは、脆弱性を自動的に発見・修正する常時稼働のAIセキュリティレビューシステムを導入しました。同社によると、このシステムはベースラインレビューなしでコードが本番環境にリリースされることがないよう設計されています。

この機能は Claude Code に統合されており、SQL インジェクション、クロスサイト スクリプティング (XSS)、安全でないデータ処理などのリスクをスキャンし、展開前に問題にフラグを付けます。

侵害になる前にバグをキャッチする常時稼働の AI

アンスロピック社によると、このアップグレードは自社のコードベースのセキュリティ確保に活用されており、クロード・コードのワークフローに継続的な自動セキュリティレビューを直接追加する。コード変更はすべてリアルタイムで評価され、脆弱性が現れるとすぐにシステムが特定する。同社はこれを「脅威が悪用される前に阻止する、常に監視する監視塔」と表現している。

スキャンは、最も一般的で損害を与える脆弱性のいくつかをターゲットにしています。

  • SQL インジェクション: 攻撃者が悪意のあるコマンドをデータベース クエリに紛れ込ませる行為。
  • クロスサイト スクリプティング (XSS) は、Web コンテンツに有害なスクリプトを埋め込む可能性があります。
  • 認証または承認の欠陥 により、間違った人にアクセス権が渡される危険性があります。

また、安全でないデータ処理(機密情報の安全でない保存や送信など)や、サードパーティのライブラリに潜む依存関係の脆弱性もチェックします。

AIシステムは、/security-reviewコマンドを介してオンデマンドで起動することも、GitHub Actionsを介して新しいプルリクエストごとに自動的に起動することもできます。コード変更時にインラインコメントを投稿し、誤検知を削減するためのカスタマイズ可能なルールを適用し、既存のCI/CDパイプラインと統合します。

AIコーディングが急成長しているが、セキュリティリスクも高まっている

GitHub の調査によると、サイド プロジェクトから製品パイプラインまで、AI 支援コーディングは普及しており、現在、従業員 1,000 人以上の企業の米国のエンタープライズ開発者の 92% が AI 支援コーディングを使用しています。

しかし、その利便性には代償が伴います。セキュリティ・新興技術センター(CSET)の報告書によると、テスト対象となったAI開発コードのほぼ半数に、安全でない慣行の兆候が見られました。また、Veracodeの分析では、分析対象となったコードサンプルの45%が標準的なセキュリティチェックに合格せず、OWASPトップ10リストに掲載されているような既知の脆弱性が見受けられました。

その影響は既に現れています。7月、Wiz Researchは、企業向けバイブコーディングプラットフォームであるBase44に深刻な脆弱性があることを公表しました。この脆弱性により、攻撃者は認証を回避し、認証済みアカウントを作成できる可能性がありました。この脆弱性は24時間以内に修正されましたが、この事例は、AI駆動型プラットフォームにおけるたった一つのコーディングエラーが、その上に構築されたすべてのアプリケーションを危険にさらす可能性があることを浮き彫りにしました。

攻撃者も攻撃を活発化させています。業界レポートで引用されているサイバーセキュリティデータによると、脆弱性を悪用した侵害は2024年第3四半期に前年同期比124%増加し、年央までに2万2000件以上の新たな脆弱性(CVE)が特定され、実際に使用されているゼロデイ脆弱性の数も増加しています。これらのインシデントの多くは、安全でないコードや開発パイプラインの脆弱性を悪用したものでした。これはまさに、Claude Codeのような自動レビューシステムが目指す脆弱性です。

コードの作成から保護まで

安全でないコードをめぐる争いは、より大きな戦いの一部です。AIは高度な攻撃の波を煽る一方で、重大な欠陥が悪用される前にそれを検知する防御の武器としても利用されています。この防御の優位性が強まれば、AIはいつか防御側に有利に働く可能性があります。

Anthropic の最新のアップグレードは、今日のコーディングブームの原動力となっているテクノロジーが最大の負担にならないようにするためのいくつかの取り組みのうちの 1 つです。

Black Hat 2025 で、 マイクロソフトは、セキュリティ チームが攻撃の 発生時に攻撃を追跡して対処し、攻撃が拡大する前に阻止することを目指している方法を共有しました。

記事をシェア
リズ・ティコングの画像

リズ・ティコン

リズ・ティコンは、テクノロジー、ソフトウェア、ニュースの分野で10年以上の経験を持つスタッフライターです。Datamation、Enterprise Networking Planet、TechnologyAdvice.comなどで、AI、サイバーセキュリティ、データ、そして様々なソフトウェア製品に関する記事を執筆しており、国際的なクライアントのためにゴーストライターとしても活動しています。

Tagged: