GeekAlerts

جایی برای گیک‌ها

تیم گیک‌آلرتس نیم‌رخ
تیم گیک‌آلرتس

معرفی قابلیت‌های جدید Claude Code برای بررسی خودکار امنیت کدها

معرفی قابلیت‌های جدید Claude Code برای بررسی خودکار امنیت کدها

شرکت انتروپیک یک قابلیت جدید برای ابزار کدنویسی خودش یعنی Claude Code معرفی کرده که کارش بررسی خودکار امنیت کدهاست. این ویژگی جدید با استفاده از یکپارچه‌سازی با GitHub Actions و یک دستور جدید به اسم /security-review به توسعه‌دهنده‌ها اجازه میده خیلی راحت از «کلاد» بخوان که نگرانی‌های امنیتی رو توی کدها پیدا کنه و بعدش هم اونها رو برطرف کنه.

با بیشتر شدن اتکای برنامه‌نویس‌ها به هوش مصنوعی برای سرعت بخشیدن به کار و ساختن سیستم‌های پیچیده‌تر، امنیت کدها اهمیت بیشتری پیدا کرده. این قابلیت‌های جدید به تیم‌ها کمک میکنه تا بررسی‌های امنیتی رو توی روال کاری خودشون ادغام کنن و حفره‌های امنیتی رو قبل از اینکه محصول نهایی بشه، پیدا کنن.

پیدا کردن حفره‌های امنیتی کد از توی ترمینال

دستور جدید /security-review به توسعه‌دهنده‌ها این امکان رو میده که قبل از ثبت نهایی کدهاشون، یک تحلیل امنیتی سریع و موردی انجام بدن. کافیه این دستور رو توی Claude Code اجرا کنید تا کلاد کل پایگاه کد شما رو برای پیدا کردن آسیب‌پذیری‌های احتمالی بگرده و برای هر مشکلی که پیدا میکنه، توضیح کاملی بده.

این دستور از یک پرامپت مخصوص و متمرکز روی امنیت استفاده میکنه که الگوهای آسیب‌پذیری رایج رو بررسی میکنه. این الگوها شامل موارد زیر هستن:

  • ریسک‌های SQL injection
  • آسیب‌پذیری‌های Cross-site scripting یا XSS
  • ایرادهای مربوط به احراز هویت و مجوزها
  • مدیریت ناامن داده‌ها
  • آسیب‌پذیری‌های مربوط به وابستگی‌ها (Dependencies)

بعد از اینکه مشکلات شناسایی شدن، میتونید از Claude Code بخواید که برای هر کدوم از اونها راه‌حل و اصلاحیه ارائه بده. اینطوری بررسی‌های امنیتی بخشی از چرخه اصلی توسعه شما میشه و مشکلات در مراحل اولیه که حل کردنشون ساده‌تره، شناسایی میشن.

بررسی امنیتی خودکار برای پول ریکوئست‌های جدید

قابلیت جدید دیگه‌ای که معرفی شده، یک GitHub Action برای Claude Code هست که با تحلیل خودکار هر پول ریکوئستی که باز میشه، بررسی‌های امنیتی رو یک مرحله جلوتر میبره. وقتی این اکشن تنظیم بشه، کارهای زیر رو انجام میده:

  • به صورت خودکار با باز شدن یک پول ریکوئست جدید فعال میشه.
  • تغییرات کد رو برای پیدا کردن آسیب‌پذیری‌های امنیتی بررسی میکنه.
  • از قوانین قابل تنظیم برای فیلتر کردن نتایج مثبت کاذب و مشکلات شناخته شده استفاده میکنه.
  • برای هر نگرانی امنیتی که پیدا میکنه، به صورت کامنت درون‌خطی روی خود پول ریکوئست نظر میده و راه‌حل‌های پیشنهادی رو هم ذکر میکنه.

این کار یک فرایند بررسی امنیتی یکپارچه در کل تیم ایجاد میکنه و مطمئن میشه که هیچ کدی بدون یک بررسی امنیتی اولیه به مرحله تولید نمیرسه. این اکشن با خط لوله CI/CD فعلی شما ادغام میشه و میشه اون رو مطابق با سیاست‌های امنیتی تیمتون سفارشی کرد.

تجربه خود انتروپیک در استفاده از این ابزار

خود تیم انتروپیک هم داره از این ویژگی‌ها برای امن کردن کدهایی که منتشر میکنه، از جمله خود Claude Code، استفاده میکنه. از زمانی که این GitHub Action رو راه‌اندازی کردن، این سیستم تونسته چندین آسیب‌پذیری امنیتی رو در کدهای داخلی شرکت پیدا کنه و جلوی انتشار اونها رو بگیره.

برای مثال، هفته پیش تیم اونها یک ویژگی جدید برای یک ابزار داخلی ساخت که برای کار کردن نیاز به راه‌اندازی یک سرور HTTP محلی داشت. این سرور قرار بود فقط اتصالات محلی رو قبول کنه. اما GitHub Action یک آسیب‌پذیری اجرای کد از راه دور (remote code execution) رو شناسایی کرد که از طریق حملات DNS rebinding قابل سوءاستفاده بود. این مشکل قبل از اینکه پول ریکوئست تایید بشه، برطرف شد.

در یک مورد دیگه، یک مهندس یک سیستم پراکسی برای مدیریت امن اطلاعات داخلی ساخته بود. سیستم بررسی خودکار به سرعت تشخیص داد که این پراکسی در برابر حملات SSRF (Server-Side Request Forgery) آسیب‌پذیره و این مشکل هم سریعا حل شد.

لوگان گراهام، عضو تیم «قرمز مرزی» انتروپیک که توسعه این ویژگی‌های امنیتی رو رهبری کرده، میگه: «ما داشتیم ازش استفاده میکردیم و این سیستم داشت آسیب‌پذیری‌ها و ایرادها رو پیدا میکرد و قبل از اینکه برای خودمون هم منتشر بشه، راه حلشون رو پیشنهاد میداد. ما فکر کردیم که این خیلی مفیده و تصمیم گرفتیم اون رو به صورت عمومی هم منتشر کنیم».

چرا کدنویسی با هوش مصنوعی یک مشکل امنیتی بزرگ ایجاد کرده؟

این ابزارهای امنیتی به یک نگرانی رو به رشد در صنعت نرم‌افزار پاسخ میدن: با تواناتر شدن مدل‌های هوش مصنوعی در نوشتن کد، حجم کدهای تولید شده به شدت در حال افزایشه، اما فرایندهای سنتی بررسی امنیتی نتونستن با این سرعت هماهنگ بشن. در حال حاضر، بررسی‌های امنیتی به مهندس‌های انسانی متکی هستن که به صورت دستی کدها رو برای پیدا کردن آسیب‌پذیری‌ها بررسی میکنن، فرایندی که نمیتونه با خروجی تولید شده توسط هوش مصنوعی رقابت کنه.

رویکرد انتروپیک اینه که از خود هوش مصنوعی برای حل مشکلی که هوش مصنوعی ایجاد کرده، استفاده کنه. لوگان گراهام در این باره گفته: «به نظر میرسه که در چند سال آینده، مقدار کدی که در دنیا نوشته میشه ۱۰، ۱۰۰ یا حتی ۱۰۰۰ برابر بشه. تنها راه برای همگام شدن با این روند، استفاده از خود مدل‌ها برای امن کردن کدهاست».

در دسترس قرار گرفتن ابزارهای امنیتی حرفه‌ای برای تیم‌های کوچک

این ابزارها علاوه بر حل چالش مقیاس‌پذیری برای شرکت‌های بزرگ، میتونن دانش امنیتی پیشرفته رو برای تیم‌های توسعه کوچک‌تر که نیروی امنیتی متخصص ندارن، «دموکراتیزه» کنن. گراهام میگه: «یکی از چیزهایی که من رو هیجان‌زده میکنه اینه که بررسی امنیتی میتونه به راحتی در دسترس کوچک‌ترین تیم‌ها هم قرار بگیره».

به گفته گراهام، یک توسعه‌دهنده میتونه در عرض چند ثانیه و با حدود ۱۵ ضربه به کیبورد، استفاده از این ویژگی امنیتی رو شروع کنه. این ابزارها خیلی راحت با روال کاری فعلی توسعه‌دهنده‌ها ادغام میشن.

پشت پرده معماری هوش مصنوعی

سیستم بررسی امنیتی با استفاده از یک «حلقه عاملی» (agentic loop) کدها رو به صورت سیستماتیک تحلیل میکنه. Claude Code از فراخوانی ابزارها برای بررسی پایگاه‌های کد بزرگ استفاده میکنه. اول تغییرات یک پول ریکوئست رو درک میکنه و بعد به صورت فعال کل پایگاه کد رو بررسی میکنه تا زمینه، قواعد امنیتی و ریسک‌های احتمالی رو بفهمه. مشتریان سازمانی میتونن قوانین امنیتی رو مطابق با سیاست‌های خاص خودشون سفارشی کنن.

رقابت در دنیای هوش مصنوعی و تمرکز بر بازار سازمانی

معرفی این قابلیت امنیتی در میانه یک رقابت شدید در فضای هوش مصنوعی اتفاق میفته. یک روز قبل از این معرفی، انتروپیک مدل Claude Opus 4.1 رو منتشر کرد که بهبودهای قابل توجهی در وظایف کدنویسی نشون داده. در همین حین، OpenAI احتمالا به زودی GPT-5 رو معرفی میکنه و متا هم با پیشنهادهای مالی بالا در حال جذب استعدادهای این حوزه است.

این ویژگی‌ها بخشی از حرکت گسترده‌تر انتروپیک به سمت بازارهای سازمانیه. دولت آمریکا هم با اضافه کردن انتروپیک به لیست فروشندگان مورد تایید سازمان خدمات عمومی (GSA)، به این شرکت اعتبار سازمانی داده و حالا آژانس‌های فدرال میتونن از کلاد استفاده کنن.

رونق ابزارهای کدنویسی با هوش مصنوعی

ابزارهای کدنویسی در محیط‌های سازمانی خیلی رایج شدن. شرکت گارتنر پیش‌بینی میکنه که تا سال ۲۰۲۸، سه چهارم مهندسان نرم‌افزار از دستیارهای کدنویسی هوش مصنوعی استفاده خواهند کرد. این در حالیه که در سال ۲۰۲۳ کمتر از ۱۰ درصد توسعه‌دهندگان سازمانی از چنین ابزارهایی استفاده میکردن.

مفهومی به اسم «Vibe coding» که به شیوه‌های توسعه نرم‌افزار متکی به هوش مصنوعی اشاره داره، توجه شرکت‌ها رو به خودش جلب کرده. با این حال، پیامدهای امنیتی این ابزارها نگرانی‌هایی رو ایجاد کرده. تحلیلگرها هشدار دادن که رواج ابزارهای کدنویسی هوش مصنوعی باعث ورود کدهای ناامن به مرحله تولید شده.

با این وجود، شرکت‌ها همچنان به کدنویسی با پشتیبانی هوش مصنوعی خوش‌بین هستن. شرکت‌های خدمات مالی از پیشگامان این حوزه هستن. مثلا گلدمن ساکس ۱۲۰۰۰ توسعه‌دهنده مجهز به GitHub Copilot داره و در بانک آمریکا هم ۱۷۰۰۰ برنامه‌نویس از ابزارهای هوش مصنوعی استفاده میکنن.

لوگان گراهام تاکید میکنه که این ابزارهای امنیتی برای تکمیل فرایندهای امنیتی فعلی طراحی شدن، نه جایگزینی اونها. به گفته او: «هیچ چیزی به تنهایی قرار نیست مشکل رو حل کنه. این فقط یک ابزار اضافیه».

منابع

  • [۱] Automate security reviews with Claude Code \ Anthropic
  • [۲] Anthropic ships automated security reviews for Claude Code as AI-generated vulnerabilities surge | VentureBeat
  • [۳] Anthropic automates software security reviews with Claude Code – SiliconANGLE
  • [۴] Anthropic Adds Auto Security Reviews to Claude Code – The New Stack
  • [۵] Anthropic expands Claude Code’s security capabilities | CIO Dive
خانههوش‌مصنوعیگیک و تکنولوژیعلم و فضاسلامتکار و تحصیلشبکه‌های اجتماعیفرهنگ و کالچرامنیت و حریم‌خصوصیاخبار ۲۴ ساعت اخیر (1)

© ۲۰۲۵ GeekAlerts . تمامی حقوق محفوظ است.

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *