Claude Code में साइबरसिक्योरिटी फीचर जोड़ा गया

 (anthropic.com)
4 पॉइंट द्वारा GN⁺ 2026-02-21 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Claude Code Security एक AI-आधारित security फीचर है जो codebase में vulnerabilities का पता लगाता है और मानव समीक्षा के लिए patch सुझाव देता है
  • यह जटिल vulnerabilities जिन्हें मौजूदा static analysis tools छोड़ देते हैं को, एक मानव researcher की तरह code interactions और data flow को ट्रैक करके, पहचानता है
  • सभी परिणाम बहु-स्तरीय verification और severity assessment से गुजरने के बाद dashboard में दिखाए जाते हैं, और developer की मंजूरी के बिना अपने-आप fix नहीं किए जाते
  • Anthropic ने इस फीचर को Enterprise·Team ग्राहकों और open source maintainers के लिए सीमित research preview के रूप में जारी किया है
  • AI हमलावरों से पहले vulnerabilities ढूंढ़ सके, इस दौर के लिए तैयारी करते हुए, इसका लक्ष्य पूरे उद्योग में security स्तर को बेहतर बनाना है

Claude Code Security का परिचय

  • Claude Code Security, Claude Code web version में built-in एक नया फीचर है, जो codebase को scan करके security vulnerabilities की पहचान और patch suggestions देता है
    • यह research preview के रूप में उपलब्ध है और इसका आधार मानव समीक्षा है
  • इसे मौजूदा security teams की कर्मियों की कमी और vulnerabilities की अधिकता जैसी समस्याओं को हल करने के लिए डिज़ाइन किया गया है
  • मौजूदा analysis tools जहाँ ज्ञात patterns पर केंद्रित रहते हैं, वहीं Claude नई और context-dependent vulnerabilities भी पहचान सकता है

यह कैसे काम करता है

  • पारंपरिक static analysis नियम-आधारित तरीके से ज्ञात vulnerability patterns को पहचानता है, लेकिन business logic errors या access control flaws जैसी समस्याएँ आसानी से छूट सकती हैं
  • Claude Code Security मानव researcher की तरह code के अर्थ को समझकर और उस पर तर्क करके जटिल vulnerabilities को पकड़ता है
    • यह components के बीच interactions और data flow को ट्रैक करता है
  • detection results बहु-स्तरीय verification process से गुजरते हैं ताकि false positives को न्यूनतम किया जा सके
    • Claude खुद अपने परिणामों की दोबारा समीक्षा करता है और severity rating देता है
  • verified results dashboard में दिखाए जाते हैं ताकि टीमें उनकी समीक्षा और approval कर सकें
    • हर item में confidence score शामिल होता है, और मानव approval के बिना कोई fix लागू नहीं किया जाता

Claude के साइबरसिक्योरिटी research की नींव

  • Claude Code Security को एक वर्ष से अधिक समय तक चले Claude के security research के आधार पर विकसित किया गया है
  • Anthropic की Frontier Red Team ने Claude को Capture-the-Flag प्रतियोगिताओं में हिस्सा दिलाया और Pacific Northwest National Laboratory के साथ मिलकर AI-आधारित infrastructure defense experiments किए
  • नवीनतम model Claude Opus 4.6 का उपयोग करके 500 से अधिक open source code vulnerabilities खोजी गईं
    • इनमें ऐसे bugs भी शामिल हैं जो दशकों की expert review के बाद भी बने हुए थे
    • फिलहाल maintainers के साथ responsible disclosure process चल रही है
  • Anthropic अपने internal code security में भी Claude का उपयोग कर रहा है, और इसी defensive capability को बाहरी उपयोगकर्ताओं तक पहुँचाने के लिए यह फीचर विकसित किया गया है

आगे की दिशा

  • वह समय नज़दीक है जब AI दुनिया के अधिकांश codebases को scan करेगा
    • AI models लंबे समय से छिपे bugs को प्रभावी ढंग से पहचान सकते हैं
  • हमलावर भी AI का उपयोग करके vulnerabilities जल्दी खोज सकते हैं, लेकिन अगर defenders पहले से patch लागू करें, तो जोखिम कम किया जा सकता है
  • Claude Code Security को अधिक सुरक्षित codebases और पूरे उद्योग में security standards को बेहतर बनाने की दिशा में एक कदम के रूप में पेश किया गया है

भागीदारी और access

  • यह Enterprise और Team ग्राहकों के लिए research preview के रूप में उपलब्ध कराया गया है
    • प्रतिभागी Anthropic टीम के साथ सीधे काम करके tool को बेहतर बना सकते हैं
  • Open source maintainers मुफ़्त और तेज़ access request कर सकते हैं
  • अधिक जानकारी claude.com/solutions/claude-code-security पर उपलब्ध है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-21
Hacker News की प्रतिक्रियाएँ

  • यह हैरानी की बात नहीं है कि Anthropic ने vulnerability detection feature पेश किया
    क्योंकि OpenAI पहले ही Aardvark और Google BigSleep की घोषणा कर चुके हैं
    मुझे लगता है असली बात scale और accuracy है। Anthropic कहता है कि Opus 4.6 ने 500 ‘high-severity’ vulnerabilities ढूंढीं, लेकिन यह सवाल है कि वे सच में कितनी गंभीर थीं। BigSleep लगभग 20 तक था और Aardvark ने कोई संख्या सार्वजनिक नहीं की
    जब मैंने Semgrep शुरू किया था, तब DARPA AIxCC प्रतियोगिता में LLM-आधारित vulnerability detection प्रतिभागियों से cost per vulnerability और confusion matrix सार्वजनिक करने की मांग प्रभावशाली लगी थी। ऐसे डेटा के बिना यह समझना मुश्किल है कि सच में कौन-सा model आगे है
    अगर LLM security agent को Semgrep, CodeQL जैसे tools की access दी जाए, तो false positive rate काफी घट जाती है। भविष्य में शायद इंसान appsec manager की तरह ऐसे virtual security engineer agents को manage करेंगे

    • Semgrep जैसे SAST tools की सबसे बड़ी समस्या false positives है। Developers सिर्फ वही 0.1% results चाहते हैं जो सच में किसी वास्तविक issue तक ले जाएँ, लेकिन pattern matching approach में noise बहुत ज्यादा होता है
      मैंने भी pattern matching + LLM का combination इस्तेमाल किया है और यह काफी असरदार था। लेकिन यह सिर्फ SAST पर लागू होता है, और SCA या container image जैसे वे क्षेत्र जहाँ security teams के 90% noise आते हैं, अब भी सुलझाना मुश्किल है
    • इस तरह के features छोटे repositories को एक बार scan करने के लिए ठीक हैं, लेकिन बार-बार code change होने वाली वास्तविक दुनिया में rescan cost बहुत ज्यादा है। PR generation, conflict resolution, reviewer assignment जैसे असली workflow इसमें गायब हैं
      research के लिए यह दिलचस्प है, लेकिन practical tool के रूप में इसकी सीमाएँ हैं
    • मैं भी ऐसा ही approach अपना रहा हूँ। वेबसाइट security, performance और SEO पर केंद्रित एक internal tool को agent-based रूप में बढ़ाया, और नतीजे चौंकाने वाले रहे
      SquirrelScan नाम की service में agent, इंसानों द्वारा लिखे गए rules के आधार पर settings को dynamically adjust करके false positives हटाने और validation का काम करता है

  • “Anakin: मैं AI vulnerability scanner से दुनिया बचाऊँगा” जैसी एक मज़ाकिया बात थी
    Padme पूछती है, “तो तुम scan उस vulnerability को ठीक करने के लिए कर रहे हो न?” — यह AI scanner के उद्देश्य पर व्यंग्य था

    • मुझे लगता है इसी वजह से यह feature team और enterprise-only access request तक सीमित है।
      open source विकल्प के रूप में DeepAudit है
    • चिंता यह है कि दुर्भावनापूर्ण users open source projects या npm packages को बड़े पैमाने पर scan करके zero-day ढूंढ सकते हैं।
      उम्मीद है Anthropic के पास असामान्य usage patterns पकड़ने के लिए early warning system होगा
    • विडंबना यह है कि सबसे ताकतवर hacking toolkit रिसर्च लैब्स जारी कर रही हैं, लेकिन cybersecurity defense stocks उल्टे गिर रहे हैं। बाज़ार का यह तर्क समझ नहीं आता
    • कुछ प्रतिक्रियाएँ ऐसी भी थीं कि वे इस मज़ाक का मतलब ठीक से नहीं समझ पाए

  • security audit company चलाने वाले के नज़रिए से देखें तो बड़े LLM players का audit market में आना अब साफ महसूस होने लगा है
    zkao.io जैसी हमारी AI-based service भी competitive pressure झेल रही है
    आगे शायद दो तरह के scenarios हो सकते हैं।
    एक, जहाँ human auditors और developers गायब हो जाएँ; दूसरा, जहाँ मानवीय विशेषज्ञता और समझ की ज़रूरत वाला niche market बन जाए
    गंभीर कंपनियाँ अब भी इंसानों के साथ काम करना चाहेंगी, और संभव है कि SaaS + human support वाला मॉडल बना रहे
    दूसरी ओर, ‘vibe coders’ Claude Code Security जैसे tools का उपयोग करेंगे, और उसकी quality भी ‘vibe coding’ जैसी होगी — काम चलाऊ स्तर की, लेकिन परफेक्ट नहीं
    व्यवहारिक रूप से मुझे यही संभावना ज्यादा लगती है। ऐसे tools हमारे जैसे छोटे specialized audit teams को और मजबूत बनाएँगे

    • spelling correction: “seize” नहीं, “cease” सही है
    • Developers गायब नहीं होंगे। वे सिर्फ डेवलपर के नए रूप में evolve होंगे। लेकिन auditors का भविष्य उतना उजला नहीं दिखता

  • Anthropic के विवरण में यह पंक्ति दिलचस्प लगी: “Claude Code Security इंसानी researchers की तरह code पढ़ता है और reason करता है”
    हमारी team भी static analysis और AI को मिलाकर काम करती रही है, इसलिए यह approach security automation के evolution direction जैसी लगती है

    • लेकिन वह वाक्य तथ्यात्मक रूप से सही नहीं है। LLM आखिरकार pattern matching machine ही है। इंसानी researcher सिर्फ pattern matching से कहीं ज्यादा करता है
      “इंसान की तरह reason करता है” वाला दावा बढ़ा-चढ़ाकर कही गई marketing language लगता है

  • Claude Code Opus 4.5 ने OpenSSF CVE Benchmark पर लगभग 71% accuracy दर्ज की
    हम SAST को पहले फ़िल्टर की तरह इस्तेमाल करते हैं, और उसके बाद data flow graph, dependency graph जैसे static analysis outputs को LLM के लिए उपलब्ध कराते हैं
    यह तरीका सिर्फ “security researcher की तरह व्यवहार करो” कहने से कहीं ज्यादा प्रभावी रहा। नया feature सार्वजनिक होने पर benchmark update करने की योजना है

  • competitor products निराशाजनक रहे। ज़्यादातर सिर्फ वही issues फिर से पकड़ते हैं जो मौजूदा static analysis tools पहले ही ढूंढ लेते हैं, और AI scan में false positives भी बहुत थे
    इस बार कुछ बेहतर नतीजों की उम्मीद है

  • इस बात पर काफी skepticism है कि क्या AI senior security engineer स्तर की creative thinking कर सकता है, लेकिन मुझे लगता है यह बहस असल मुद्दे से चूक रही है
    ऐसे tools की असली value दोहराए जाने वाले security tasks का automation है।
    input validation की कमी या vulnerable components का इस्तेमाल जैसे साधारण issues के लिए हर बार उच्च-स्तरीय talent की ज़रूरत नहीं होती
    उम्मीद है ऐसे tools security teams के झंझट वाले काम कम करने वाले सहायक बनेंगे

    • LLMs, खासकर Claude, वास्तव में security engineer स्तर की क्षमता दिखाते हैं। हमारा startup offensive pentesting agents बना रहा है, और कुछ घंटे चलाने पर ही ये ऐसे अजीब vulnerabilities पकड़ लेते हैं जो इंसान से छूट जाएँ
    • उल्टा, vulnerability researchers के बीच private optimism ज्यादा है। सार्वजनिक रूप से skeptical दिखने वालों से कहीं ज्यादा विशेषज्ञ चुपचाप experiment कर रहे हैं और संभावनाएँ देख रहे हैं
    • Fortune 500 कंपनी में penetration tester के रूप में, मैं इस आकलन से सहमत हूँ। ज़्यादातर internal findings ‘best practice’ स्तर की होती हैं, इसलिए अगर agents इन्हें अपने-आप संभाल लें तो काम बहुत अधिक efficient हो जाएगा
      human-agent collaboration structure शायद भविष्य की security team operations का तरीका बनेगा
    • हमने भी Claude Opus 4.6 इस्तेमाल किया, और false positive rate 50% से कम होना बेहद प्रभावशाली लगा

  • मैं Claude tokens खूब खर्च करके AI bot defense system बना रहा था, तो मुझे लगा Anthropic ने शायद उसे नोटिस कर लिया

    • हम भी कई सालों से अपना सिस्टम बना रहे हैं। Engineers द्वारा बनाया गया Tirreno शायद मददगार हो सकता है