Buggbotten – om vi kan kalla den så – har det fantasilösa namnet Security. Den föreslår även rättelser, och gissar hur kritisk sårbarheten är. Och anger mellan tummen och pekfingret hur säker den är på att analysen är korrekt.

Som du hör är det inte farfars statiska kodanalys vi pratar om här – att matcha kända sårbarhetsmönster textuellt – utan en chattbott som på chattbottars sätt läser texten och grubblar över vad den betyder.

Det låter flummigt, och det är flummigt, men faktum är att Claude Security – och flera andra buggbottar – sedan i fjol har börjat hitta okända sårbarheter i öppen källkod genom att låta AI-kodbottar bläddra i källkoden.

– Fel som förblivit oupptäckta trots årtionden av expertgranskning, noterar Anthropic stolt om några av sina egna buggfynd.

Och nu känner Anthropic alltså att Security är tillräckligt väluppfostrad för att kunna börja umgås med utomstående utvecklare. Hittills har Security bara använts på Anthropic.

Elektroniktidningen anbefaller försiktighet! Du är ute i en helt ny domän av utvecklingsverktyg. Mycket av det som buggbottar av detta slag spottar ur sig är nonsens – precis som när du pratar med Chat GPT. De går lätt vilse, som chattbottar gör.

Elektroniktidningen har rapporterat kring detta.

Så var kritiskt mot verktygets analyser, och ännu mer kritisk mot de kodrättelser som den föreslår. Förstå dem innan du applicerar dem!

Detta trots att Security själv sägs verifiera alla fynd i flera steg innan den presenterar dem för dig – just för att sålla bort nonsens.

AI-buggbottar av det här slaget tycks hitta buggar som ligger bortom klassiska verktygs mentala räckvidd. De ser sammanhang som klassiska verktyg inte kan se. De läser exempelvis kommentarerna i din kod – det kan förstås inga klassiska verktyg göra.

Därför bör du trots risken för nonsens låta Claude Security ta en titt på din kod. Fientliga aktörer kommer att låta buggbottar granska din kod. Det är viktigt att du hittar sårbarheterna innan de gör det.

Nyhetsbyrån Bloomberg gjorde en nyhet av att Anthropic släppte Security. Bloombergs vinkling var att nyheten fick börskursen att sjunka för cybersäkerhetsbolag.

Det var en överreaktion. Det finns ingen anledning att tro att Claude Security kommer att skapa arbetslöshet på cybersäkerhetsbolag. Nya verktyg för debugging har ritat om scenen tidigare, som fuzzing på 10-talet.

Börsfallet är en reflektion av AI-hajpen. Men visst, om du är troende medlem i AI-sekten har du ytterligare ett skäl att testa Claude Security.

Output från Claude Security visas i en dashboard där utvecklare granskar och godkänner åtgärder – inget appliceras automatiskt.

Det som släpps nu är en research preview för Team- och Enterprisekunder.

Öppenkodsprojekt har ett snabbspår. Svenskledda projektet Curl har skickat in en ansökan. Här kan du själv ansöka (länk).