Claude Code'a siber güvenlik özelliği eklendi

 (anthropic.com)
4 puan yazan GN⁺ 2026-02-21 | 1 yorum | WhatsApp'ta paylaş
  • Claude Code Security, kod tabanındaki güvenlik açıklarını tespit eden ve insan incelemesi için yama önerileri sunan yapay zeka tabanlı bir güvenlik özelliği
  • Mevcut statik analiz araçlarının kaçırdığı karmaşık açıkları, insan araştırmacı gibi kodun etkileşimlerini ve veri akışını izleyerek tespit eder
  • Tüm sonuçlar çok aşamalı doğrulama ve önem derecesi değerlendirmesinden geçirilerek panoda gösterilir ve geliştirici onayı olmadan otomatik olarak düzeltilmez
  • Anthropic, bu özelliği Enterprise·Team müşterileri ve açık kaynak bakımcıları için sınırlı bir araştırma önizlemesi olarak yayımladı
  • Yapay zekanın saldırganlardan daha hızlı açık bulabildiği bir döneme hazırlanmak için, sektör genelinde güvenlik seviyesini yükseltmeyi hedefliyor

Claude Code Security'ye genel bakış

  • Claude Code Security, Claude Code'un web sürümüne entegre edilen yeni bir özellik olup, kod tabanını tarayarak güvenlik açığı tespiti ve yama önerisi sunar
    • Araştırma önizlemesi olarak sunulur ve insan incelemesi esas alınır
  • Mevcut güvenlik ekiplerinin yaşadığı personel yetersizliği ve aşırı açık yükü sorunlarını çözmek için tasarlanmış bir araçtır
  • Mevcut analiz araçları bilinen kalıplara odaklanırken, Claude yeni ve bağlama bağlı açıkları da tespit edebilir

Nasıl çalışıyor

  • Geleneksel statik analiz, kural tabanlı olarak bilinen açık kalıplarını tespit eder; ancak iş mantığı hataları veya erişim kontrolü kusurları gibi sorunları gözden kaçırması kolaydır
  • Claude Code Security, insan araştırmacı gibi kodun anlamını anlayıp çıkarım yaparak karmaşık açıkları yakalar
    • Bileşenler arası etkileşimleri ve veri akışını izler
  • Tespit sonuçları, yanlış pozitifleri en aza indirmek için çok aşamalı doğrulama sürecinden geçer
    • Claude sonuçları kendi içinde yeniden inceler ve önem derecesi seviyesi atar
  • Doğrulanmış sonuçlar, ekiplerin inceleyip onaylayabilmesi için panoda gösterilir
    • Her öğe bir güven puanı içerir ve insan onayı olmadan düzeltmeler uygulanmaz

Claude'un siber güvenlik araştırma temeli

  • Claude Code Security, Claude üzerinde bir yıldan uzun süredir yürütülen güvenlik araştırmalarına dayanılarak geliştirildi
  • Anthropic'in Frontier Red Team ekibi, Claude'u Capture-the-Flag yarışmalarına soktu ve Pacific Northwest National Laboratory ile birlikte yapay zeka tabanlı altyapı savunma deneyleri yürüttü
  • En yeni model Claude Opus 4.6 kullanılarak 500'den fazla açık kaynak kod güvenlik açığı bulundu
    • Buna, onlarca yıllık uzman incelemelerine rağmen kalan hatalar da dahil
    • Şu anda bakımcılarla birlikte sorumlu açıklama süreci yürütülüyor
  • Anthropic, Claude'u kendi iç kod güvenliğinde de kullanıyor ve aynı savunma yeteneklerini dışarıya da sunmak için bu özelliği geliştirdi

Geleceğe bakış

  • Yapay zekanın dünyadaki çoğu kod tabanını tarayacağı zamanın yakın olduğu belirtiliyor
    • Yapay zeka modelleri, uzun süre gizli kalmış hataları etkili şekilde tespit edebiliyor
  • Saldırganlar da yapay zekayı kullanarak açıkları hızla bulabilir; ancak savunmacılar proaktif biçimde yama uygularsa risk azaltılabilir
  • Claude Code Security, daha güvenli kod tabanları ve sektör genelinde daha yüksek güvenlik standartları için atılmış bir adım olarak sunuluyor

Katılım ve erişim

  • Enterprise ve Team müşterilerine araştırma önizlemesi olarak açıldı
    • Katılımcılar, aracı geliştirmek için Anthropic ekibiyle doğrudan çalışabiliyor
  • Açık kaynak bakımcıları ücretsiz ve hızlı erişim başvurusu yapabiliyor
  • Daha fazla bilgi için claude.com/solutions/claude-code-security adresine bakılabilir

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-21
Hacker News görüşleri

  • Anthropic'in zafiyet tespit özelliği sunması şaşırtıcı değil
    Çünkü OpenAI daha önce Aardvark, Google ise BigSleep duyurmuştu
    Bence asıl mesele ölçek ve doğruluk. Anthropic, Opus 4.6 ile 500 adet “yüksek ciddiyetli” zafiyet bulduğunu söylüyor ama bunların gerçekten ne kadar ciddi olduğu soru işareti. BigSleep yaklaşık 20 taneydi, Aardvark ise sayı paylaşmadı
    Semgrep'i kurduğum dönemde DARPA AIxCC yarışmasında LLM tabanlı zafiyet tespiti yapan katılımcılardan zafiyet başına maliyet ve karışıklık matrisi açıklamalarının istenmesi dikkat çekiciydi. Bu veriler olmadan hangi modelin gerçekten önde olduğunu anlamak zor
    LLM güvenlik ajanlarına Semgrep, CodeQL gibi araçlara erişim verildiğinde yanlış pozitif oranı ciddi biçimde düşüyor. Gelecekte insanların uygulama güvenliği yöneticisi olarak bu tür sanal güvenlik mühendisi ajanlarını yöneteceğini düşünüyorum

    • Semgrep gibi SAST araçlarının en büyük sorunu yanlış pozitifler. Geliştiriciler yalnızca gerçekten soruna dönüşecek %0,1'lik sonuçları istiyor ama örüntü eşleştirme yaklaşımı çok fazla gürültü üretiyor
      Ben de örüntü eşleştirme + LLM kombinasyonunu kullandım ve oldukça etkiliydi. Ancak bu yalnızca SAST için geçerli; güvenlik ekiplerinin gürültüsünün %90'ını oluşturan SCA veya container image gibi alanlarda sorun hâlâ çözülmüş değil
    • Bu tür özellikler küçük depoları bir kez tararken işe yarayabilir ama kodun sık değiştiği gerçek dünyada yeniden tarama maliyeti çok yüksek. PR oluşturma, çatışma çözme, inceleyici bulma gibi gerçek iş akışları eksik
      Araştırma açısından ilginç ama pratik bir araç olarak sınırlı
    • Ben de benzer bir yaklaşım izliyorum. Web sitesi güvenliği, performansı ve SEO'ya odaklanan dahili aracı ajan tabanlı olarak genişlettim ve sonuçlar şaşırtıcı
      SquirrelScan adlı hizmette, insan tarafından yazılmış kuralları temel alarak ajan yapılandırmayı dinamik biçimde ayarlıyor ve yanlış pozitifleri eleme ile doğrulama yapıyor

  • “Anakin: Dünyayı bir AI zafiyet tarayıcısıyla kurtaracağım” diye bir şaka vardı
    Padme'nin “Yani bu zafiyetleri düzeltmek için tarıyorsun, değil mi?” diye sorduğu bir diyalogdu; AI tarayıcılarının amacını hicveden bir espri

    • Bunun ekipler ve kurumsal müşteriler için erişim talebiyle sınırlı olmasının sebebinin bu olduğunu düşünüyorum.
      Açık kaynak alternatif olarak DeepAudit var
    • Kötü niyetli kullanıcıların açık kaynak projeleri veya npm paketlerini toplu biçimde tarayıp zero-day bulmasından endişe ediliyor.
      Umarım Anthropic, olağandışı kullanım kalıplarını tespit eden bir erken uyarı sistemi kullanır
    • İronik şekilde laboratuvarlar en güçlü hacking toolkit'leri çıkarıyor ama siber güvenlik savunma hisselerinin fiyatları yine de düşüyor. Piyasanın mantığını anlamıyorum
    • Şakanın ne anlama geldiğini pek anlamadığını söyleyenler de vardı

  • Bir güvenlik denetim şirketi işleten biri olarak, büyük LLM şirketlerinin denetim pazarına da girdiğini hissediyorum
    zkao.io gibi bizim AI tabanlı hizmetlerimiz de rekabet baskısı görüyor
    Gelecekte iki senaryo olabilir gibi görünüyor.
    Biri insan denetçilerin ve geliştiricilerin ortadan kalktığı bir dünya, diğeri ise insan uzmanlığı ve sezgisi gerektiren niş bir pazara evrilen bir dünya
    Ciddi şirketler yine de insanlarla birlikte çalışmak isteyecektir ve büyük olasılıkla SaaS+insan desteği modeli kalacaktır
    Buna karşılık “vibe coder”lar Claude Code Security gibi araçları kullanacak ve bunun kalitesi de “vibe coding” düzeyinde olacaktır — yeterince kullanışlı ama kusursuz değil
    Gerçekçi olarak bakınca bunun daha olası olduğunu düşünüyorum. Bu araçlar bizim gibi küçük uzman denetim ekiplerini daha güçlü hâle getiriyor

    • Yazım düzeltmesi: “seize” değil, “cease” doğru kullanım
    • Geliştiriciler ortadan kalkmayacak. Sadece yeni bir geliştirici türüne evrilecekler. Ama denetçilerin geleceği daha karanlık görünüyor

  • Anthropic'in açıklamasındaki “Claude Code Security, kodu bir insan araştırmacı gibi okuyup akıl yürütür” ifadesi ilginç
    Bizim ekip de statik analiz ile AI'ı birleştiriyor; bu yüzden bu yaklaşımın güvenlik otomasyonunun evrim yönü olduğunu düşünüyorum

    • Ama bu cümle gerçeği yansıtmıyor. LLM sonuçta bir örüntü eşleştirme makinesi. İnsan araştırmacılar salt örüntü eşleştirmenin ötesine geçer
      “İnsan gibi akıl yürütür” iddiası abartılı bir pazarlama söylemi gibi geliyor

  • Claude Code Opus 4.5, OpenSSF CVE Benchmark üzerinde yaklaşık %71 doğruluk elde etti
    Biz SAST'ı ilk filtre olarak kullanıyoruz, ardından veri akış grafiği, bağımlılık grafiği gibi statik analiz çıktılarından LLM'in yararlanmasını sağlıyoruz
    Bu yaklaşım, modele sadece “bir güvenlik araştırmacısı gibi davran” demekten çok daha etkili oldu. Yeni özellik yayınlanınca benchmark'ı güncellemeyi planlıyoruz

  • Rakip ürünler hayal kırıklığı yaratmıştı. Çoğu yalnızca mevcut statik analiz araçlarının bulduğu sorunları yeniden tespit ediyor ve AI taramalarında yanlış pozitif çok oluyordu
    Bu kez daha iyi sonuçlar çıkmasını umuyorum

  • AI'ın kıdemli bir güvenlik mühendisi seviyesinde yaratıcı düşünme yapıp yapamayacağı konusunda çok şüphe var ama bence bu, meselenin özünü kaçıran bir tartışma
    Bu araçların gerçek değeri tekrarlayan güvenlik işlerini otomatikleştirmesinde yatıyor.
    Girdi doğrulaması eksikliği ya da zayıf bileşen kullanımı gibi basit sorunlara üst düzey uzmanların bakması gerekmemeli
    Umarım bu araçlar güvenlik ekiplerinin angarya işlerini azaltan yardımcılar olur

    • LLM'ler, özellikle Claude, gerçekten de güvenlik mühendisi seviyesinde yetkinlik gösteriyor. Bizim startup saldırgan penetrasyon testi için ajanlar geliştiriyor; birkaç saat çalıştırıldığında insanların gözden kaçırdığı tuhaf zafiyetleri bulabiliyor
    • Hatta zafiyet araştırmacıları arasında özelde iyimserlik daha yaygın. Kamuya açık şekilde şüpheci davrananlardan çok, sessizce deney yapıp potansiyel gören uzman var
    • Fortune 500 şirketlerinden birinde penetrasyon testçisi olarak buna katılıyorum. İç bulguların çoğu “best practice” seviyesinde şeyler oluyor; ajanlar bunları otomatik ele alırsa çok daha verimli olur
      İnsan-ajans iş birliği modeli gelecekte güvenlik ekiplerinin çalışma biçimi olacak gibi görünüyor
    • Biz de Claude Opus 4.6 denedik ve yanlış pozitif oranının %50'nin altında olması son derece etkileyiciydi

  • Ben Claude token'larını bol bol harcayarak AI bot savunma sistemi geliştiriyordum, Anthropic bunu fark etti sandım

    • Biz de birkaç yıldır kendi sistemimizi geliştiriyoruz. Mühendislerimizin yaptığı Tirreno işinize yarayabilir