인공 지능 회사 Anthropic은 AI 프로그래밍 비서가 소스 코드를 스캔하고 보안 취약점을 해결하기 위한 패치를 제안할 수 있는 Claude Code Security라는 새로운 기능을 방금 소개했습니다.
이 도구는 클로드 코드 웹 버전에 직접 통합되어 기존 방법이 간과할 수 있는 위험을 개발팀이 감지하는 데 지원하는 것을 목표로 합니다.
Anthropic의 발표에 따르면 Claude Code Security는 현재 많은 정적 분석 도구와 마찬가지로 알려진 오류 패턴을 검색할 뿐만 아니라 보안 전문가가 수행하는 방식과 유사하게 코드 구조를 읽고 추론합니다.
시스템은 애플리케이션의 데이터 흐름을 추적하고 구성 요소가 서로 상호 작용하는 방식을 분석하여 기존 규칙으로 식별하기 어려운 약점을 포함한 복잡한 취약점을 감지합니다.
새로운 기능은 현재 클로드 엔터프라이즈와 팀의 일부 유료 고객에게만 제한적으로 배포되고 있으며, 오픈 소스 웨어하우스 관리자는 조기에 우선적으로 접근할 수 있습니다.
출시는 점점 더 많은 비전문가들이 웹사이트와 애플리케이션을 만들기 위해 AI 도구를 사용하지만 AI에서 생성된 코드를 확인할 수 있는 보안 지식이 부족한 상황에서 이루어졌습니다.
Tenzai(기술 연구 개발 전문 기관)의 최근 보고서에 따르면 OpenAI, Anthropic, Cursor, Replit 또는 Devin의 도구를 사용하여 구축된 웹사이트는 면밀한 검사를 받지 않으면 민감한 데이터를 유출하거나 실수로 해커에게 돈을 이체하기 위해 악용될 수 있습니다.
Anthropic은 AI가 패치를 제안할 수 있지만 최종 결정은 여전히 인간에게 달려 있다고 강조합니다. Claude Code Security는 가짜 양성 결과를 필터링하고 통합 제어판에 표시하기 전에 발견 사항을 재평가하는 것을 포함하여 다단계 검증 프로세스에 따라 작동합니다.
취약점은 평가 시 시스템의 심각도와 신뢰도에 따라 등급이 매겨집니다.
주목할 만한 점은 이달 초 Anthropic의 제품 엔지니어링, 제품 관리 및 디자인 활동 담당 제품 관리자인 Mike Krieger가 회사의 AI 프로그래밍 도구가 거의 전체 제품 소스 코드를 생성하는 데 내부적으로 사용되고 있다고 밝혔습니다.
마이크 크리거는 "클로드는 클로드 자신이 썼습니다."라고 말하며 개발 프로세스의 높은 자동화 수준을 강조했습니다.
Anthropic은 테스트에 대해 Claude Code Security가 경쟁적인 Capture-the-Flag 이벤트를 통해 테스트되었으며, AI를 사용하여 주요 인프라를 보호하는 능력을 평가하기 위해 북서태평양 국립 연구소(미국 에너지부)와 협력했다고 밝혔습니다.
회사에 따르면 연구팀은 클로드 오퍼스 4.6 모델 덕분에 오픈 소스 프로젝트에서 500개 이상의 미공개 취약점을 발견했습니다.
현재 Anthropic은 지역 사회와 협력하여 책임감 있게 정보를 공개하고 개방형 소프트웨어 생태계에서 보안 노력을 계속 확대하고 있습니다.
