OpenAI je 6. ožujka pokrenuo Codex Securityulazeći na tržište sigurnosti aplikacija koje je Anthropic poremetio 14 dana ranije s Claude Code Security. Oba skenera koriste rasuđivanje LLM-a umjesto podudaranja uzoraka. Oba su dokazala da su tradicionalni alati za testiranje sigurnosti statičke aplikacije (SAST) strukturno slijepi za čitave klase ranjivosti. Sigurnosni skup poduzeća uhvaćen je u sredini.
Anthropic i OpenAI neovisno su izdali skenere ranjivosti temeljene na rasuđivanju i oba su pronašla klase bugova za koje SAST nikad nije dizajniran da ih otkrije. Konkurentski pritisak između dva laboratorija čija procjena kombiniranog privatnog tržišta premašuje 1,1 trilijun dolara znači da će se kvaliteta detekcije poboljšati brže nego što to bilo koji pojedinačni dobavljač može postići sam.
Niti Claude Code Security niti Codex Security ne zamjenjuju vaš postojeći skup. Oba alata trajno mijenjaju matematiku nabave. Trenutno su oboje besplatni za poslovne korisnike. Usporedba direktno i sedam radnji u nastavku su ono što trebate prije nego što upravni odbor upita koji skener pilotirate i zašto.
Sadržaj objave
Kako su Anthropic i OpenAI došli do istog zaključka iz različitih arhitektura
Anthropic je objavio svoje istraživanje nultog dana 5. veljače uz izdanje Claudea Opusa 4.6. Anthropic je rekao da je Claude Opus 4.6 pronašao više od 500 dosad nepoznatih ranjivosti visoke ozbiljnosti u produkcijskim bazama koda otvorenog koda koje su preživjele desetljeća stručnog pregleda i milijune sati fuzzinga.
U CGIF biblioteci, Claude je otkrio prekoračenje međuspremnika gomile razmišljajući o LZW kompresijskom algoritmu, grešci koju fuzzing vođen pokrivenošću nije mogao uhvatiti čak ni sa 100% pokrivenošću koda. Anthropic je poslao Claude Code Security kao ograničeni pregled istraživanja 20. veljače, dostupan Enterprise i Team korisnicima, s besplatnim ubrzanim pristupom za open-source održavatelje. Gabby Curtis, Anthropicova voditeljica komunikacija, rekla je za VentureBeat u ekskluzivnom intervjuu da je Anthropic izgradio Claude Code Security kako bi obrambene sposobnosti učinio dostupnijima širem krugu.
OpenAI-jevi brojevi dolaze iz drugačije arhitekture i šire površine skeniranja. Codex Security razvio se iz Aardvarka, internog alata pokretanog GPT-5 koji je ušao u privatnu beta verziju 2025. Tijekom Codex Security beta razdoblja, OpenAI-jev agent je skenirao više od 1,2 milijuna obveza u vanjskim spremištima, otkrivši, kako je OpenAI rekao, 792 kritična nalaza i 10 561 nalaza visoke ozbiljnosti. OpenAI je prijavio ranjivosti u OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP i Chromium, što je rezultiralo 14 dodijeljenih CVE-ova. Stope lažno pozitivnih rezultata Codex Security-a pale su za više od 50% u svim spremištima tijekom beta verzije, prema OpenAI-ju. Pretjerano prijavljena ozbiljnost pala je za više od 90%.
Pokazali su istraživači Checkmarx Zero da su umjereno komplicirane ranjivosti ponekad izbjegle otkrivanju Claude Code Security-a. Programeri bi mogli prevariti agenta da zanemari ranjivi kod. U potpunom skeniranju baze kodova proizvodne razine, Checkmarx Zero je otkrio da je Claude identificirao osam ranjivosti, ali samo su dvije bile istinski pozitivne. Ako umjereno složeno prikrivanje porazi skener, gornja granica detekcije niža je nego što sugeriraju naslovne brojke. Ni Anthropic ni OpenAI nisu podnijeli zahtjeve za otkrivanje neovisnoj reviziji treće strane. Čelnici sigurnosti trebali bi tretirati prijavljene brojeve kao indikativne, a ne revidirane.
Merritt Baer, CSO at Šifriranje AI i bivši zamjenik CISO-a u AWS-u, rekao je za VentureBeat da natjecateljska utrka skenera komprimira prozor za sve. Baer je savjetovao sigurnosnim timovima da daju prioritet zakrpama na temelju mogućnosti iskorištavanja u njihovom kontekstu izvođenja, a ne samo rezultatima CVSS-a, da skrate vremenski okvir između otkrivanja, trijaže i zakrpe te da održavaju vidljivost popisa materijala kako bi odmah znali gdje se pokreće ranjiva komponenta.
Različite metode, gotovo bez preklapanja u bazama kodova koje su skenirali, ali isti zaključak. SAST za podudaranje uzoraka ima gornju granicu, a rasuđivanje LLM-a proširuje detekciju i izvan nje. Kada dva konkurentska laboratorija distribuiraju tu sposobnost u isto vrijeme, matematika dvostruke namjene postaje neugodna. Bilo koja financijska institucija ili fintech koji vodi komercijalnu bazu kodova trebala bi pretpostaviti da, ako Claude Code Security i Codex Security mogu pronaći ove pogreške, protivnici s API pristupom također ih mogu pronaći.
Baer je to otvoreno rekao: ranjivosti otvorenog izvornog koda otkrivene modelima razmišljanja trebale bi se tretirati bliže otkrićima klase nultog dana, a ne neriješenim stavkama. Prozor između otkrivanja i iskorištavanja upravo se smanjio, a većina programa za upravljanje ranjivostima još uvijek trijažira samo na CVSS-u.
Što dokazuju odgovori dobavljača
Snykrazvojna sigurnosna platforma koju koriste inženjerski timovi za pronalaženje i popravljanje ranjivosti u kodu i ovisnostima otvorenog koda, priznala je tehnički napredak, ali je ustvrdila da pronalaženje ranjivosti nikada nije bio težak dio. Njihovo popravljanje na velikom broju, u stotinama spremišta, bez kvara bilo čega. To je usko grlo. Snyk je ukazao na istraživanje koje pokazuje da je kod generiran umjetnom inteligencijom 2,74 puta veća vjerojatnost uvođenja sigurnosnih ranjivosti u usporedbi s ljudskim kodom, prema Izvješće o sigurnosti GenAI koda Veracode za 2025. Isti modeli koji pronalaze stotine nula dana također uvode nove klase ranjivosti kada pišu kod.
Cycode CTO Ronen Slavin napisao je da Claude Code Security predstavlja pravi tehnički napredak u statičkoj analizi, ali da Modeli umjetne inteligencije po prirodi su probabilistički. Slavin je tvrdio da sigurnosni timovi trebaju konzistentne, ponovljive rezultate revizije i da je mogućnost skeniranja ugrađena u IDE korisna, ali ne predstavlja infrastrukturu. Slavinovo stajalište: SAST je jedna disciplina unutar mnogo šireg opsega, a besplatno skeniranje ne zamjenjuje platforme koje upravljaju upravljanjem, cjelovitošću cjevovoda i radnim ponašanjem na razini poduzeća.
“Ako su skeneri za zaključivanje koda iz velikih laboratorija za umjetnu inteligenciju besplatni za poslovne korisnike, tada se skeniranje statičkog koda preko noći pretvara u robu”, rekao je Baer za VentureBeat. Tijekom sljedećih 12 mjeseci, Baer očekuje da će se proračun kretati prema tri područja.
-
Slojevi vremena izvođenja i iskoristivostiuključujući zaštitu tijekom izvođenja i analizu puta napada.
-
Upravljanje umjetnom inteligencijom i sigurnost modelauključujući zaštitne ograde, brzu obranu od ubrizgavanja i nadzor agenta.
-
Automatizacija sanacije. “Ukupni učinak je da se potrošnja za AppSec vjerojatno ne smanjuje, ali težište se pomiče od tradicionalnih SAST licenci prema alatima koji skraćuju cikluse popravka”, rekao je Baer.
Sedam stvari koje trebate učiniti prije sljedećeg sastanka odbora
-
Pokrenite oba skenera na reprezentativnom podskupu baze koda. Usporedite nalaze Claude Code Security i Codex Security s vašim postojećim SAST izlazom. Započnite s jednim reprezentativnim spremištem, a ne s cijelom bazom koda. Oba su alata u pretpregledu istraživanja s ograničenjima pristupa zbog kojih je skeniranje cjelokupnog posjeda preuranjeno. Delta je vaš inventar mrtve točke.
-
Izgradite okvir upravljanja prije pilota, a ne nakon. Baer je rekao VentureBeatu da tretira oba alata kao novi procesor podataka za krunske dragulje, što je vaš izvorni kod. Baerov model upravljanja uključuje službeni ugovor o obradi podataka s jasnim izjavama o isključenju iz obuke, zadržavanju podataka i korištenju podprocesora, segmentirani cjevovod za podnošenje tako da se prenose samo repozitorije koje namjeravate skenirati i internu politiku klasifikacije koja razlikuje kod koji može napustiti vašu granicu od koda koji ne može. U intervjuima s više od 40 CISO-ova, VentureBeat je otkrio da formalni okviri upravljanja za alate za skeniranje koji se temelje na razmišljanju jedva da još postoje. Baer je izvedeni IP označio kao slijepu točku koju većina timova nije riješila. Mogu li davatelji modela zadržati ugradnje ili tragove razmišljanja i smatraju li se ti artefakti vašim intelektualnim vlasništvom? Drugi nedostatak je rezidentnost podataka za kod, koji povijesno nije bio reguliran kao podaci o kupcima, ali sve više potpada pod kontrolu izvoza i pregled nacionalne sigurnosti.
-
Mapirajte ono što nijedan alat ne pokriva. Analiza sastava softvera. Skeniranje spremnika. Infrastruktura-kao-kod. DAST. Detekcija i odgovor tijekom izvođenja. Claude Code Security i Codex Security djeluju na razini promišljanja koda. Vaš postojeći stog obrađuje sve ostalo. Snaga određivanja cijene tog skupa je ono što se promijenilo.
-
Kvantificirajte izloženost dvostruke namjene. Svaki Anthropic i OpenAI nultog dana koji su se pojavili žive u projektu otvorenog koda o kojem ovise poslovne aplikacije. Oba laboratorija odgovorno otkrivaju i krpaju, ali prozor između njihovog otkrića i vašeg prihvaćanja tih zakrpa upravo je mjesto gdje napadači djeluju. AI sigurnosni startup AISLE neovisno je sve otkrio 12 ranjivosti nultog dana u sigurnosnoj zakrpi OpenSSL-a iz siječnja 2026.uključujući prekoračenje međuspremnika stog (CVE-2025-15467) koje se potencijalno može iskoristiti na daljinu bez valjanog ključnog materijala. Fuzzers su godinama bili protiv OpenSSL-a i promašili su svaki. Pretpostavimo da protivnici koriste iste modele na istim bazama koda.
-
Pripremite usporedbu ploče prije nego što pitaju. Claude Code Sigurnost razmišlja o kodu kontekstualno, prati tokove podataka i koristi samoprovjeru u više faza. Codex Security izrađuje model prijetnji specifičan za projekt prije skeniranja i potvrđuje nalaze u okruženjima s pijeskom. Svaki je alat u fazi istraživanja i potrebno je ljudsko odobrenje prije primjene bilo koje zakrpe. Ploči je potrebna usporedna analiza, a ne nastup jednog dobavljača. Kad se razgovor okrene o tome zašto je vaš postojeći paket propustio ono što je Anthropic pronašao, Baer je ponudio uokvirivanje koje funkcionira na razini ploče. SAST za usklađivanje uzoraka riješio je drugu generaciju problema, rekao je Baer za VentureBeat. Dizajniran je za otkrivanje poznatih anti-obrazaca. Ta je sposobnost i dalje važna i još uvijek smanjuje rizik. Ali modeli rasuđivanja mogu procijeniti logiku više datoteka, prijelaze stanja i namjere programera, gdje žive mnoge moderne greške. Baerov sažetak spreman za ploču: “Kupili smo prave alate za prijetnje prošlog desetljeća; tehnologija je samo napredovala.”
-
Pratite natjecateljski ciklus. Obje tvrtke idu prema IPO-ima, a sigurnosne pobjede poduzeća pokreću narativ rasta. Kada jedan skener promaši mrtvu točku, sleti na mapu značajki drugog laboratorija u roku od nekoliko tjedana. Oba laboratorija isporučuju ažuriranja modela u mjesečnim ciklusima. Ta će kadenca nadmašiti bilo koji kalendar izdanja pojedinačnog dobavljača. Baer je rekao da je pokretanje oba ispravan potez: “Različiti modeli razmišljaju drugačije, a delta između njih može otkriti greške koje nijedan alat sam ne bi dosljedno otkrio. Kratkoročno, korištenje oba nije redundancija. To je obrana kroz raznolikost sustava razmišljanja.”
-
Postavite 30-dnevno pilot razdoblje. Prije 20. veljače ovaj test nije postojao. Pokrenite Claude Code Security i Codex Security na istoj bazi koda i pustite da delta vodi razgovor o nabavi s empirijskim podacima umjesto marketinga dobavljača. Trideset dana vam daje te podatke.
Četrnaest dana dijeli Anthropic i OpenAI. Razmak između sljedećih izdanja bit će kraći. Napadači gledaju isti kalendar.
Povezani sadržaji
Android’s Design Future je ‘izražajna’
Čini se da redatelj Resident Evil Requiema izlijeva vodu na glasine o privatnom životu Leona Kennedyja
Qwen-ovo novo ažuriranje Deep Researcha omogućuje vam pretvaranje njegovih izvješća u web-stranice, podcaste za nekoliko sekundi
Globalna VC ulaganja porasla su 5,4% na 368,5 milijardi USD u 2024., ali su poslovi pali 17% | NVCA/Pitchbook
Stranica novih uređaja Google Store -a daje vam poboljšano upravljanje pikselom
Programer Catly poriče korištenje generativne umjetne inteligencije ili blockchain tehnologije u svojoj igri mačaka otvorenog svijeta
