Tradycyjne statyczne testy bezpieczeństwa aplikacji (SAST) oparte na sztywnych regułach i sygnaturach przestają wystarczać w starciu ze złożoną logiką biznesową. Rozwiązania oparte na rozumowaniu AI, takie jak Claude Security czy systemy agentowe AgentFlow, wykrywają luki pozostające w uśpieniu przez dziesięciolecia, redefiniując rolę analityka bezpieczeństwa w przedsiębiorstwie.
Rozumowanie AI kontra sztywne reguły SAST
Głównym problemem klasycznych narzędzi SAST jest ich zależność od predefiniowanych bibliotek reguł, co uniemożliwia wykrywanie luk w logice biznesowej czy błędów kontroli dostępu. Claude Code Security, bazujący na modelu Claude Opus 4.6, wprowadza zmianę paradygmatu: zamiast dopasowywania wzorców, AI „czyta i rozumie” kod, śledząc przepływ danych i interakcje między komponentami.
Skuteczność tego podejścia potwierdzają dane: system Anthropic zidentyfikował ponad 500 luk wysokiego ryzyka w dojrzałych projektach open-source, z których część istniała w kodzie od dekad, przechodząc pomyślnie liczne audyty manualne. Obecnie rozwiązanie to wchodzi w fazę publicznej bety jako Claude Security, wykorzystując model Opus 4.7 do automatycznego skanowania repozytoriów i generowania gotowych poprawek dla klientów Enterprise.
Agentowa rewolucja i koniec ery „tuzina zakładek”
Praca analityka bezpieczeństwa przy triażu podatności CVE często oznacza jednoczesną obsługę wielu narzędzi i baz danych, takich jak NVD, CISA KEV czy Shodan. Projekt open-source CVE MCP Server integruje Claude’a z 27 narzędziami w ramach 21 zewnętrznych API, pozwalając na pełną analizę ryzyka za pomocą jednego zapytania w języku naturalnym. Narzędzie to stosuje ważony wzór punktacji ryzyka (35% EPSS, 30% CISA KEV, 20% CVSS, 15% dostępność PoC), co pozwala na natychmiastową priorytetyzację krytycznych zagrożeń.
Jeszcze dalej idzie system AgentFlow, który automatyzuje syntezę wieloagentowych struktur (harnesses) do odkrywania luk. Wykorzystując model Kimi K2.5, AgentFlow odkrył dziesięć nieznanych wcześniej podatności typu zero-day w przeglądarce Google Chrome, w tym dwie krytyczne luki pozwalające na wyjście z piaskownicy (sandbox escape). Podobne sukcesy odnotowała Mozilla, naprawiając w Firefoksie 150 aż 271 luk wykrytych przy użyciu modelu Claude Mythos Preview.
Paradoks oceny: model „klasy A” dla inżynierii to „klasa D” dla CISO
Analiza przeprowadzona w ramach frameworku SecLens-R wykazuje, że ocena modelu AI zależy wyłącznie od roli interesariusza. Wyniki Decision Score mogą różnić się nawet o 31 punktów dla tego samego modelu: Qwen3-Coder otrzymuje ocenę A od szefa inżynierii (za precyzję i szybkość), ale ocenę D od CISO (za niską wykrywalność krytycznych luk). GPT-5.4 dominuje w rankingach wydajności i kosztów, co czyni go faworytem liderów inżynierii, jednak zawodzi w rygorystycznych testach wykrywania podatności o wysokim znaczeniu (Severity-Weighted Recall).
Podsumowanie i wnioski praktyczne
Dla decydentów IT kluczowe jest zrozumienie, że AI w bezpieczeństwie to nie tylko szybszy skaner, ale narzędzie zdolne do wykrywania błędów logicznych niedostępnych dla tradycyjnego oprogramowania. Wdrożenie Claude Security lub narzędzi takich jak CVE MCP Server pozwala skrócić czas od wykrycia do naprawy (time-to-fix) z dni do minut. Należy jednak pamiętać o doborze modelu pod konkretną rolę: agresywne modele o wysokiej czułości (jak Gemini 3 Flash czy Claude Haiku 4.5) lepiej służą potrzebom CISO, podczas gdy modele konserwatywne i precyzyjne (jak GPT-5.4) minimalizują liczbę fałszywych alarmów w procesach CI/CD
Dodaj komentarz