Using AI to secure AI

Claude Code теперь умеет искать уязвимости: запускает специальный промпт, проверяет OWASP Top 10.
Проверил расширение Simple Wikiclaudia и сервис rsspberry2email — Claude сказал «всё ок».
Но доверять одному ИИ, который сам писал код, нельзя: нужны человеческий ревью, SAST, DAST, фаззинг.

Для контроля подключил Datadog:

расширение — уязвимостей нет, зато куча логов (HIGH, но можно выключить);
сервис — Datadog нашёл библиотеки с CVE, предложил кнопку «Remediate».
Claude подтвердил одну из находок; остальное — «приемлемый риск» для домашнего RPi.

Комментарии (26)

Руководство верит, что «волшебная пыль ИИ» решает всё, включая проблемы самого ИИ.
Найденные Claude и DataDog уязвимости выглядят тривиальными и легко детектируются статическим анализом.
Компании устраивают «тест на компетентность»: удача руководителей вот-вот закончится.
Пользователи готовы наблюдать, как ИИ удаляет ld, сносит контейнеры и плодит тонны мусорного кода.
Скоро ИИ займёт ключевые бизнес-процессы, а после провалов и аудитов топ-менеджеры получат золотые парашюты.
Всё напоминает «Новое платье короля»: все видят проблему, но молчат.