Using AI to secure AI
Claude Code теперь умеет искать уязвимости: запускает специальный промпт, проверяет OWASP Top 10.
Проверил расширение Simple Wikiclaudia и сервис rsspberry2email — Claude сказал «всё ок».
Но доверять одному ИИ, который сам писал код, нельзя: нужны человеческий ревью, SAST, DAST, фаззинг.
Для контроля подключил Datadog:
- расширение — уязвимостей нет, зато куча логов (HIGH, но можно выключить);
- сервис — Datadog нашёл библиотеки с CVE, предложил кнопку «Remediate».
Claude подтвердил одну из находок; остальное — «приемлемый риск» для домашнего RPi.
Комментарии (26)
- Руководство верит, что «волшебная пыль ИИ» решает всё, включая проблемы самого ИИ.
- Найденные Claude и DataDog уязвимости выглядят тривиальными и легко детектируются статическим анализом.
- Компании устраивают «тест на компетентность»: удача руководителей вот-вот закончится.
- Пользователи готовы наблюдать, как ИИ удаляет ld, сносит контейнеры и плодит тонны мусорного кода.
- Скоро ИИ займёт ключевые бизнес-процессы, а после провалов и аудитов топ-менеджеры получат золотые парашюты.
- Всё напоминает «Новое платье короля»: все видят проблему, но молчат.