6 марта OpenAI запустила Codex Security, выйдя на рынок безопасности приложений, который всего за 14 дней до этого, 20 февраля, перевернула компания Anthropic с инструментом Claude Code Security. Оба сканера принципиально отличаются от традиционных решений: они используют логические рассуждения больших языковых моделей (LLM) вместо поиска по шаблонам. Их появление доказало, что классические инструменты статического тестирования безопасности приложений (SAST) структурно слепы к целым классам уязвимостей, что ставит под вопрос устоявшийся корпоративный стек безопасности.
Anthropic и OpenAI независимо друг от друга выпустили сканеры уязвимостей на основе логического анализа и оба обнаружили классы ошибок, которые шаблонные SAST-системы изначально не были предназначены для выявления. Конкурентное давление между двумя лабораториями, совокупная рыночная стоимость которых на частном рынке превышает $1,1 трлн, означает, что качество обнаружения будет расти быстрее, чем может обеспечить любой отдельный вендор. Важно отметить, что ни Claude Code Security, ни Codex Security не заменяют существующий стек безопасности, но они навсегда меняют экономику его выбора. На данный момент оба инструмента бесплатны для корпоративных клиентов.
Как две компании пришли к одному выводу разными путями
Anthropic опубликовала своё исследование по уязвимостям нулевого дня 5 февраля, одновременно с выпуском модели Claude Opus 4.6. Компания заявила, что эта модель обнаружила более 500 ранее неизвестных критических уязвимостей в рабочих open-source-проектах, которые десятилетиями проходили экспертный анализ и миллионы часов фаззинга. Например, в библиотеке CGIF Claude обнаружил переполнение буфера в куче, логически проанализировав алгоритм сжатия LZW — ошибку, которую не смог бы найти даже покрывающий фаззинг со 100% покрытием кода.
20 февраля Anthropic выпустила Claude Code Security в виде ограниченного превью для исследователей, доступного клиентам тарифов Enterprise и Team. Бесплатный приоритетный доступ также предоставлен сопровождающим open-source-проектов. Габби Кёртис, руководитель отдела коммуникаций Anthropic, пояснила, что инструмент был создан, чтобы сделать защиту более доступной.
