Tech • IA • Crypto
Comment Anthropic utilise Claude en cybersécurité
INTRO
Anthropic développe une plateforme de cybersécurité pilotée par l’IA, Clue, afin d’automatiser les enquêtes, réduire les délais de réponse et offrir aux analystes une visibilité plus approfondie sur les systèmes internes.
POINTS CLÉS
Une nouvelle frontière pour la sécurité de l’IA
La sécurisation de systèmes d’IA avancés pose des défis sans véritable précédent historique. Chez Anthropic, la cybersécurité est considérée comme un domaine en évolution rapide où les outils traditionnels peinent à suivre la complexité et l’échelle des infrastructures et des flux de travail modernes liés à l’IA.
Des outils fragmentés ralentissaient les enquêtes
Les analystes de sécurité dépendaient auparavant de cinq à six outils distincts et de plusieurs langages de requête pour enquêter sur un seul incident. Même des cas simples pouvaient prendre des heures à des jours, créant des inefficacités et retardant les réponses dans des situations critiques.
Clue: une plateforme unifiée de détection et de réponse
Pour combler ces lacunes, Anthropic a conçu Clue, une plateforme interne alimentée par l’IA. Elle s’intègre directement aux systèmes internes, interroge les entrepôts de données, analyse les bases de code et accède à des signaux contextuels comme les communications Slack, offrant ainsi une vision opérationnelle plus complète.
Des enquêtes guidées par l’IA
Les analystes peuvent lancer des investigations en posant des questions en langage naturel. Le système génère alors un plan structuré, exécute plusieurs requêtes et affine ses résultats de manière itérative. Dans un exemple, Clue a identifié un probable incident d’élévation de privilèges, reliant une activité suspecte à une IP malveillante liée à un centre de données russe.
Contexte automatisé et aide à la décision
Au-delà de l’exposition de données brutes, Clue synthétise les résultats en conclusions claires, met en évidence les risques, identifie les lacunes de sécurité et recommande des actions de suivi. Cela réduit la charge cognitive et aide les analystes à se concentrer sur les menaces prioritaires.
Filtrer le signal du bruit
La plateforme traite d’énormes volumes d’alertes et de données, ne faisant remonter que les problèmes les plus pertinents pour examen humain. Cette évolution permet aux équipes de passer d’une posture réactive à une surveillance proactive et à une défense stratégique.
Développement accéléré grâce aux outils d’IA
Le développement interne s’est aussi fortement accéléré. Un système initialement prévu comme un projet d’un à deux mois a été réalisé en une semaine par un nouveau collaborateur utilisant des outils de codage assisté par IA, qui ont fourni des conseils sur l’architecture et l’implémentation.
Autonomisation des analystes et élargissement des rôles
En automatisant les étapes routinières des enquêtes et en simplifiant l’intégration, le système donne plus d’autonomie aux analystes. Cela permet aux praticiens d’évoluer vers des travaux plus expérimentaux et orientés recherche, explorant de nouvelles méthodes d’analyse de données de sécurité à grande échelle.
CONCLUSION
La plateforme Clue d’Anthropic montre comment l’IA peut transformer les opérations de cybersécurité en unifiant les données, en automatisant les enquêtes et en permettant des réponses plus rapides et mieux informées face aux menaces émergentes.
Transcription complète
Cyber security at Anthropic I would [music] say is I'm biased but I think it's one of the most interesting parts of the company. There's no [music] precedent for what we're building and so securing it is also kind of you know a new frontier. The thing that I've always kind of [music] been stuck on is that we have these tools to do this work, but a lot of them don't actually fit [music] what the analysts or investigators, people with boots on the ground are doing. Before investigating a security event would be [music] jumping between five to six different tools, running, you know, three to four different query languages over different databases. For a simple investigation, it would take a couple hours at least [music] and a couple days at most. And that is part of why we built Clue. Clue is a detection and response platform that we've built with cloud code. One thing that makes Clue so powerful is it is connected to our internal system. So it has access [music] via tool use to query our data warehouses, but it also has the ability to query like internal knowledge of our company. [music] So Slack messages and our code bases. That is usually like that missing piece [music] that really helps alerts be contextualized for your environment. to note this is just a sample set of data that I've imported into clue. So this isn't actually anthropic internal information. How we start in clue investigate is the user being me would ask a question. So I say a developer just gave themselves [music] admin access. Is this authorized? Can you check for credential compromise and what actions they took afterwards? [music] And so we have asked Claude to come up with a plan on how it would investigate this. [music] Comes up with these six steps. Then it will kick up a bunch of queries. And so these are the tools that's reaching out for more information to help us figure out what's going on. And we see the assistant Claude has come back and has gathered some more information. And it says, you know, this kind of looks like a pretty classic privilege escalation. Here's some of the reasons I'm coming to that verdict. And it's going to issue some more queries. This is again this is sample data but it the source IP when looked up was a Russian data center and it was flagged as malicious by virus total and it then actually comes to you know good news this [music] seems to be isolated but it's also identifying there's some gaps in our security posture on this system so there's some afteraction items that we could take and then finally the final investigation summary that Claude will come up with and share with you all the investigations that were taken and the findings we have this ability to go through immense amounts of data, immense amounts of alerts [music] and then just raise what actually a human should look at. I had been working on our Q4 plans and I was like okay we're going to work on this suppression engine and this is going to take you know at least 1 to [music] two months. One of our new hires built it in a week. Most of it is because Claude Code is able to explain to [music] them here's how this is set up. Here's how it's working. And it feels like for me when I bring people on that I'm giving them a tool that will [music] give them that autonomy rather than them having to, you know, kind of like swim in the deep end immediately. [music] I'm building the tools that I wish that I had. And I'm actually able to [music] do what I feel like is pushing from being a practitioner to being a researcher, kind of a scientist, [music] because I'm getting to test out a lot of the ways that, you know, I've only imagined us being able to process, you know, this immense [music] amount of data and have more visibility into our systems that previously was just out of reach.