Claude Code Security обрушил акции кибербезопасности на $15 млрд

$15 миллиардов рыночной капитализации испарились за один торговый день. Не из-за утечки данных, не из-за хакерской атаки — а потому что Anthropic показала, что AI может делать работу кибербезопасных компаний лучше и дешевле. Запуск Claude Code Security в пятницу вызвал панику, которую уже успели окрестить «мини-флеш-крешем» сектора кибербеза.

Что случилось на рынке

В пятницу Anthropic выкатила новую функцию Claude Code Security, встроенную в свой инструмент для разработчиков Claude Code. Это AI-агент, который автономно сканирует кодовые базы на предмет уязвимостей — причём не по заранее заданным правилам, как это делают традиционные SAST-инструменты, а с помощью рассуждений, имитирующих логику живого исследователя безопасности.

Реакция Уолл-стрит оказалась мгновенной и болезненной. CrowdStrike потерял 6,8%, Okta обрушилась на 9,2%, Cloudflare — минус 6,7%. SailPoint просел на 9,1%, а Zscaler — на 3,5%. Суммарно сектор потерял свыше $15 млрд капитализации. Global X Cybersecurity ETF (BUG) упал до минимума с ноября 2023 года.

Аналитики Seeking Alpha назвали это «переоценкой всего сектора»: инвесторы впервые всерьёз задумались, что AI-нативные инструменты могут не дополнять, а замещать традиционные решения по безопасности.

Как работает Claude Code Security

Claude Code Security — не очередной статический анализатор. В основе лежит модель Claude Opus 4.6, которая отслеживает потоки данных в коде, выстраивает цепочки зависимостей и находит логические уязвимости — те самые, которые пропускают ручные ревью и правила-базированные сканеры.

Инструмент присваивает каждой найденной уязвимости рейтинг серьёзности и оценку уверенности, а затем предлагает патч для исправления. Каждый патч проходит через многоэтапную верификацию, прежде чем попасть к аналитику — Anthropic особо подчёркивает принцип human-in-the-loop. Ни один фикс не применяется автоматически без одобрения разработчика.

По данным Anthropic, во время внутреннего стресс-тестирования Claude Code Security обнаружил свыше 500 ранее незамеченных уязвимостей в продакшн-коде open-source проектов. Часть из них существовала в кодовых базах десятилетиями.

«Claude Code Security создан для того, чтобы передать эту мощь в руки защитников и оградить код от нового класса AI-атак» — Anthropic, официальный анонс

Почему рынок отреагировал так резко

Масштаб распродажи объясняется не столько самим продуктом, сколько тем, что он символизирует. Индустрия кибербезопасности десятилетиями строилась на модели «реактивного мониторинга» — обнаружить угрозу, оповестить, помочь устранить. Claude Code Security предлагает принципиально другой подход: проактивное сканирование и автоматическое исправление.

Для CrowdStrike, Palo Alto Networks и других крупных игроков это экзистенциальный вопрос. Если AI-агент за $200 в месяц находит баги, которые пропускают продукты стоимостью десятки тысяч долларов в год, — какова реальная стоимость подписки на традиционный SAST? Инвесторы увидели в этом начало коммодитизации рынка, оценённого более чем в $200 млрд.

Впрочем, распродажа затронула не всех одинаково. Компании, которые уже интегрировали AI в свои платформы (например, Fortinet с падением 5,5%), пострадали меньше, чем те, кто всё ещё полагается преимущественно на правила-базированный анализ.

Кто выиграет, а кто проиграет

Аналитики CNBC уже рекомендуют «покупать на провале» — они считают, что реакция рынка преувеличена. Крупные компании кибербеза интегрируют AI-инструменты как дополнение к своим платформам, а не будут вытеснены ими. Корпоративные клиенты не перейдут с проверенных решений на «research preview» от AI-компании за одну ночь.

Но для более мелких игроков картина тревожнее. Если Claude Code Security действительно находит баги, «которые оставались незамеченными десятилетиями», это ставит под вопрос ценность многих нишевых продуктов. Аналитики прогнозируют, что AI-инструменты безопасности займут 20–30% рынка кибербеза к 2030 году, и это неизбежно вызовет волну поглощений.

Отдельная история — open-source. Anthropic дала приоритетный доступ мейнтейнерам open-source проектов. Это может существенно улучшить базовый уровень безопасности проектов, которым раньше не хватало ресурсов на полноценный аудит.

Обратная сторона медали

Есть и серьёзные опасения. Тот же AI, который находит уязвимости для защитников, теоретически может использоваться атакующими для автоматизации поиска эксплойтов. Уже известны случаи использования Claude для киберпреступлений, и Claude Code Security лишь усиливает дискуссию о двойном назначении AI-инструментов.

Часть экспертов на Hacker News и в сообществе r/cybersecurity также скептически отнеслись к заявлению о 500+ найденных уязвимостях. Динамические баги, которые проявляются только в рантайме, AI-сканер всё ещё не ловит. Это значит, что Claude Code Security — мощный, но не универсальный инструмент.

Что дальше

Пока Claude Code Security доступен в ограниченном режиме для Enterprise и Team клиентов. Но направление задано: AI-нативная безопасность перестала быть экспериментом и стала фактором, двигающим рынки. Для разработчиков это хорошие новости — инструменты станут мощнее и доступнее. Для инвесторов в кибербез — повод внимательнее смотреть, как конкретные компании интегрируют AI в свои продукты. А для индустрии в целом — напоминание, что AI-дисрупция добралась и до неё.