Tim keamanan Anthropic pakai Claude, false alert turun dari 33% ke 7%

Jackie Bow, technical lead di tim Detection Platform Engineering Anthropic, menulis soal CLUE, singkatan dari Claude Looks Up Evidence, tool keamanan internal buatan timnya. Angka yang ia bagikan jarang sekonkret ini. Alih-alih sekumpulan tool terpisah, tim sekarang memakai satu antarmuka yang bisa ditanya dengan bahasa biasa.

Hasilnya yang membuat tulisan ini layak dibaca. Sejak CLUE menangani triase alert, false positive turun dari sekitar 33 persen ke 7 persen. Dalam sebulan ia menjalankan lebih dari 12.000 query otomatis dan 27.000 tool call, beban kerja yang menurut tim setara sekitar 1.870 jam manual, hampir 234 hari-orang. Satu sesi investigasi kini rampung dalam tiga sampai empat menit. Proof of concept-nya jadi dalam sehari, build penuhnya seminggu.

Ide desainnya sederhana. Daripada menilai tiap alert sendirian, Claude diberi akses ke konteks di sekelilingnya: thread Slack, dokumen internal, repo kode, sampai data warehouse. Dari situ ia bisa membedakan insiden sungguhan dari maintenance yang memang sudah diumumkan. Komponen Investigate membuat analis bisa menanyai log keamanan dengan bahasa biasa, bukan SQL, sementara Claude berjalan dalam agentic loop dengan sub-agent paralel. Arsitektur lengkapnya ada di blog Anthropic.

Kenapa ini penting

Buat tim keamanan, pelajarannya bukan sekadar "AI bisa mentriase alert", tapi tuas spesifik di balik angkanya: yang menurunkan false positive dari 33 ke 7 persen adalah akses baca ke konteks internal, bukan cuma teks alert. Itu keputusan arsitektur yang bisa kamu tiru.