O que e a plataforma CLUE da Anthropic?

CLUE significa Claude Looks Up Evidence. E uma plataforma de deteccao e resposta a ameacas construida pela equipe de seguranca interna da Anthropic usando Claude Code. Ela automatiza triagem de alertas, investigacoes em linguagem natural e processos de governanca de dados.

Quanto tempo levou para construir a CLUE?

O prova de conceito foi construida em apenas 1 dia, e o desenvolvimento completo com documentacao e implementacao levou 1 semana. Isso foi possivel porque a equipe usou Claude Code como assistente de programacao, com a lider tecnica Jackie Bow descrevendo-o como parceiro de design e colaborador.

Qual foi o impacto da CLUE na triagem de alertas?

Antes da CLUE, cerca de 33% dos alertas (1 em cada 3) eram falsos positivos. Apos implementar o CLUE Triage, a taxa de falsos positivos caiu para 7%. Cada investigacao que levava horas ou dias manualmente agora leva de 3 a 4 minutos.

Como a CLUE usa Claude para investigacoes de seguranca?

A CLUE usa Claude em um loop agentico: um orquestrador emite comandos para subagentes que executam consultas em paralelo, coletam evidencias e sintetizam resultados. Claude se conecta a sistemas internos via tool use, incluindo Slack, repositorios de codigo e data warehouses, permitindo que analistas facam perguntas em portugues simples.

Como a Anthropic usa Claude para cibersegurança: o case CLUE

Ha alguns meses, a equipe de seguranca da Anthropic enfrentava um problema que conheco bem: alertas demais, contexto de menos. Um terco de todos os alertas era falso positivo. Investigacoes manuais consumiam horas ou dias. O time nao conseguia escalar no mesmo ritmo que a empresa crescia. A solucao que eles encontraram nao so resolveu o problema como redefiniu o que espero de ferramentas de seguranca modernas: a plataforma CLUE (Claude Looks Up Evidence), construida em uma semana com Claude Code.

O que mudou: uma plataforma de seguranca que nasceu em 1 semana

Jackie Bow, tech lead do time de Detection Platform Engineering da Anthropic, construiu o prova de conceito da CLUE em um dia. O design, desenvolvimento e implementacao completos levaram uma semana. Isso nao e exagero de comunicado de imprensa -- e o que acontece quando voce usa Claude Code como parceiro de design, nao apenas como gerador de codigo. Na minha visao, o dado mais impressionante nao sao os numeros de performance (que tambem sao fantasticos), mas o fato de que uma plataforma de seguranca completa -- com triagem de alertas, investigacao em linguagem natural e buscas em dezenas de sistemas internos -- foi do papel a producao em dias. Isso muda completamente o calculo de risco para times de seguranca que antes precisavam de meses para construir ferramentas internas.

Como a CLUE funciona na pratica

A CLUE tem dois componentes principais. O CLUE Triage faz a triagem de primeira linha: enriquece cada alerta com contexto de sistemas internos (Slack, repositorios de codigo, data warehouses), atribui disposicoes (falso positivo, positivo verdadeiro, malicioso, comportamento esperado) e fornece pontuacoes de confianca. O CLUE Investigate permite que analistas facam perguntas em ingles simples -- "Quais foram todas as falhas de login para este sistema nas ultimas 24 horas?" -- e Claude gera e executa as consultas SQL necessarias.

O que acho mais inteligente na arquitetura e que ela propositalmente nao usa playbooks deterministicos -- aqueles scripts rigidos que a industria de SOAR (Security Orchestration, Automation and Response) popularizou. Em vez disso, a CLUE da a Claude ferramentas e limites claros de acesso, mas deixa a estrategia de investigacao em aberto. Como Jackie Bow disse: "Claude e muito melhor em escrever consultas precisas do que humanos." E os numeros provam isso.

Os numeros que chamam atencao

Vou direto aos dados porque eles falam por si. A taxa de falsos positivos caiu de 33% (1 em cada 3 alertas) para 7% depois da implementacao do CLUE Triage. Uma investigacao que levava de horas a dias manualmente agora leva de 3 a 4 minutos. Em 30 dias de uso, a CLUE automatizou cerca de 12.000 consultas e 27.000 chamadas de ferramentas. O equivalente manual disso? Aproximadamente 1.870 horas de trabalho -- ou 234 dias-pessoa. Para um time de seguranca que nao consegue escalar contratacao no mesmo ritmo que a empresa cresce, isso e transformador.

Um caso concreto que me marcou: uma investigacao de governanca de dados para verificar acesso de contratados a documentos em dois meses levava pelo menos meio dia manualmente. Com a CLUE, a mesma investigacao foi concluida em minutos. E Jackie Bow destaca que isso possibilita processar sinais de baixa confianca que antes eram simplesmente ignorados por restricao de volume -- algo que todo profissional de seguranca ja sentiu na pele.

Por que isso importa para devs e times de seguranca

Para mim, o case da CLUE revela tres verdades que estao moldando como penso sobre seguranca e desenvolvimento de ferramentas internas.

(1) A IA agentica está encurtando dramaticamente o ciclo de desenvolvimento de ferramentas internas. Jackie Bow descreve Claude Code como "parceiro de design e colaborador". Em um momento pivotal do desenvolvimento, ela pediu para Claude Code adicionar um botao a interface -- e ele nao so executou imediatamente como "fez melhor do que ela faria". Ela disse: "Foi quando percebi que nao estou mais limitada pelas minhas proprias limitacoes tecnicas." Isso ecoa o que venho observando em varios projetos: a barreira nao e mais o que voce sabe fazer, mas o quao bem voce consegue direcionar a ferramenta.

(2) O contexto interno e a peca que falta na seguranca tradicional. Alertas chegam como sinais isolados. A CLUE enriquece cada alerta com mensagens do Slack, documentos internos, repositorios de codigo e data warehouses -- conhecimento institucional que nenhuma plataforma externa tem acesso. Para mim, esse e o verdadeiro pulo do gato: ao inves de tentar construir um sistema que sabe tudo, construa um sistema que sabe onde procurar.

(3) Nao-determinismo nao e bug, e feature. A CLUE propositalmente foge dos playbooks deterministicos do SOAR. Cada investigacao pode seguir caminhos diferentes -- e muitas vezes descobre contexto que humanos perderiam. A equipe planeja levar isso ao extremo com huntings proativos, onde agentes Claude exploram continuamente padroes suspeitos que nenhuma regra de deteccao existente cobre. Isso e o que Rich Sutton chamou de "A Licao Amarga": dar capacidade geral ao modelo e deixa-lo encontrar suas proprias abordagens supera qualquer tentativa de codificar raciocinio humano especifico.

O futuro da seguranca com agentes de IA

O que Jackie Bow e sua equipe construiram nao e apenas uma ferramenta de seguranca. E um modelo de como times enxutos podem usar agentes de IA para construir ferramentas que antes exigiam equipes inteiras. Cada investigacao e armazenada como transcricao, criando uma base de conhecimento que funciona como memoria organizacional -- algo que times de seguranca tradicionalmente perdem quando um analista senior sai da empresa.

Os resultados da CLUE -- com modelos Claude Sonnet e Opus -- levantam uma pergunta que vai muito alem da seguranca: se uma equipe de 3 pessoas pode construir uma plataforma deste nivel em uma semana, o que mais esta ao nosso alcance agora? Jackie Bow resume bem: "Finalmente posso construir as ferramentas que sempre desejei ter." E eu suspeito que esse sentimento e o verdadeiro presente da era agentica para quem trabalha com tecnologia.

Conclusao

A plataforma CLUE da Anthropic mostra que a proxima geracao de ferramentas de seguranca nao sera construida com mais playbooks deterministicos ou mais analistas humanos tentando escalar linearmente. A proxima geracao dara a modelos como Claude a capacidade de investigar, as ferramentas para acessar contexto interno e a liberdade para encontrar abordagens melhores do que nos prescreveriamos. Como Jackie Bow disse: "Nao podemos escalar para atender as necessidades da Anthropic sem aumentar com algo como Claude." Na minha visao, essa frase vale para toda empresa de tecnologia que leva seguranca a serio em 2026.

Artigo original: How Anthropic uses Claude for cybersecurity (claude.com, Maio 2026)