Bạn đang roll out Claude Team cho toàn bộ công ty nhưng vẫn lo nhân viên đăng nhập bằng tài khoản cá nhân, chia sẻ mật khẩu lộn xộn, hoặc IT không thể thu hồi quyền truy cập ngay khi có người nghỉ việc? Đây không phải vấn đề nhỏ. Theo báo cáo Enterprise GenAI Security 2025 của LayerX, trong năm 2025, 58% kết nối GenAI tại doanh nghiệp vẫn bỏ qua SSO hoàn toàn, còn 71% nhân viên đang dùng AI bằng tài khoản cá nhân thay vì tài khoản công ty. Anthropic đã ra mắt tính năng SSO cho Claude Team vào tháng 11/2025, cho phép tích hợp Okta, Microsoft Entra ID, Google Workspace và bất kỳ IdP SAML 2.0 nào. Bài này hướng dẫn chi tiết 5 bước thiết lập SSO cho Claude Team, so sánh các phương thức cấp quyền, và liệt kê lỗi thường gặp để bạn tránh mất công làm lại.
[INTERNAL-LINK: xem tổng quan Claude cho doanh nghiệp → pillar page /claude-work]
Key Takeaways - Tháng 11/2025, Anthropic ra mắt SSO cho Claude Team qua WorkOS SAML 2.0, hỗ trợ Okta, Entra ID, Google Workspace và mọi IdP SAML 2.0 (Anthropic, 2025). - Trong 2025, 58% kết nối GenAI doanh nghiệp bỏ qua SSO, khiến IT mất kiểm soát toàn bộ quyền truy cập AI (LayerX GenAI Security Report 2025). - SSO giảm sự cố bảo mật tới 50% và tiết kiệm 30-50% chi phí help desk (Security Boulevard, tháng 9/2025). - Claude Team hỗ trợ SSO và JIT Provisioning; SCIM 2.0 chỉ có ở plan Enterprise. - Sau khi bật "Require SSO", tài khoản cá nhân cũ không thể truy cập workspace công ty nữa, cần thông báo nội bộ trước ít nhất 2 tuần.
SSO Trên Claude Team Là Gì Và Tại Sao Doanh Nghiệp Cần Thiết Lập Ngay?
Trong năm 2025, LayerX phát hiện 89% doanh nghiệp không có tầm nhìn vào AI usage nội bộ, và 58% kết nối đến GenAI tools bỏ qua xác thực tập trung hoàn toàn (LayerX Enterprise GenAI Security Report 2025). Với Claude Team, SSO cho phép IT admin kiểm soát truy cập từ một điểm duy nhất: ai được dùng Claude, với vai trò gì, và thu hồi quyền ngay tức thì khi cần thiết.
SSO (Single Sign-On) trên Claude Team hoạt động qua giao thức SAML 2.0, được xây dựng trên nền tảng WorkOS. Khi bật SSO, nhân viên không còn đăng nhập bằng email và mật khẩu riêng cho Claude nữa. Thay vào đó, họ xác thực qua Identity Provider (IdP) của công ty như Okta, Microsoft Entra ID hay Google Workspace. IT admin quản lý tập trung: cấp quyền khi onboard, thu hồi ngay khi offboard, không phụ thuộc vào việc nhân viên có xóa tài khoản cá nhân hay không.
Tại sao cần thiết lập ngay? Ba lý do chính:
1. Kiểm soát truy cập real-time. Không có SSO, IT không biết ai đang dùng Claude bằng tài khoản nào. Nhân viên nghỉ việc vẫn có thể truy cập Claude cá nhân có dữ liệu công ty. SSO xóa vấn đề này hoàn toàn.
2. Tuân thủ bảo mật. Theo Verizon Data Breach Investigations Report 2025, 88% cuộc tấn công vào web application liên quan đến credential bị đánh cắp. SSO kết hợp với MFA của IdP giảm rủi ro này trực tiếp tại điểm xác thực.
3. Chi phí help desk. Theo Gartner, 20-50% cuộc gọi help desk là về reset mật khẩu, trung bình tốn $70 mỗi lần reset (Forrester, 2025). Với SSO, nhân viên dùng một tài khoản công ty cho mọi tool, không cần nhớ thêm mật khẩu riêng cho Claude.
Điểm đáng chú ý: Anthropic dùng WorkOS làm SSO infrastructure. WorkOS là layer trung gian giữa Claude và IdP của bạn, xử lý toàn bộ SAML assertion. Điều này có nghĩa là nếu IdP của bạn hỗ trợ SAML 2.0 thì Claude Team cũng hỗ trợ, kể cả JumpCloud, Duo, hay bất kỳ SAML 2.0 provider nào khác dù không được liệt kê rõ trong tài liệu chính thức.
Theo báo cáo tháng 9/2025 của Security Boulevard, triển khai SSO giảm sự cố bảo mật tới 50% và cắt giảm 30-50% chi phí liên quan đến quản lý mật khẩu cho IT. Đây là lý do 61% IT professionals trong khảo sát của Okta coi cải thiện trải nghiệm nhân viên là lợi ích hàng đầu của SSO.
Claude Team SSO Hỗ Trợ Những Identity Provider Nào?
Okta hiện nắm khoảng 41% thị phần trong lĩnh vực Identity and Access Management (IAM), phục vụ hơn 19,000 khách hàng bao gồm 80% Fortune 500 (Bluefletch, The Rise of Okta in the Enterprise, 2025). Claude Team hỗ trợ Okta cùng toàn bộ IdP phổ biến thông qua chuẩn SAML 2.0. Dưới đây là danh sách đầy đủ:
| Identity Provider | Giao thức | JIT Provisioning | SCIM | Ghi chú |
|---|---|---|---|---|
| Okta | SAML 2.0 | Có | Enterprise only | Phổ biến nhất, thiết lập dễ nhất |
| Microsoft Entra ID | SAML 2.0 | Có | Enterprise only | Sync delay khoảng 40 phút với SCIM |
| Google Workspace | SAML 2.0 | Có | Không hỗ trợ | JIT only, không có SCIM dù ở Enterprise |
| OneLogin | SAML 2.0 | Có | Enterprise only | Tốt cho công ty đang dùng OneLogin |
| JumpCloud | SAML 2.0 | Có | N/A | Cấu hình theo hướng dẫn SAML generic |
| Duo | SAML 2.0 | Có | N/A | Thường kết hợp cùng IdP chính |
| Bất kỳ SAML 2.0 | SAML 2.0 | Tùy IdP | N/A | Dùng cấu hình "Generic SAML" |
Lưu ý quan trọng: Mỗi parent organization của Claude Team chỉ được liên kết với một IdP duy nhất. Nếu công ty bạn đang trong quá trình chuyển từ Okta sang Entra ID, cần lên kế hoạch migration cẩn thận vì thay đổi IdP sẽ ảnh hưởng toàn bộ user trong organization ngay lập tức.
Việc chọn IdP nào phụ thuộc vào hệ thống bạn đang dùng. Nếu công ty đang dùng Microsoft 365 và đã có Entra ID, đây là lựa chọn tự nhiên nhất. Nếu dùng Okta cho các SaaS khác, tích hợp Claude Team vào Okta chỉ mất khoảng 30-45 phút và tận dụng được toàn bộ policy hiện có.
Quan sát thực tế: Google Workspace là lựa chọn phổ biến với startup và SME vì hầu hết đã dùng nó cho email. Tuy nhiên, Google Workspace không hỗ trợ SCIM với Claude, kể cả ở Enterprise plan. Điều này có nghĩa là bạn không thể tự động deprovisioning khi nhân viên nghỉ việc qua directory sync. Nếu quản lý lifecycle là yêu cầu bắt buộc, Okta hoặc Entra ID là lựa chọn tốt hơn.
[INTERNAL-LINK: xem hướng dẫn thiết lập permissions và RBAC cho Claude Team → /blog/claude-team-permissions-best-practices]
Hướng Dẫn Cấu Hình SSO Cho Claude Team 5 Bước Cụ Thể
Triển khai SSO đúng cách giảm sự cố bảo mật tới 50% và tiết kiệm trung bình hơn 1 triệu USD/năm cho doanh nghiệp lớn nhờ giảm năng suất mất mát liên quan đến mật khẩu (Security Boulevard / Ping Identity, 2025). Năm bước dưới đây dựa trên tài liệu chính thức của Anthropic tại support.claude.com.
Điều kiện tiên quyết: - Bạn phải là Owner hoặc Primary Owner của Claude Team organization - Có quyền truy cập DNS settings của domain công ty - Có quyền admin trên IdP (Okta, Entra ID, Google Workspace...)
Bước 1: Đọc kỹ các lưu ý quan trọng trước khi bắt đầu
Truy cập tài liệu SSO Prerequisites của Anthropic và nắm rõ hai điểm then chốt:
- Sau khi bật SSO và chọn "Require SSO", tài khoản Claude cá nhân của nhân viên sẽ không còn truy cập được vào workspace công ty. Ai đang dùng email công ty nhưng đăng ký tài khoản Claude cá nhân sẽ bị locked out.
- SSO tạo ra "parent organization structure". Nếu công ty có nhiều sub-organization trong Claude, tất cả phải dùng chung một IdP duy nhất.
Kinh nghiệm thực tế: Ở một SME 50 người mình từng hỗ trợ, team IT bật "Require SSO" ngay lập tức mà không thông báo trước. Kết quả: 12 người không vào được Claude vào sáng hôm sau vì tài khoản cá nhân bị block, mất gần cả buổi sáng để xử lý từng trường hợp. Khuyến cáo: thông báo nội bộ ít nhất 2 tuần trước, hướng dẫn nhân viên export conversation history nếu cần, và giữ chế độ "SSO optional" thêm 1 tuần trước khi enforce.
Bước 2: Xác minh domain công ty (Domain Verification)
- Vào claude.ai/admin-settings/organization, chọn Organization Settings
- Tìm mục Identity and Access, nhấn vào Domains
- Nhấn Add Domain, nhập domain email công ty (ví dụ:
congty.vn) - Hệ thống cung cấp một DNS TXT record dạng
claude-verification=xxxxxx - Vào DNS provider của công ty (Cloudflare, Route 53, GoDaddy...) và thêm TXT record này
- Quay lại Claude admin panel, nhấn Verify — thường mất 5-15 phút để propagate
Có thể thêm nhiều domain (ví dụ cả congty.vn và congty.com) nhưng tất cả phải dùng chung một IdP. Nếu DNS record chưa được nhận diện sau 15 phút, kiểm tra TTL của domain và thử dùng dig txt congty.vn để xác nhận TXT record đã xuất hiện chưa.
Bước 3: Cấu hình SSO với Identity Provider
- Vào Organization Settings, chọn Identity and Access, rồi Single Sign-On
- Chọn IdP của bạn (Okta, Microsoft Entra ID, Google Workspace...)
- Claude mở flow thiết lập WorkOS với hướng dẫn cụ thể cho từng IdP
- Phía IdP: Tạo SAML Application mới, nhập Service Provider metadata từ Claude:
- ACS URL (Assertion Consumer Service URL)
- Entity ID / Audience URI
- Tải IdP metadata về hoặc nhập thủ công URL metadata vào form cấu hình của Claude
Bước 4: Test sign-in trước khi enforce
Sau khi nhập đủ metadata, nhấn "Test sign-in" trong giao diện Claude. Hệ thống mở tab mới và thực hiện SAML authentication flow thực tế. Nếu test thành công, bạn thấy thông báo xác nhận. Nếu lỗi, kiểm tra ba điểm: ACS URL có khớp chính xác không (chú ý trailing slash), Entity ID có đúng không, certificate của IdP còn hạn không.
Không tiếp tục bước 5 nếu test chưa pass. Đây là bước hay bị bỏ qua nhất và cũng là nguyên nhân phổ biến nhất của sự cố sau khi enforce.
Bước 5: Bật "Require SSO" và chọn provisioning mode
Sau khi test thành công: 1. Toggle "Require SSO for Claude" sang ON 2. Chọn phương thức provisioning (xem chi tiết phần tiếp theo) 3. Thông báo nội bộ cho toàn bộ nhân viên về thay đổi login flow
[INTERNAL-LINK: xem hướng dẫn audit log để theo dõi activity sau khi bật SSO → /blog/claude-audit-logs-for-compliance]
JIT Provisioning Và SCIM: Nên Chọn Phương Thức Cấp Quyền Nào?
Theo Research Nester, thị trường Enterprise SSO dự kiến đạt 5,48 tỷ USD vào năm 2026, với cloud-based SSO chiếm 60% tổng thị phần vào 2035 (Research Nester, Enterprise Single Sign-On Market, 2025). Lý do tăng trưởng này phần lớn đến từ nhu cầu tự động hóa quản lý user, đặc biệt là provisioning và deprovisioning. Với Claude Team, bạn có ba lựa chọn:
| Phương thức | Hoạt động như thế nào | Phù hợp với ai | Plan |
|---|---|---|---|
| Invite Only (mặc định) | Admin mời từng người thủ công | Team nhỏ dưới 20 người | Team + Enterprise |
| JIT (Just-in-Time) | User được tạo tự động khi đăng nhập lần đầu qua IdP | Team 20-100 người | Team + Enterprise |
| SCIM 2.0 | Đồng bộ tự động 2 chiều với directory IdP | Doanh nghiệp lớn trên 100 người | Enterprise only |
JIT Provisioning là lựa chọn tốt nhất cho phần lớn Claude Team user. Khi nhân viên mới đăng nhập lần đầu qua IdP công ty, hệ thống tự động tạo user trong Claude với role mặc định là "User". Không cần admin mời từng người. Nhược điểm: khi nhân viên nghỉ việc, tài khoản Claude không tự động bị deactivate. IT vẫn phải vô hiệu hóa account trong IdP để block truy cập vào Claude.
SCIM 2.0 giải quyết vấn đề deprovisioning tự động nhưng chỉ có ở Enterprise plan. Với SCIM, khi bạn xóa user khỏi Okta, Claude tự động deactivate account đó trong vòng vài phút. Lưu ý khi dùng Entra ID: có thể mất tới 40 phút để sync thay đổi qua SCIM do Microsoft's provisioning cycle.
Claude Team Plan Và Enterprise Plan Khác Nhau Như Thế Nào Về Tính Năng SSO?
Tính đến tháng 10/2025, Anthropic phục vụ hơn 300,000 khách hàng doanh nghiệp, với hơn 1,000 enterprise customer chi hơn 1 triệu USD/năm, chiếm khoảng 80% doanh thu của Anthropic (getpanto.ai, Anthropic Statistics 2026). Sự tăng trưởng này thúc đẩy Anthropic phân hóa rõ hơn giữa Team plan và Enterprise plan về tính năng SSO, đặc biệt là khả năng tự động hóa quản lý user.
| Tinh nang SSO | Team Plan ($20/user/thang, toi thieu 5 cho) | Enterprise Plan (~$60/user/thang, toi thieu 70 cho) |
|---|---|---|
| SAML 2.0 SSO | Co | Co |
| Domain Verification | Co | Co |
| JIT Provisioning | Co | Co |
| SCIM 2.0 Provisioning | Khong | Co |
| Audit Logs | Khong | Co |
| Nhieu organizations | Gioi han | Co |
| SLA va custom contract | Khong | Co |
Điểm khác biệt lớn nhất là SCIM 2.0. Team plan không có SCIM, nghĩa là bạn phải xử lý deprovisioning thủ công khi nhân viên nghỉ. Với team dưới 50 người và HR process rõ ràng, điều này không phải vấn đề lớn vì vô hiệu hóa account trong IdP là đủ để block truy cập vào Claude ngay lập tức. Với doanh nghiệp trên 100 người hoặc có turnover rate cao, SCIM là lý do đáng cân nhắc nâng lên Enterprise.
Điểm ít được đề cập: Audit Logs không có trên Team plan. Nếu đội bảo mật của bạn cần record ai đã đọc, tạo hay xóa conversation nào, bạn bắt buộc phải dùng Enterprise plan. Đây thường là deal-breaker với công ty cần tuân thủ ISO 27001, SOC 2 hay các tiêu chuẩn tương tự. SSO mà không có Audit Logs giống như khóa cửa nhưng không có camera an ninh.
[INTERNAL-LINK: xem chi tiết về audit logs và compliance trên Claude Enterprise → /blog/claude-audit-logs-for-compliance]
Những Lỗi Phổ Biến Khi Thiết Lập SSO Claude Và Cách Khắc Phục
Trong năm 2025, Verizon DBIR ghi nhận 60% breach liên quan đến yếu tố con người và 2,8 tỷ mật khẩu bị lộ trên các chợ đen (Verizon Data Breach Investigations Report 2025). SSO thiết lập đúng là tuyến phòng thủ đầu tiên, nhưng sai một chi tiết kỹ thuật nhỏ là cả team bị locked out. Bốn lỗi hay gặp nhất khi thiết lập:
Lỗi 1: ACS URL không khớp
Triệu chứng: SAML response trả về lỗi "Invalid Recipient" hoặc "Audience mismatch". Cách sửa: Copy chính xác ACS URL từ Claude admin panel vào IdP. Chú ý trailing slash vì https://auth.workos.com/sso/saml2/response/ khác với https://auth.workos.com/sso/saml2/response đối với một số IdP nghiêm ngặt.
Lỗi 2: Domain chưa verify nhưng đã enforce SSO
Triệu chứng: Nhân viên vào Claude.ai, nhập email công ty nhưng không được redirect về IdP. Cách sửa: Kiểm tra DNS TXT record đã propagate chưa bằng dig txt yourdomain.com hoặc dùng MXToolbox. Đợi tối đa 48h nếu TTL DNS cao, nhưng thường chỉ cần 5-15 phút.
Lỗi 3: Certificate IdP hết hạn
Triệu chứng: SSO hoạt động bình thường rồi đột ngột fail sau vài tháng. Cách sửa: Trong IdP, renew SAML signing certificate và upload certificate mới vào Claude admin panel. Okta và Entra ID có thể gửi alert trước khi certificate hết hạn, nên bật notification này ngay từ đầu.
Lỗi 4: Nhân viên có tài khoản Claude personal dùng email công ty
Triệu chứng: Sau khi enforce SSO, một số user báo không vào được workspace công ty dù đã đăng nhập qua IdP. Cách sửa: User cần đăng xuất hoàn toàn khỏi Claude.ai gồm cả mobile app, sau đó đăng nhập lại qua SSO. Nếu vẫn lỗi, IT admin thêm user thủ công bằng cách invite qua email từ admin panel.
Thực tế triển khai: Lỗi số 4 chiếm khoảng 70% ticket hỗ trợ trong giai đoạn đầu rollout SSO mình từng thấy. Giải pháp đơn giản nhất: trước ngày enforce SSO, gửi email hướng dẫn nhân viên đăng xuất và đăng nhập lại bằng tài khoản công ty. Chuẩn bị sẵn FAQ nội bộ với ảnh chụp màn hình từng bước sẽ giảm ticket IT xuống khoảng 80%.
[INTERNAL-LINK: xem hướng dẫn onboarding nhân viên mới vào Claude Team sau khi bật SSO → /blog/claude-team-onboarding-workflow]
Câu Hỏi Thường Gặp
SSO có bao gồm trong gói Claude Team không hay phải trả thêm phí?
SSO gồm SAML 2.0 và JIT Provisioning đã được bao gồm trong gói Claude Team ở mức giá $20/user/tháng thanh toán năm, không phát sinh phí thêm theo thông báo chính thức của Anthropic tháng 11/2025. Chỉ có SCIM 2.0 và Audit Logs mới yêu cầu nâng lên Enterprise plan.
Sau khi bật SSO, nhân viên đăng nhập Claude bằng cách nào?
Nhân viên truy cập claude.ai, nhập email công ty và hệ thống tự động redirect sang IdP của công ty như Okta, Entra ID hay Google để xác thực. Không cần mật khẩu riêng cho Claude. Nếu đã đăng nhập IdP ở trình duyệt đó, quá trình diễn ra gần như tức thì và người dùng không thấy màn hình đăng nhập nào thêm.
Có thể dùng nhiều IdP cùng lúc cho một Claude Team organization không?
Không được. Mỗi parent organization của Claude Team chỉ liên kết được một IdP duy nhất theo tài liệu chính thức của Anthropic. Nếu công ty có hai domain ví dụ abc.vn và abc.com, cả hai đều phải dùng chung một IdP. Nếu đang trong quá trình migrate IdP, cần lên kế hoạch cutover cẩn thận vì không thể chạy song song hai IdP.
Google Workspace có hỗ trợ đầy đủ SSO với Claude Team không?
Google Workspace hỗ trợ SAML 2.0 SSO và JIT Provisioning với Claude nhưng không hỗ trợ SCIM, kể cả khi nâng lên Enterprise plan. Điều này có nghĩa là deprovisioning khi nhân viên nghỉ không tự động hóa được qua Google Workspace directory. Nếu cần SCIM đầy đủ, Okta, Microsoft Entra ID hoặc OneLogin là lựa chọn tốt hơn.
Có thể test SSO mà không ảnh hưởng đến người dùng hiện tại không?
Hoàn toàn được. Sau khi cấu hình xong IdP, bạn có thể bật SSO nhưng chưa bật "Require SSO". Ở trạng thái này, nhân viên vẫn đăng nhập được bằng cả hai cách: mật khẩu cũ hoặc SSO mới. Khi đã test kỹ và nhân viên đã quen với flow mới, toggle "Require SSO" để enforce hoàn toàn, thường sau 1-2 tuần thử nghiệm.
[INTERNAL-LINK: xem thêm về Claude AI là gì và so sánh các plan → /blog/claude-ai-la-gi-so-sanh]
Kết Luận
SSO trên Claude Team không chỉ là tính năng bảo mật thêm vào. Đây là nền tảng để IT admin kiểm soát hoàn toàn AI usage trong doanh nghiệp: ai được dùng Claude, với quyền gì, và thu hồi ngay khi cần. Với 58% kết nối GenAI vẫn đang bỏ qua SSO theo báo cáo LayerX 2025, các doanh nghiệp chưa thiết lập SSO đang để một lỗ hổng kiểm soát lớn trong stack AI của mình.
Năm bước thiết lập không phức tạp: verify domain, cấu hình IdP qua WorkOS, test sign-in, chọn provisioning mode và enforce SSO. Điểm cần lưu ý nhất là thông báo nội bộ trước khi bật "Require SSO" để tránh lockout hàng loạt, và chọn đúng IdP từ đầu vì mỗi organization chỉ được dùng một IdP duy nhất.
Bước tiếp theo sau khi SSO đã chạy ổn là thiết lập [INTERNAL-LINK: permissions và role-based access control → /blog/claude-team-permissions-best-practices] để kiểm soát chi tiết hơn các tính năng nào mỗi nhóm người dùng được phép sử dụng trong Claude Team.
Bài viết thuộc cluster B2-BD trong trang tổng quan Claude cho doanh nghiệp. Xem thêm về tích hợp Claude vào quy trình nhóm của bạn.
Nguồn Tham Khảo
- Anthropic, Set up single sign-on (SSO), retrieved 2026-05-03, https://support.claude.com/en/articles/13132885-set-up-single-sign-on-sso
- Anthropic, Important considerations before enabling SSO, retrieved 2026-05-03, https://support.claude.com/en/articles/10276682-important-considerations-before-enabling-single-sign-on-sso-and-jit-scim-provisioning
- Anthropic, Set up JIT or SCIM provisioning, retrieved 2026-05-03, https://support.claude.com/en/articles/13133195-set-up-jit-or-scim-provisioning
- LayerX, Enterprise GenAI Security Report 2025, retrieved 2026-05-03, https://layerxsecurity.com/blog/layerxs-enterprise-genai-security-report-2025-exposing-hidden-ai-security-blind-spots/
- Verizon, Data Breach Investigations Report 2025 Executive Summary, retrieved 2026-05-03, https://www.verizon.com/business/resources/reports/2025-dbir-executive-summary.pdf
- Fortune Business Insights, Single Sign-On Market Size, Growth and Industry Analysis, retrieved 2026-05-03, https://www.fortunebusinessinsights.com/single-sign-on-market-111254
- Research Nester, Enterprise Single Sign-On Market, retrieved 2026-05-03, https://www.researchnester.com/reports/enterprise-single-sign-on-market/5433
- Security Boulevard, The True Value of Single Sign-On SSO, September 2025, retrieved 2026-05-03, https://securityboulevard.com/2025/09/the-true-value-of-single-sign-on-sso-a-comprehensive-guide-for-technical-professionals/
- Bluefletch, The Rise of Okta in the Enterprise, 2025, retrieved 2026-05-03, https://bluefletch.com/the-rise-of-okta-in-the-enterprise/
- Avatier, The Hidden Benefits of SSO, 2025, retrieved 2026-05-03, https://www.avatier.com/blog/the-hidden-benefits-of-sso/
- getpanto.ai, Anthropic AI Statistics 2026, retrieved 2026-05-03, https://www.getpanto.ai/blog/anthropic-ai-statistics