Die Technik setzt nicht auf das Schließen von Sicherheitslücken, sondern auf deren Überwachung. Versucht Code, über bekannte Lücken in das System des Surfers einzudringen, erkennt die Software diesen Versuch und blockiert den Code, unabhängig davon, ob eine passende Virensignatur existiert. Die Klassifizierung als Malware erfolgt dabei also rein verhaltensbasiert.
Zunächst soll das Programm für den Internet Explorer angeboten werden, später jedoch auch für weitere Browser, beispielsweise Firefox oder Safari, zur Verfügung stehen. Symantec will die Technik schon bald in seine Sicherheits-Suiten integrieren. Die Software trägt den Projektnamen "Canary" und soll parallel zum Browser ausgeführt werden, um während des Surfens die bekannten Lücken zu überwachen.
Auch Canary wird den Anwendern das zeitnahe Einspielen von Patches nicht ersparen. Eine geschlossene Sicherheitslücke ist eben doch noch sicherer als eine, die bloß überwacht wird. So lange zu einer speziellen Lücke noch kein Patch bereit steht, wird Canary aber die beste Alternative zum Surf-Verzicht darstellen.
