Anthropic publie Claude Code Security : un outil d'IA pour analyser les bases de code et fournir des correctifs ciblés de vulnérabilités

En résumé

Anthropic a lancé Claude Code Security, un système basé sur l’IA qui identifie les vulnérabilités complexes dans les logiciels et recommande des correctifs examinés par des humains pour renforcer la cybersécurité défensive.

La société de recherche et de sécurité en IA Anthropic a annoncé avoir mis à disposition Claude Code Security, une nouvelle fonctionnalité intégrée à Claude Code sur le web, actuellement en aperçu limité pour la recherche. Cet outil est conçu pour analyser les bases de code logiciel à la recherche de vulnérabilités de sécurité et proposer des correctifs ciblés pour revue humaine, afin d’aider les équipes à repérer des problèmes souvent ignorés par les méthodes traditionnelles.

Les équipes de sécurité font face à un écart croissant entre le nombre de vulnérabilités logicielles et le nombre de spécialistes disponibles pour les traiter. Les outils d’analyse statique classiques reposent généralement sur la correspondance de motifs basée sur des règles, ce qui permet de détecter des problèmes courants mais échoue souvent à révéler des failles complexes et dépendantes du contexte. Ces failles nécessitent fréquemment l’intervention d’experts humains, qui doivent déjà faire face à des arriérés croissants.

Anthropic indique que des tests internes récents ont montré que Claude est capable d’identifier des vulnérabilités nouvelles et à haute gravité. La société reconnaît que ces capacités pourraient être utilisées aussi bien par des défenseurs que par des attaquants, et précise que Claude Code Security est conçu pour garantir que ces outils soient déployés dans un but défensif. L’aperçu est proposé aux clients Entreprise et Équipe, avec un accès accéléré pour les mainteneurs de projets open source.

Claude Code Security utilise le raisonnement comportemental pour découvrir des vulnérabilités logicielles complexes

Claude Code Security analyse le code en raisonnant sur le comportement du programme plutôt qu’en recherchant des motifs prédéfinis. Il examine comment les composants interagissent, trace les flux de données et met en évidence des vulnérabilités que les outils basés sur des règles pourraient manquer. Chaque détection passe par un processus de vérification en plusieurs étapes où Claude tente de confirmer ou d’infirmer son propre jugement, ce qui réduit les faux positifs. Les résultats reçoivent une évaluation de gravité et sont présentés via un tableau de bord où les analystes peuvent examiner les détections, inspecter les correctifs suggérés et approuver les corrections. Le système fournit des évaluations de confiance pour chaque problème, et aucune modification n’est appliquée sans l’autorisation humaine.

Cette nouvelle capacité s’appuie sur plus d’un an de recherche sur la performance de Claude en cybersécurité. L’équipe Frontier Red Team d’Anthropic a testé le modèle dans des environnements compétitifs de Capture-the-Flag, collaboré avec le Pacific Northwest National Laboratory sur la défense assistée par IA des infrastructures critiques, et affiné la capacité de Claude à détecter et corriger des vulnérabilités réelles. En utilisant Claude Opus 4.6, lancé plus tôt ce mois-ci, l’équipe a identifié plus de 500 vulnérabilités dans des bases de code open source en production, y compris des problèmes passés inaperçus pendant des décennies. Anthropic indique qu’elle travaille actuellement avec les mainteneurs sur le triage et la divulgation responsable.

L’entreprise décrit cette période comme un moment clé pour la cybersécurité, anticipant qu’une grande partie du code mondial sera bientôt analysée par des systèmes d’IA. Alors que les attaquants devraient utiliser l’IA pour accélérer la découverte de vulnérabilités, Anthropic soutient que les défenseurs qui adoptent des outils similaires peuvent identifier et corriger les failles avant qu’elles ne soient exploitées. Claude Code Security s’inscrit dans un effort plus large visant à élever les standards de sécurité dans l’industrie.