Anthropic a annoncé Claude Code Security, le premier produit de l’entreprise visant à utiliser des modèles d’IA pour aider les équipes de sécurité à résoudre le grand nombre de bogues logiciels qu’elles sont chargées de corriger. Les bogues logiciels non corrigés sont l’une des principales causes de violations de données, de pannes et de problèmes réglementaires pour les grandes entreprises, mais les équipes de sécurité sont souvent submergées par la quantité de code qu’elles doivent protéger.
Claude Code Security peut désormais non seulement analyser le code à la recherche de modèles de problèmes connus, mais également examiner l’intégralité de la base de code pour voir comment les différents logiciels interagissent et comment les données circulent dans le système, tout comme le feraient des experts humains. L’IA revérifie ses conclusions, évalue la gravité de chaque problème et suggère des correctifs. Cependant, même si le système peut inspecter le code par lui-même, il n’applique pas automatiquement les correctifs, ce qui peut être dangereux en soi. Les développeurs doivent examiner et approuver toutes les modifications.
Claude Code Security s’appuie sur plus d’un an de recherche menée par l’équipe Frontier Red de l’entreprise. L’équipe Frontier Red est un groupe interne d’environ 15 chercheurs chargés de tester les systèmes d’IA de pointe de l’entreprise et d’enquêter sur leur potentiel d’abus dans des domaines tels que la cybersécurité.
Les dernières recherches de Frontier Red Team montrent que les nouveaux modèles Opus 4.6 d’Anthropic sont nettement plus capables de découvrir de nouvelles vulnérabilités de haute gravité – des failles logicielles qui permettent aux attaquants de pénétrer dans les systèmes sans autorisation, de voler des données sensibles ou de perturber des services critiques – sur de grandes quantités de code. En fait, Opus 4.6 a découvert certaines vulnérabilités qui n’ont pas été détectées pendant des décennies lors des tests de logiciels open source exécutés sur les systèmes d’entreprise et les infrastructures critiques. Nous avons également pu le découvrir sans utiliser d’outils spécifiques à une tâche, d’échafaudage personnalisé ou d’invites spéciales.
Le chef de l’équipe Frontier Red, Logan Graham, a déclaré à Fortune que Claude Code Security vise à donner ce pouvoir aux équipes de sécurité qui ont besoin de renforcer leurs capacités défensives. Cet outil est publié discrètement en tant qu’aperçu de recherche limité pour les clients Enterprise et Team. Anthropic fournit également un accès gratuit et rapide aux responsables des référentiels open source, les développeurs souvent sous-financés chargés de garantir le fonctionnement sécurisé des logiciels publics largement utilisés.
« C’est notre prochaine étape en tant qu’entreprise travaillant à renforcer nos défenses en matière de cybersécurité », a-t-il déclaré. « Nous utilisons maintenant nous-mêmes (Opus 4.6) de manière significative. Nous faisons beaucoup d’expérimentation. Le modèle est nettement meilleur. » Cela est particulièrement vrai en termes d’autonomie, a-t-il ajouté, soulignant que les capacités d’agent de l’Opus 4.6 vous permettent d’enquêter sur les failles de sécurité et de tester votre code à l’aide de divers outils. En pratique, cela signifie que l’IA peut explorer étape par étape la base de code, tester le fonctionnement des différents composants et retrouver les pistes plus rapidement, tout comme les jeunes chercheurs en sécurité.
« Cela fait une énorme différence pour les ingénieurs et les chercheurs en sécurité », a déclaré Graham. « C’est un multiplicateur de force pour les équipes de sécurité. Elles pourront faire plus. »
Bien entendu, les défenseurs ne sont pas les seuls à rechercher des failles de sécurité. Les attaquants utilisent également l’IA pour trouver les faiblesses exploitables plus rapidement que jamais. Il est donc important de s’assurer que les améliorations favorisent les bons, a déclaré Graham. Ainsi, en plus des aperçus de recherche, Anthropic investit également dans des mesures de protection pour détecter toute utilisation malveillante ou lorsqu’un attaquant pourrait utiliser le système, a-t-il déclaré.
« Il est vraiment important de s’assurer que la capacité à double usage donne un avantage aux défenseurs », a-t-il déclaré.
