Anthropic a annoncé Claude Security, un nouveau produit de cybersécurité défensive actuellement disponible en bêta publique pour les utilisateurs Enterprise de Claude, avec une disponibilité « à venir » pour les utilisateurs des niveaux Team et Max. L'outil permet aux équipes de sécurité de « scanner les bases de code pour détecter les vulnérabilités et générer des correctifs ciblés » à l'aide du modèle Claude Opus 4.7.

Plus tôt ce mois-ci, Anthropic a dévoilé Project Glasswing, un projet Manhattan de l'IA visant à trouver des vulnérabilités dans l'infrastructure mondiale des logiciels open source. Glasswing utilise un modèle d'Anthropic appelé Mythos, un modèle jugé si dangereux qu'il n'est pas diffusé au public. Il est partagé avec les participants de Glasswing, y compris d'anciens concurrents comme Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks.

Au cœur de Project Glasswing et de Claude Security se trouve l'analyse des vulnérabilités. La plupart des cyberattaques commencent par un acteur ennemi exploitant une vulnérabilité. Donc, si les défenseurs peuvent trouver et corriger les vulnérabilités, le malfaiteur a une surface d'attaque plus petite. Vous vous souvenez de Star Wars ? Toute l'intrigue d'Un Nouvel Espoir tourne autour des plans de l'Étoile de la Mort que la princesse Leia stocke dans R2-D2. Une fois que les Rebelles obtiennent ces plans, ils sont capables de trouver une vulnérabilité. Tout ce que Luke et les autres pilotes ont à faire, c'est de tirer une torpille dans un conduit d'évacuation sur l'Étoile de la Mort, et... boum ! Ça, les enfants, c'est une vulnérabilité. L'Étoile de la Mort avait un défaut fatal. Votre base de code en a probablement plus. Le nouvel outil Claude Security d'Anthropic veut les trouver avant que les attaquants n'y arrivent.

De retour dans le monde réel, tout fonctionne sur des logiciels, qui sont intrinsèquement vulnérables. Non seulement les vulnérabilités ouvrent des portes aux adversaires pour les exploiter, mais elles peuvent aussi causer des dommages simplement en existant et en provoquant des bugs rencontrés par les utilisateurs du logiciel. J'ai utilisé l'IA pour la première fois pour analyser les vulnérabilités en septembre dernier avec Codex d'OpenAI. À l'époque, cela avait échoué car il ne pouvait pas gérer un contexte à l'échelle du projet. Mais quand j'ai associé l'outil de programmation en binôme IA à ChatGPT Deep Research, qui était meilleur avec beaucoup de données, les deux ont trouvé un certain nombre de vulnérabilités critiques dans mon logiciel de sécurité, que j'ai immédiatement corrigées. Depuis, Codex et Claude Code se sont améliorés en termes de quantité de code qu'ils peuvent traiter en un seul contexte, mais aucun n'est capable de gérer une grande base de code entière à la fois. Mythos le peut, cependant. Il peut même gérer les relations entre les bases de code à une échelle macro. Mais il n'est pas accessible au public, même via des frais de niveau Enterprise. Le mois dernier, OpenAI a introduit Codex Security, qui offre également une analyse de contexte à plus grande échelle. Et maintenant, Claude Security peut effectuer des analyses à grande échelle similaires.

Ce nouveau produit est capable d'analyser un dépôt complet ou un répertoire ciblé. Selon Anthropic, « Claude raisonne sur le code comme le ferait un chercheur en sécurité, en traçant les flux de données, en lisant le code source et en déterminant comment les composants interagissent entre les fichiers et les modules. »

Il y a plus à dire sur Claude Security, mais d'abord, parlons de la grande vulnérabilité introduite par les IA d'analyse de vulnérabilités. Les analyseurs de vulnérabilités aident les défenseurs à se défendre. Mais ils aident aussi les attaquants à trouver où attaquer. C'était tout l'intérêt de l'attaque des Rebelles sur l'Étoile de la Mort. Une fois qu'ils connaissaient une vulnérabilité, ils pouvaient l'exploiter. Par exemple, Microsoft et OpenAI ont tous deux signalé que des acteurs étatiques de Chine, d'Iran, de Russie et de Corée du Nord ont utilisé de grands modèles de langage pour rechercher diverses entreprises et outils de cybersécurité, déboguer du code, générer des scripts et créer du contenu probablement destiné à des campagnes de phishing et de spear-phishing.

Anthropic tente d'empêcher ses modèles d'être utilisés de manière similaire. Depuis le lancement d'Opus 4.7, l'entreprise inclut de nouvelles mesures de cybersécurité qui détectent et bloquent automatiquement les demandes suggérant des utilisations interdites ou à haut risque en cybersécurité.