Il nuovo strumento di sicurezza Claude di Anthropic scansiona il tuo codice per trovare difetti e decide di quali preoccuparsi per primo

Anthropic ha annunciato Claude Security, un nuovo prodotto di cybersecurity difensiva attualmente disponibile in beta pubblica per gli utenti Enterprise di Claude, con disponibilità "prossimamente" per gli utenti dei piani Team e Max. Lo strumento consente ai team di sicurezza di "scansionare i codebase per vulnerabilità e generare patch mirate" utilizzando il modello Claude Opus 4.7.

All'inizio di questo mese, Anthropic ha presentato Project Glasswing, un Progetto Manhattan dell'IA volto a trovare vulnerabilità nell'infrastruttura mondiale del software open source. Glasswing utilizza un modello Anthropic chiamato Mythos, un modello ritenuto così pericoloso da non essere rilasciato al pubblico. Viene condiviso con i partecipanti a Glasswing, inclusi ex concorrenti come Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, Nvidia e Palo Alto Networks.

Al centro sia di Project Glasswing che di Claude Security c'è la scansione delle vulnerabilità. La maggior parte degli attacchi informatici inizia con un attore nemico che sfrutta una vulnerabilità. Quindi, se i difensori riescono a trovare e correggere le vulnerabilità, il malintenzionato ha una superficie d'attacco più piccola. Ricordate Star Wars? L'intera trama di Una Nuova Speranza ruota attorno ai piani della Morte Nera che la Principessa Leia conserva in R2-D2. Una volta che i Ribelli ottengono quei piani, sono in grado di trovare una vulnerabilità. Tutto ciò che Luke e gli altri piloti devono fare è sparare un siluro in un condotto di scarico sulla Morte Nera, e... boom! Questo, ragazzi e ragazze, è una vulnerabilità. La Morte Nera aveva un solo difetto fatale. Il vostro codebase probabilmente ne ha di più. Il nuovo strumento Claude Security di Anthropic vuole trovarli prima che gli attaccanti ci arrivino per primi.

Tornando al mondo reale, tutto funziona su software, che è intrinsecamente vulnerabile. Non solo le vulnerabilità aprono porte agli avversari per sfruttarle, ma possono anche causare danni semplicemente esistendo e provocando bug sperimentati dagli utenti del software. Ho usato per la prima volta l'IA per fare scansione delle vulnerabilità a settembre con Codex di OpenAI. All'epoca, fallì perché non poteva gestire un contesto a livello di progetto. Ma quando ho abbinato lo strumento di programmazione in coppia IA con ChatGPT Deep Research, che era migliore con molti dati, i due hanno trovato una serie di vulnerabilità critiche nel mio software di sicurezza, che ho immediatamente corretto. Da allora, sia Codex che Claude Code sono migliorati in termini di quantità di codice che possono elaborare in un contesto, ma nessuno dei due è in grado di gestire un intero grande codebase in una volta. Mythos, invece, può. Può persino gestire le relazioni tra codebase su scala macro. Ma non è disponibile al pubblico, nemmeno tramite tariffe Enterprise. Il mese scorso, OpenAI ha introdotto Codex Security, che offre anche un'analisi del contesto su scala più ampia. E ora Claude Security può fare scansioni su larga scala simili.

Questo nuovo prodotto è in grado di scansionare un intero repository o una directory mirata. Secondo Anthropic, "Claude ragiona sul codice come farebbe un ricercatore di sicurezza, tracciando i flussi di dati, leggendo il codice sorgente e scoprendo come i componenti interagiscono tra file e moduli."

C'è di più in Claude Security, ma prima parliamo della grande vulnerabilità introdotta dalle IA di scansione delle vulnerabilità. Gli scanner di vulnerabilità aiutano i difensori a difendere. Ma aiutano anche gli attaccanti a trovare dove attaccare. Questo era il punto centrale dell'attacco dei Ribelli alla Morte Nera. Una volta che sapevano di una vulnerabilità, potevano sfruttarla. Ad esempio, sia Microsoft che OpenAI hanno riferito che attori legati a stati di Cina, Iran, Russia e Corea del Nord hanno utilizzato grandi modelli linguistici per ricercare varie aziende e strumenti di cybersecurity, eseguire il debug del codice, generare script e creare contenuti probabilmente per l'uso in campagne di phishing e spear-phishing.

Anthropic sta cercando di impedire che i suoi modelli vengano utilizzati in modi simili. Con il lancio di Opus 4.7, l'azienda include nuove salvaguardie informatiche che rilevano e bloccano automaticamente richieste suggestive di usi di cybersecurity proibiti o ad alto rischio.