La société d'intelligence artificielle Anthropic vient de présenter une nouvelle fonctionnalité appelée Claude Code Security, qui permet à un assistant de programmation AI de scanner le code source et de proposer des correctifs pour corriger les failles de sécurité.
Cet outil est directement intégré à la version web de Claude Code, visant à aider les équipes de développement à détecter les risques que les méthodes traditionnelles peuvent négliger.
Selon une annonce d'Anthropic, Claude Code Security ne se contente pas de rechercher des échantillons de failles connues comme de nombreux outils d'analyse statique actuels, mais lit et déduit la structure du code de la même manière qu'un expert en sécurité le fait.
Le système suit le flux de données dans l'application, analyse la façon dont les composants interagissent les uns avec les autres pour détecter les failles complexes, y compris les faiblesses difficiles à identifier avec les règles existantes.
La nouvelle fonctionnalité est désormais mise en œuvre de manière limitée pour certains clients payants de Claude Enterprise et Team, tandis que les opérateurs de stockage open source peuvent être prioritaires pour un accès précoce.
Le lancement intervient dans un contexte où de plus en plus de personnes non professionnelles utilisent des outils d'IA pour créer des sites web et des applications, mais manquent de connaissances en matière de sécurité pour vérifier le code généré par l'IA.
Un rapport récent de Tenzai (unité spécialisée dans la recherche et le développement technologique) montre que les sites Web construits avec des outils d'OpenAI, Anthropic, Cursor, Replit ou Devin peuvent être exploités pour divulguer des données sensibles ou transférer involontairement de l'argent aux pirates si elles ne sont pas soigneusement vérifiées.
Anthropic souligne que, bien que l'IA puisse proposer des correctifs, la décision finale appartient toujours à l'homme. Claude Code Security fonctionne selon un processus de vérification à plusieurs étapes, comprenant le filtrage des faux résultats positifs et la réévaluation des résultats avant de les afficher sur le tableau de bord unifié.
Les failles sont classées en fonction de la gravité et de la fiabilité du système lors de l'évaluation.
Il est à noter qu'au début du mois, le directeur des produits Mike Krieger (qui est responsable des opérations d'ingénierie des produits, de gestion des produits et de conception chez Anthropic) a révélé que les outils de programmation IA de l'entreprise étaient utilisés en interne pour créer presque tout le code source du produit.
Claude a été écrit par Claude lui-même", a déclaré M. Mike Krieger, soulignant le niveau élevé d'automatisation du processus de développement.
En ce qui concerne les tests, Anthropic a déclaré que Claude Code Security avait été testé lors d'événements concurrentiels Capture-the-Flag, et a coopéré avec le National Northwest Pacific Laboratory (ministère américain de l'Énergie) pour évaluer la capacité de protection des infrastructures clés par l'IA.
Selon la société, l'équipe de recherche a découvert plus de 500 failles inédites dans des projets open source grâce au modèle Claude Opus 4.6.
Actuellement, Anthropic coopère avec la communauté pour publier des informations de manière responsable et continuer à étendre les efforts de sécurité dans l'écosystème logiciel ouvert.
