Claude Code ajoute des fonctionnalités de cybersécurité

 (anthropic.com)
4 points par GN⁺ 2026-02-21 | 1 commentaires | Partager sur WhatsApp
  • Claude Code Security est une fonctionnalité de sécurité basée sur l’IA qui détecte les vulnérabilités dans une base de code et propose des correctifs à examiner par un humain
  • Elle détecte des vulnérabilités complexes que les outils d’analyse statique existants manquent, en suivant les interactions du code et les flux de données comme le ferait un chercheur humain
  • Tous les résultats passent par une validation en plusieurs étapes et une évaluation de la gravité avant d’être affichés dans un tableau de bord, et aucune correction n’est appliquée automatiquement sans l’approbation d’un développeur
  • Anthropic publie cette fonctionnalité sous la forme d’un aperçu de recherche limité pour les clients Enterprise et Team ainsi que pour les mainteneurs open source
  • L’objectif est d’améliorer le niveau de sécurité de l’ensemble du secteur, à l’approche d’une époque où l’IA pourra trouver des vulnérabilités plus vite que les attaquants

Présentation de Claude Code Security

  • Claude Code Security est une nouvelle fonctionnalité intégrée à la version web de Claude Code qui analyse une base de code pour détecter des vulnérabilités de sécurité et proposer des correctifs
    • Elle est proposée sous forme d’aperçu de recherche et suppose une revue humaine
  • Elle a été conçue comme un outil destiné à résoudre les problèmes de manque de personnel et de trop grand nombre de vulnérabilités auxquels font face les équipes de sécurité
  • Alors que les outils d’analyse existants se concentrent sur des schémas connus, Claude peut aussi détecter des vulnérabilités nouvelles et dépendantes du contexte

Fonctionnement

  • L’analyse statique traditionnelle détecte, sur la base de règles, des schémas de vulnérabilités connus, mais elle passe facilement à côté d’éléments comme les erreurs de logique métier ou les défauts de contrôle d’accès
  • Claude Code Security comprend et raisonne sur le sens du code comme un chercheur humain, afin d’identifier des vulnérabilités complexes
    • Il suit les interactions entre composants et les flux de données
  • Les résultats de détection passent par une procédure de validation en plusieurs étapes afin de réduire au minimum les faux positifs
    • Claude réexamine lui-même les résultats et leur attribue un niveau de gravité
  • Les résultats validés sont affichés dans un tableau de bord, où l’équipe peut les examiner et les approuver
    • Chaque élément inclut un score de confiance, et aucune modification n’est appliquée sans validation humaine

Les bases de recherche en cybersécurité de Claude

  • Claude Code Security a été développé sur la base de plus d’un an de recherche en sécurité autour de Claude
  • La Frontier Red Team d’Anthropic a fait participer Claude à des compétitions Capture-the-Flag et a mené, en collaboration avec le Pacific Northwest National Laboratory, des expériences de défense d’infrastructure basées sur l’IA
  • En s’appuyant sur le modèle le plus récent, Claude Opus 4.6, l’équipe a découvert plus de 500 vulnérabilités dans du code open source
    • Y compris des bugs restés en place malgré des décennies de revue par des experts
    • Une procédure de divulgation responsable est actuellement en cours avec les mainteneurs
  • Anthropic utilise déjà Claude pour la sécurité de son propre code interne, et a développé cette fonctionnalité afin de mettre les mêmes capacités défensives à disposition à l’extérieur

Perspectives

  • Le moment où l’IA pourra analyser la majorité des bases de code dans le monde est proche
    • Les modèles d’IA peuvent détecter efficacement des bugs restés cachés pendant longtemps
  • Les attaquants peuvent eux aussi utiliser l’IA pour trouver rapidement des vulnérabilités, mais le risque peut être réduit si les défenseurs corrigent de manière proactive
  • Claude Code Security est présenté comme une étape vers des bases de code plus sûres et une amélioration des standards de sécurité à l’échelle du secteur

Participation et accès

  • Disponible sous forme d’aperçu de recherche pour les clients Enterprise et Team
    • Les participants peuvent collaborer directement avec l’équipe Anthropic pour améliorer l’outil
  • Les mainteneurs open source peuvent demander un accès gratuit et rapide
  • Plus d’informations sur claude.com/solutions/claude-code-security

À lire aussi

1 commentaires

 
GN⁺ 2026-02-21
Avis Hacker News

  • Il n’est pas surprenant qu’Anthropic ait lancé une fonction de détection de vulnérabilités
    OpenAI avait déjà présenté Aardvark, et Google BigSleep
    À mon avis, le point clé est l’échelle et la précision. Anthropic affirme avoir trouvé 500 vulnérabilités « à haute gravité » avec Opus 4.6, mais on peut se demander si elles sont réellement critiques. BigSleep en comptait une vingtaine, et Aardvark n’a publié aucun chiffre
    Quand j’ai fondé Semgrep, j’ai trouvé marquant que, dans le concours DARPA AIxCC, on exige des participants en détection de vulnérabilités basée sur des LLM qu’ils publient le coût par vulnérabilité et la matrice de confusion. Sans ces données, il est difficile de savoir quel modèle est réellement en tête
    Si on donne à des agents de sécurité LLM l’accès à des outils comme Semgrep ou CodeQL, le taux de faux positifs baisse fortement. À l’avenir, j’imagine des humains jouant le rôle de responsables AppSec et gérant ce type d’agents de sécurité virtuelle

    • Le plus gros problème des outils SAST comme Semgrep, ce sont les faux positifs. Les développeurs ne veulent que le 0,1 % de résultats qui mènent à de vrais problèmes, mais l’approche par appariement de motifs génère beaucoup trop de bruit
      J’ai aussi essayé la combinaison appariement de motifs + LLM, et c’était assez efficace. En revanche, cela ne s’applique qu’au SAST, et les domaines comme le SCA ou les images de conteneurs — qui représentent 90 % du bruit pour les équipes sécurité — restent difficiles à résoudre
    • Ce type de fonction est acceptable pour scanner une petite base de code une fois, mais dans la réalité, où le code change fréquemment, le coût des rescans est trop élevé. Il manque aussi les workflows réels comme la création de PR, la résolution de conflits ou la recherche d’un reviewer
      C’est intéressant pour la recherche, mais limité comme outil de production
    • Je travaille aussi sur une approche similaire. Nous avons étendu un outil interne centré sur la sécurité, les performances et le SEO des sites web avec une approche par agents, et les résultats sont surprenants
      Le service s’appelle SquirrelScan ; l’agent ajuste dynamiquement la configuration à partir de règles écrites par des humains pour éliminer les faux positifs et effectuer la validation

  • Il y avait une blague du genre : « Anakin : je vais sauver le monde avec un scanner de vulnérabilités IA »
    Puis Padmé demande : « Donc tu le scans pour corriger ces vulnérabilités, c’est ça ? » — une façon de se moquer de la finalité de ces scanners IA

    • Je pense que c’est pour cela que la fonction est limitée à une demande d’accès réservée aux équipes et aux entreprises.
      Côté open source, il y a DeepAudit
    • On craint que des acteurs malveillants scannent en masse des projets open source ou des packages npm pour trouver des zero-day
      J’espère qu’Anthropic met en place un système d’alerte précoce capable de détecter les schémas d’usage anormaux
    • Ironiquement, ce sont les labos qui sortent les toolkits de piratage les plus puissants, alors que les actions de cybersécurité défensive sont plutôt en baisse. La logique du marché m’échappe
    • Certains ont aussi dit ne pas bien comprendre la blague

  • En tant que dirigeant d’une société d’audit de sécurité, je sens clairement que les grands acteurs du LLM entrent aussi sur le marché de l’audit
    Même notre service basé sur l’IA, comme zkao.io, subit la pression concurrentielle
    J’imagine deux scénarios pour l’avenir
    Le premier serait un monde où les auditeurs humains et les développeurs disparaissent ; le second, un monde où l’on évolue vers un marché de niche nécessitant toujours l’expertise et l’intuition humaines
    Les entreprises sérieuses voudront probablement encore collaborer avec des humains, et le modèle SaaS + assistance humaine a de bonnes chances de perdurer
    En revanche, les « vibe coders » utiliseront des outils comme Claude Code Security, avec une qualité au niveau du « vibe coding » — suffisamment correcte, sans être parfaite
    Réalistement, c’est ce scénario qui me paraît le plus probable. Des outils comme celui-ci renforcent des petites équipes d’audit spécialisées comme la nôtre

    • Correction orthographique : ce n’est pas « seize », mais « cease »
    • Les développeurs ne vont pas disparaître. Ils vont simplement évoluer vers une nouvelle forme de développeur. En revanche, l’avenir des auditeurs semble plus sombre

  • Dans la présentation d’Anthropic, le passage disant que « Claude Code Security lit et raisonne sur le code comme le ferait un chercheur humain » est intéressant
    Notre équipe combine aussi analyse statique et IA, donc cette approche me semble être la direction naturelle de l’évolution de l’automatisation de la sécurité

    • Mais cette phrase n’est pas vraie. Un LLM reste au fond une machine d’appariement de motifs. Un chercheur humain fait bien plus que cela
      Dire qu’il « raisonne comme un humain » ressemble à une formule marketing exagérée

  • Claude Code Opus 4.5 a obtenu environ 71 % de précision sur le benchmark OpenSSF CVE
    Nous utilisons le SAST comme filtre de premier niveau, puis nous faisons exploiter par le LLM des artefacts d’analyse statique comme les graphes de flux de données et les graphes de dépendances
    Cette méthode s’est révélée bien plus efficace que de simplement lui dire de « se comporter comme un chercheur en sécurité ». Nous mettrons le benchmark à jour quand la nouvelle fonction sera publiée

  • Les produits concurrents étaient décevants. La plupart ne faisaient que redétecter les problèmes déjà trouvés par les outils d’analyse statique existants, avec beaucoup de faux positifs dans les scans IA
    J’espère de meilleurs résultats cette fois

  • Beaucoup doutent de la capacité de l’IA à avoir la pensée créative d’un ingénieur sécurité senior, mais je pense que cela passe à côté de l’essentiel
    La vraie valeur de ces outils est dans l’automatisation des tâches de sécurité répétitives
    Des problèmes simples comme l’absence de validation des entrées ou l’utilisation de composants vulnérables n’ont pas besoin d’être examinés par des profils très expérimentés
    J’espère que ce type d’outil deviendra un assistant qui réduit les tâches ingrates des équipes sécurité

    • Les LLM, et Claude en particulier, montrent réellement des capacités de niveau ingénieur sécurité. Notre startup construit des agents de test d’intrusion offensifs, et en les laissant tourner quelques heures, ils trouvent des vulnérabilités étranges que des humains ratent parfois
    • Au contraire, parmi les chercheurs en vulnérabilités, il existe beaucoup d’optimisme discret. Il y a bien plus d’experts qui expérimentent en silence et voient le potentiel que de sceptiques bruyants en public
    • En tant que pentester dans une entreprise du Fortune 500, je suis d’accord avec cette évaluation. La plupart des découvertes internes relèvent du niveau « bonnes pratiques », donc si des agents peuvent automatiser ce travail, ce sera bien plus efficace
      Une organisation en collaboration humain-agent me semble être la façon dont les équipes sécurité fonctionneront à l’avenir
    • Nous avons aussi testé Claude Opus 4.6, et un taux de faux positifs inférieur à 50 % nous a vraiment impressionnés

  • J’étais justement en train de brûler des tonnes de tokens Claude pour construire un système de défense contre les bots IA, alors j’ai cru qu’Anthropic m’avait repéré

    • Nous développons aussi notre propre système depuis plusieurs années. Jeter un œil à Tirreno, conçu par des ingénieurs, pourrait vous être utile