Anthropic, détection de vulnérabilités · recommandations de correctifs 'Claude Security' version de test publique

Anthropic PBC a lancé “Claude Security” en version bêta publique, un service destiné à aider les équipes de cybersécurité à détecter les vulnérabilités et à appliquer des correctifs. Il s’agit d’une fonctionnalité de l’abonnement “Claude Enterprise” destiné aux grandes organisations, dont le cœur est d’examiner l’ensemble du code, de repérer les failles de sécurité et de proposer des solutions de réparation.

Ce produit a été présenté pour la première fois en février de cette année sous la forme d’une version de prévisualisation de recherche appelée “Claude Code Security”. Anthropic a ensuite indiqué que plusieurs centaines d’organisations utilisaient cet outil pour découvrir et corriger des vulnérabilités dans leur code en production. Selon la société, il a même permis de détecter des failles que des outils de sécurité existants n’avaient pas repérées depuis des années.

Basé sur Opus 4.7… “raisonner comme un chercheur en sécurité”

Cette version bêta publique de Claude Security fonctionne avec le modèle d’intelligence artificielle principal d’Anthropic, Opus 4.7. Sa particularité n’est pas simplement de comparer des modèles de vulnérabilités connus, mais de raisonner comme un véritable chercheur en sécurité, en suivant le flux de données, en lisant le code source et en analysant les interactions entre fichiers et composants de code.

Anthropic explique que, grâce à cette approche, le modèle peut comprendre le code dans son contexte global et évaluer les effets en chaîne complexes. Ensuite, les résultats de l’analyse sont accompagnés d’un score de confiance, puis vérifiés avant d’être transmis au responsable de la sécurité. La société indique qu’au cours de ce processus, elle explique également pourquoi le modèle a fait cette déduction, la probabilité que la vulnérabilité soit exploitée, la nécessité de prioriser la réponse, ainsi que l’efficacité des solutions proposées.

De la détection à la correction… réduire les délais de collaboration

Un autre avantage de Claude Security est sa capacité à relier directement la détection de vulnérabilités à leur correction. Les utilisateurs peuvent ouvrir une session Claude Code et appliquer immédiatement des correctifs. La société affirme que cela peut réduire le temps que les équipes de sécurité et d’ingénierie consacrent habituellement à la révision et aux tests répétés, qui peut durer plusieurs jours.

Les retours recueillis lors de la prévisualisation ont été intégrés dans cette version. Une nouvelle fonction de scan programmé régulièrement a été ajoutée, permettant une vérification continue ; si l’analyse est rejetée, la raison peut être enregistrée et sauvegardée. De plus, des options d’exportation en formats CSV et Markdown sont disponibles, facilitant l’intégration dans les systèmes d’audit et de vérification de sécurité existants.

Élargissement des collaborations avec CrowdStrike, Palo Alto Networks, etc.

Anthropic a également lancé récemment “Project Glasswing”, qui accélère le développement dans le domaine de la sécurité. Ce projet utilise le modèle “Mitosis”, qui, bien qu’il ne soit pas initialement conçu pour la sécurité, possède une capacité remarquable à détecter les vulnérabilités. La société indique qu’elle construit un écosystème de collaboration technologique avec Glasswing pour protéger les logiciels en environnement réel.

Dans cette optique, les clients peuvent désormais utiliser des solutions partenaires externes basées sur les fonctionnalités de sécurité de Claude. Anthropic a révélé qu’elle collabore avec CrowdStrike Holdings, Palo Alto Networks, SentinelOne, Trend Micro (via “Trend AI”), Wiz, etc., pour intégrer Opus 4.7 dans les plateformes de cybersécurité de ces entreprises.

Les initiatives d’Anthropic montrent que l’application de l’IA générative s’étend rapidement du domaine de la productivité à celui de la “sécurité défensive”. En particulier, la compétition entre outils de sécurité basés sur la compréhension et le raisonnement du code, dotés de capacités d’IA, risque de devenir encore plus intense à l’avenir. Cependant, dans le contexte réel des entreprises, le taux de faux positifs, le processus de validation et le niveau d’intégration avec les systèmes de sécurité existants seront probablement des variables clés pour déterminer la vitesse d’adoption.

Remarques sur TP AI : Cet article a été résumé à l’aide d’un modèle linguistique basé sur TokenPost.ai. Le contenu principal peut être incomplet ou ne pas correspondre parfaitement à la réalité.