Dopo l’ingresso di OpenAI nel ramo sicurezza con Trusted Access for Cyber lo scorso 6 febbraio, non si è fatta attendere la risposta di Anthropic che poche ore fa ha annunciato Claude Code Security, una nuova funzionalità integrata in Claude Code per il web, attualmente disponibile in anteprima di ricerca limitata per i clienti Enterprise e Team.
L’idea di fondo è semplice ma ambiziosa: usare la stessa intelligenza artificiale che potrebbe essere sfruttata dagli attaccanti per trovare falle nel codice, mettendola invece al servizio di chi quel codice lo deve difendere.
Il problema che cerca di risolvere è ben noto a chiunque lavori nel settore del coding e della sicurezza informatica: le vulnerabilità si accumulano più velocemente di quanto i team riescano ad analizzarle, e gli strumenti di analisi tradizionale faticano a intercettare i bug più subdoli. Claude Code Security si propone come un livello aggiuntivo di difesa, capace di ragionare sul codice con una profondità che gli strumenti convenzionali non possono raggiungere.
Dal punto di vista delle capacità dichiarate, Anthropic afferma che usando Claude Opus 4.6 il proprio Frontier Red Team (team sicurezza) ha identificato oltre 500 vulnerabilità in codebase open source di produzione, alcune delle quali presenti da anni nonostante il lungo periodo di revisione da parte di esperti. Se questi numeri saranno confermati anche nell’uso quotidiano degli sviluppatori, si tratterebbe di uno strumento con un impatto concreto sulla sicurezza del software.
In effetti, subito dopo la notizia i titoli azionari coinvolti nel ramo sicurezza (tra cui CrowdStrike, Cloudflare e Okta) perdevano tra il 5 e il 7%.
Claude Code Security: oltre la semplice analisi statica
Gli strumenti di analisi tradizionali operano per corrispondenza di pattern: cercano firme note di vulnerabilità, come password esposte o algoritmi di cifratura obsoleti. Funzionano bene per i problemi comuni, ma falliscono nel trovare nuove vulnerabilità più complesse. Claude Code Security adotta un approccio diverso: invece di cercare pattern noti, il sistema legge e ragiona sull’intero codebase cercando di capire come i componenti interagiscono tra loro e come i dati si muovono attraverso l’applicazione.
Ogni vulnerabilità identificata passa poi attraverso un processo di verifica in più fasi in cui Claude mette in discussione i propri risultati, cercando attivamente di confutarli prima di presentarli all’analista.
I risultati validati appaiono in una dashboard dedicata con tanto di severità e confidence rating, così puoi decidere su quali fix concentrarti prima. Nessuna modifica viene applicata automaticamente. Ogni patch suggerita richiede l’approvazione esplicita del developer.
Un passo utile verso la sicurezza
Quello che è più rilevante non è solo la capacità di trovare bug, ma il tentativo di invertire la tendenza storica in cui l’attaccante è sempre in vantaggio rispetto a chi difende. Spesso, per proteggere un sistema, è necessaria una perfezione assoluta su ogni riga di codice, mentre a un hacker basta un solo punto debole.
Se lavori con un codebase complesso e stai già adottando Claude Code, vale sicuramente la pena candidarti all’accesso anticipato per valutare i risultati in prima persona. I benchmark interni di Anthropic sono incoraggianti, ma la vera prova è sempre sul codice reale di produzione, con tutte le sue specificità.
Per chi invece usa piani individuali o gestisce repository open source indirettamente, l’accesso per ora non è previsto, anche se Anthropic ha indicato un percorso prioritario per i maintainer OSS. La direzione è quella giusta: usare l’AI per stare un passo avanti rispetto a chi usa gli stessi strumenti in modo malevolo.
La sfida per il futuro non sarà solo nell’efficacia dello strumento nel rilevare falle, ma la capacità delle aziende di governare queste potenzialità prima che le versioni meno etiche dei modelli linguistici vengano utilizzate dalla criminalità informatica per scansionare il web alla ricerca di vulnerabilità zero-day. L’AI è sia l’arma che lo scudo, e la tempestività nell’adozione di questi strumenti da parte degli sviluppatori diventerà il vero discrimine della sicurezza globale.
