Anthropic vient d'annoncer Claude Code Security, un outil autonome de détection des vulnérabilités intégré à Claude Code. Il analyse les bases de code à la recherche de problèmes de sécurité et propose des corrections ciblées à examiner par des humains. Ce lancement fait suite à des rapports indiquant que des pirates, y compris des acteurs soutenus par des États, ont utilisé les modèles Anthropic pour identifier des vulnérabilités exploitables dans des bases de code nouvelles et bien entretenues.Anthropic est une société américaine spécialisée dans l'intelligence artificielle (IA) qui développe la famille de grands modèles de langage (LLM) Claude. Anthropic fonctionne comme une société d'intérêt public qui mène des recherches et développe des IA afin d'« étudier leurs propriétés de sécurité à la pointe de la technologie » et utilise ces recherches pour déployer des modèles sûrs pour le public.
Claude Code est une interface en ligne de commande qui s'exécute sur l'ordinateur d'un utilisateur. Elle se connecte à une instance Claude hébergée sur les serveurs d'Anthropic via une API et permet à l'instance Claude d'exécuter des commandes, de lire des fichiers, d'écrire des fichiers et d'échanger des messages avec l'utilisateur. Claude peut exécuter des commandes en avant-plan ou en arrière-plan. Le comportement de Claude Code est généralement configuré via des documents Markdown sur l'ordinateur de l'utilisateur, tels que CLAUDE.md, AGENTS.md, SKILL.md, etc. En janvier 2026, certains utilisateurs le considèrent comme le meilleur assistant de codage IA.
Avec la popularité de son outil, Anthropic a introduit ce qui devait être une simple évolution d'interface en février 2026. Anthropic a mis à jour Claude Code en modifiant l'affichage des actions en cours pour masquer les noms des fichiers que l'outil lisait, écrivait ou éditait. Concrètement, la version 2.1.20 condensait la sortie de manière à ne plus afficher, par exemple, les noms des fichiers et le nombre de lignes lues, se contentant d'imprimer « Read 3 files (ctrl+o to expand) ». Les détails restent techniquement accessibles via un raccourci clavier, mais devoir invoquer manuellement ce raccourci à chaque opération rend le flux de travail fastidieux et inefficace dans la pratique.
La réaction de la communauté a été immédiate et sévère. Sur GitHub, une issue dédiée a recueilli des dizaines de commentaires d'ingénieurs exprimant leur frustration, allant bien au-delà du simple mécontentement cosmétique. Les développeurs ont de multiples raisons légitimes de vouloir voir les noms des fichiers : pour des raisons de sécurité, pour savoir immédiatement si Claude tire son contexte des mauvais fichiers, et pour effectuer un audit facile de l'activité passée en faisant défiler la conversation. Cet incident révèle une tension profonde dans la conception des outils d'IA agentique : jusqu'où peut-on abstraire les actions d'une machine qui touche à votre code de production ?
Pour renforcer la sécurité dans Claude Code, Anthropic vient d'annoncer Claude Code Security, un outil autonome de détection des vulnérabilités intégré à Claude Code. Il analyse les bases de code à la recherche de problèmes de sécurité et propose des corrections ciblées à examiner par des humains. Ce lancement fait suite à des rapports indiquant que des pirates, y compris des acteurs soutenus par des États, ont utilisé les modèles Anthropic pour identifier des vulnérabilités exploitables dans des bases de code nouvelles et bien entretenues.
Anthropic affirme que cet outil se distingue des produits de sécurité conventionnels en raisonnant à travers le code à la manière d'un chercheur en sécurité, plutôt qu'en s'appuyant sur une comparaison de modèles basée sur des règles par rapport à des signatures de vulnérabilités connues. Les résultats comprennent des évaluations de gravité pour la hiérarchisation et des scores de confiance, avec des vérifications automatisées destinées à réduire les faux positifs avant que les problèmes n'apparaissent dans un tableau de bord destiné aux équipes de sécurité.
Claude Code Security ne modifie pas directement le code et est actuellement proposé en avant-première limitée à des fins de recherche pour les clients Enterprise et Team, avec un accès accéléré gratuit pour les responsables de maintenance open source éligibles. Cette annonce semble...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.